久しぶりにソニー銀行を利用しようと したところ、 ログイン画面でアドレスバーとステータスバーが現れるようになっているのに 気づいた。
いつからだろう? と調べてみると、 お知らせが11月15日に出ていた。そこにこう書かれている。
お客さまがアクセスしているページが正当な当社のウェブサイトであることをご確認いただくために、ログイン時やログイン後のサービスサイトの一部において、ブラウザーウィンドウ上部のアドレスバー、下部のステータスバーを表示するようにウィンド ウ表示方法の変更を行ないました。
なにはともあれよかった。 他の金融機関がどうなっているか、今一度全部調べてみるとよいかもしれない。
関連記事等:
3.2 なりすましに無警戒な銀行のログイン画面
ネット専業銀行として最近開業したある銀行のサービスサイトでは,ログインボタンを押すと図4のようなウィンドウが現れるようになっている.ユーザはここに口座番号とパスワードを入力するわけであるが,このウィンドウは図のように,メニューや制御ボタン,そして「アドレスバー」と「ステータスバー」がウィンドウから削られている.これは, JavaScript を用いて意図的に現れないように作り込まれている.
ほとんどのウェブブラウザは,通常,「アドレスバー」に,現在表示中のページのURL を示すように作られている.これは,「今見ているところはどこか?」ということをユーザが常に確認できるようにと用意された重要な機能である.また,「ステータスバー」には, SSL 通信をしているかどうかを示す鍵のアイコンがあるはずである.本来ならば,ユーザはこのアイコンを確認することで,現在アクセス中のページが保護されていることを確認できるし,このアイコンをクリックすることで証明書の内容を表示させてそのサーバが偽物でないことを確認できるはずなのに,それがわざわざ非表示になっている.
もしこの銀行を装った偽のウィンドウを出現させる悪意のあるサイトが存在していたらどうだろうか.「こちらは○○銀行です.只今キャンペーン実施中です.今ログインして頂いた方には粗品を差し上げます.」といった電子メールやバナー広告に誘われて,指定のサイトにアクセスしたときに,同じデザインのウィンドウが現れるといったことはあり得るだろう.このとき,日頃から図4のウィンドウに慣らされているユーザは,「右クリック+プロパティ」によってそのウィンドウのURL のドメインを確かめようとするだろうか.これを確かめることなく,偽のウィンドウに口座番号とパスワードを入力してしまえば,それは悪意ある者によって収集されてしまう.偽のウィンドウが,口座番号とパスワードを収集した後,本物の銀行のページにリダイレクトするような仕掛けになっていれば,ユーザは罠にはまったことに気付きもしないだろう.
このことについて,当該銀行のカスタマーセンターに問い合わせてみた.「この問い合わせは情報処理学会の論文を書く際の資料とするためのものである」旨を伝えて問い合わせ,最初の電話から最終回答までに5 日間かかって得られた回答が図5である.
こうしたシステム面の問題以外にも、現在のインターネット・バンキングには、 セキュリティを損ないかねない、いくつかの問題が存在する。例えば、一部の金融 機関が提供するインターネット・バンキングでは、ログイン時に、強制的にブラウ ザーの表示設定が「アドレス・バーを表示しない」に変更され、現在接続している サイトのアドレスが隠されてしまう。ブラウザーを用いてウエブ・サイトに接続す る場合、利用者は、自分が確かに意図したサイトに接続しているかどうかをアドレ ス・バーで確認することができるが、これらの金融機関のサイトに接続した場合、 その確認ができないため、「偽ウィンドウによる攻撃」に対して脆弱になってしま う。この攻撃は、攻撃者が利用者を罠にかけて、利用者のパソコンの画面上に当該 金融機関のウエブ・ページに似せた偽ウィンドウを開かせ、そこから入力させたパ スワード等を攻撃者のサイトに転送させて情報を奪取するものである。普段からア ドレス・バーが表示される設定となっていれば、利用者は表示されたアドレスを確 認することでウィンドウが本物か偽者かを判断することができる。しかし、これら の金融機関は、常にアドレス・バーを隠すことによって、利用者がアドレスを確認 しないように習慣付けてしまっていることになる。さらに、一部の金融機関のイン ターネット・バンキングにおいては、利用者がアドレス・バー以外の方法(マウ ス・ボタンを右クリックし、ページの属性情報を表示させる等)によりアドレスを 確認しようとしても、そのための操作がシステム的に禁止されてしまっている。
このように、現在のインターネット・バンキングのシステムを、ウエブ・アプリ ケーションの安全性という観点から評価すると、十分な対策が講じられているとは 言い難い面がある。
サイトなりすましの死角
今回の調査でもう一つ目立ったのが,身元を隠すサイトの多さである。確認で きただけでも,144行中32行がログイン画面のアドレス・バーを非表示にして おり,うち18行が右クリックを禁止している(表1-C)。こうしたサイトは, サイト自体をなりすまされるリスクがある。銀行のサイトに似た偽サイトを立 ち上げられると,ID/パスワードを盗まれてしまう。
例えば「キャンペーン実施中!」などの偽メールを配信し,そこから偽サイト に顧客を導く。そうとは知らず顧客は偽サイトにID/パスワードを送信してし まう。送信後は「ただいまサービス停止中です」といった画面を表示したり, 正規のサイトへ中継したりすれば,すぐに気付きにくい。アクセスを中継すれ ば,不正な資金移動までされてしまう可能性もある。
Webでサービスを提供する企業も考える必要がある。その最たるものが,前述 の「アドレス・バー」を隠すページである。「アウトソーシングしているので, その企業のドメインではない。アドレス・バーを表示させると,ユーザーが 不安がるだろうから非表示にしている」といった理由から隠していると筆者に は思われる。
しかし,そのような余計な配慮が,アドレス・バーを非表示にしていても怪し く感じさせない土壌を作っているように思えてならない。アウトソーシングし ている場合には,その旨をきちんとユーザーに分かりやすく説明した上で, 堂々とアドレス・バーを表示すべきだろう。
全国の主要銀行百二十行について、フィッシング対策に重要と思われる項目を 調べた。調査内容は専門家が指摘する(1)公式サイトに接続しているか確認 できる「アドレスバー」を隠していないか(2)証明書や暗号化の有無が確認 できる「ステータスバー」を隠していないか(3)公式サイトと偽サイトを混 同する原因になりやすい「複数ドメイン名」を使っていないか――の三点だ。
その結果、満点だったのはみずほ銀行、UFJ銀行、三井住友銀行、シティバ ンク銀行、ジャパンネット銀行、中央三井信託銀行、住友信託銀行、北陸銀行 の八行だけだった。
アドレスバーを隠していたのは東京三菱銀行や新生銀行など。ステータスバー を隠していたのはソニー銀行やイーバンク銀行など。これらを隠す理由はデザ イン上の理由や顧客の誤操作を防ぐためとみられる。しかし、安全性の面では 疑問がある。
(略)
米シティバンクの顧客を狙ったフィッシングに使われた電子メールを解析した。 (略) ポップアップ・ウィンドウにはアドレスバーやステータスバーがないので、操 作してアドレスなどを調べ、公式ページのものと比べないと本物かどうかは分 からない。しかし、銀行の公式ページがアドレスバーなどを隠していると確認 できないし、隠しているページに利用者が慣れてしまうと、だまされやすくな る。利用者の自衛策は不審なメールを無視することだが、見分けるのも難しい。
(略)
【表】銀行のフィッシング対策
アドレスバー ステータスバー 単一ドメイン
(略)
もう3年経っていた……。懐かしい。
高木浩光@自宅の日記 - ソニー銀行がアドレスバーとステータスバーを出すようになっていた 他の金融機関がどうなっているか、今一度全部調べてみるとよいかもしれない。 というのを見て、普段よく使っている東京三菱銀行がどうなったのかを、見てみた。...
皆さん、こんにちは。トーマツの丸山です。高木さんのブログが更新されています(1
ソニー銀行がアドレスバーとステータスバーを出すようになっていた -高木浩光@自宅の日記- いつ対応したんだ? -Soukaku's Hena-Choko Blog- 私も東京三菱使いなのですが、確かに最近まで出てなかったので今確かめてみると、本当に出るようになってますね。 サイトのメイ..
高木浩光@自宅の日記 - ソニー銀行がアドレスバーとステータスバーを出すように...
高木浩光@自宅の日記 - ソニー銀行がアドレスバーとステータスバーを出すように...