<前の日記(2004年12月10日) 次の日記(2004年12月19日)> 最新 編集

高木浩光@自宅の日記

目次 はじめに 連絡先:blog@takagi-hiromitsu.jp
訪問者数 本日: 882   昨日: 2421

2004年12月15日

ソニー銀行がアドレスバーとステータスバーを出すようになっていた

久しぶりにソニー銀行を利用しようと したところ、 ログイン画面でアドレスバーとステータスバーが現れるようになっているのに 気づいた。

いつからだろう? と調べてみると、 お知らせが11月15日に出ていた。そこにこう書かれている。

  • 「フィッシング詐欺」にご注意ください, ソニー銀行, 2004年11月15日

    お客さまがアクセスしているページが正当な当社のウェブサイトであることをご確認いただくために、ログイン時やログイン後のサービスサイトの一部において、ブラウザーウィンドウ上部のアドレスバー、下部のステータスバーを表示するようにウィンド ウ表示方法の変更を行ないました

なにはともあれよかった。 他の金融機関がどうなっているか、今一度全部調べてみるとよいかもしれない。

関連記事等:

  • ITコマースの脆弱な現実と危機回避に向けた展望, 情報処理学会第63回全国大会特別トラック, 2001年9月26日

    3.2 なりすましに無警戒な銀行のログイン画面

    ネット専業銀行として最近開業したある銀行のサービスサイトでは,ログインボタンを押すと図4のようなウィンドウが現れるようになっている.ユーザはここに口座番号とパスワードを入力するわけであるが,このウィンドウは図のように,メニューや制御ボタン,そして「アドレスバー」と「ステータスバー」がウィンドウから削られている.これは, JavaScript を用いて意図的に現れないように作り込まれている.

    ほとんどのウェブブラウザは,通常,「アドレスバー」に,現在表示中のページのURL を示すように作られている.これは,「今見ているところはどこか?」ということをユーザが常に確認できるようにと用意された重要な機能である.また,「ステータスバー」には, SSL 通信をしているかどうかを示す鍵のアイコンがあるはずである.本来ならば,ユーザはこのアイコンを確認することで,現在アクセス中のページが保護されていることを確認できるし,このアイコンをクリックすることで証明書の内容を表示させてそのサーバが偽物でないことを確認できるはずなのに,それがわざわざ非表示になっている.

    もしこの銀行を装った偽のウィンドウを出現させる悪意のあるサイトが存在していたらどうだろうか.「こちらは○○銀行です.只今キャンペーン実施中です.今ログインして頂いた方には粗品を差し上げます.」といった電子メールやバナー広告に誘われて,指定のサイトにアクセスしたときに,同じデザインのウィンドウが現れるといったことはあり得るだろう.このとき,日頃から図4のウィンドウに慣らされているユーザは,「右クリック+プロパティ」によってそのウィンドウのURL のドメインを確かめようとするだろうか.これを確かめることなく,偽のウィンドウに口座番号とパスワードを入力してしまえば,それは悪意ある者によって収集されてしまう.偽のウィンドウが,口座番号とパスワードを収集した後,本物の銀行のページにリダイレクトするような仕掛けになっていれば,ユーザは罠にはまったことに気付きもしないだろう.

    このことについて,当該銀行のカスタマーセンターに問い合わせてみた.「この問い合わせは情報処理学会の論文を書く際の資料とするためのものである」旨を伝えて問い合わせ,最初の電話から最終回答までに5 日間かかって得られた回答が図5である.

  • 第4回情報セキュリティ・シンポジウムの模様― インターネットを利用した金融サービスの情報セキュリティ対策―, 日本銀行金融研究所, 金融研究第21巻第2号, p.168, 2002年6月

    こうしたシステム面の問題以外にも、現在のインターネット・バンキングには、 セキュリティを損ないかねない、いくつかの問題が存在する。例えば、一部の金融 機関が提供するインターネット・バンキングでは、ログイン時に、強制的にブラウ ザーの表示設定が「アドレス・バーを表示しない」に変更され、現在接続している サイトのアドレスが隠されてしまう。ブラウザーを用いてウエブ・サイトに接続す る場合、利用者は、自分が確かに意図したサイトに接続しているかどうかをアドレ ス・バーで確認することができるが、これらの金融機関のサイトに接続した場合、 その確認ができないため、「偽ウィンドウによる攻撃」に対して脆弱になってしま う。この攻撃は、攻撃者が利用者を罠にかけて、利用者のパソコンの画面上に当該 金融機関のウエブ・ページに似せた偽ウィンドウを開かせ、そこから入力させたパ スワード等を攻撃者のサイトに転送させて情報を奪取するものである。普段からア ドレス・バーが表示される設定となっていれば、利用者は表示されたアドレスを確 認することでウィンドウが本物か偽者かを判断することができる。しかし、これら の金融機関は、常にアドレス・バーを隠すことによって、利用者がアドレスを確認 しないように習慣付けてしまっていることになる。さらに、一部の金融機関のイン ターネット・バンキングにおいては、利用者がアドレス・バー以外の方法(マウ ス・ボタンを右クリックし、ページの属性情報を表示させる等)によりアドレスを 確認しようとしても、そのための操作がシステム的に禁止されてしまっている。

    このように、現在のインターネット・バンキングのシステムを、ウエブ・アプリ ケーションの安全性という観点から評価すると、十分な対策が講じられているとは 言い難い面がある。

  • 警鐘●危険なネット銀行を作るな, なりすまし対策に死角あり,144行の調査で判明, 日経システム構築, 2003年5月号

    サイトなりすましの死角

    今回の調査でもう一つ目立ったのが,身元を隠すサイトの多さである。確認で きただけでも,144行中32行がログイン画面のアドレス・バーを非表示にして おり,うち18行が右クリックを禁止している(表1-C)。こうしたサイトは, サイト自体をなりすまされるリスクがある。銀行のサイトに似た偽サイトを立 ち上げられると,ID/パスワードを盗まれてしまう。

    例えば「キャンペーン実施中!」などの偽メールを配信し,そこから偽サイト に顧客を導く。そうとは知らず顧客は偽サイトにID/パスワードを送信してし まう。送信後は「ただいまサービス停止中です」といった画面を表示したり, 正規のサイトへ中継したりすれば,すぐに気付きにくい。アクセスを中継すれ ば,不正な資金移動までされてしまう可能性もある。

  • phishing――だましのメールに釣られるな, 日経IT Pro 記者の眼, 2004年3月15日

    Webでサービスを提供する企業も考える必要がある。その最たるものが,前述 の「アドレス・バー」を隠すページである。「アウトソーシングしているので, その企業のドメインではない。アドレス・バーを表示させると,ユーザーが 不安がるだろうから非表示にしている」といった理由から隠していると筆者に は思われる。

    しかし,そのような余計な配慮が,アドレス・バーを非表示にしていても怪し く感じさせない土壌を作っているように思えてならない。アウトソーシングし ている場合には,その旨をきちんとユーザーに分かりやすく説明した上で, 堂々とアドレス・バーを表示すべきだろう。

  • 情報技術の死角 安全対策を問う(上) オンライン銀行――フィッシング詐欺に注意, 日経産業新聞 2004年8月23日先端技術面

    全国の主要銀行百二十行について、フィッシング対策に重要と思われる項目を 調べた。調査内容は専門家が指摘する(1)公式サイトに接続しているか確認 できる「アドレスバー」を隠していないか(2)証明書や暗号化の有無が確認 できる「ステータスバー」を隠していないか(3)公式サイトと偽サイトを混 同する原因になりやすい「複数ドメイン名」を使っていないか――の三点だ。

    その結果、満点だったのはみずほ銀行、UFJ銀行、三井住友銀行、シティバ ンク銀行、ジャパンネット銀行、中央三井信託銀行、住友信託銀行、北陸銀行 の八行だけだった。

    アドレスバーを隠していたのは東京三菱銀行や新生銀行など。ステータスバー を隠していたのはソニー銀行やイーバンク銀行など。これらを隠す理由はデザ イン上の理由や顧客の誤操作を防ぐためとみられる。しかし、安全性の面では 疑問がある。

    (略)

    米シティバンクの顧客を狙ったフィッシングに使われた電子メールを解析した。 (略) ポップアップ・ウィンドウにはアドレスバーやステータスバーがないので、操 作してアドレスなどを調べ、公式ページのものと比べないと本物かどうかは分 からない。しかし、銀行の公式ページがアドレスバーなどを隠していると確認 できないし、隠しているページに利用者が慣れてしまうと、だまされやすくな る。利用者の自衛策は不審なメールを無視することだが、見分けるのも難しい。

    (略)

    【表】銀行のフィッシング対策
    アドレスバー  ステータスバー  単一ドメイン
    (略)

もう3年経っていた……。懐かしい。

本日のTrackBacks(全5件) [TrackBack URL: http://takagi-hiromitsu.jp/diary/tb.rb/20041215]

高木浩光@自宅の日記 - ソニー銀行がアドレスバーとステータスバーを出すようになっていた 他の金融機関がどうなっているか、今一度全部調べてみるとよいかもしれない。 というのを見て、普段よく使っている東京三菱銀行がどうなったのかを、見てみた。...

 皆さん、こんにちは。トーマツの丸山です。高木さんのブログが更新されています(1

ソニー銀行がアドレスバーとステータスバーを出すようになっていた -高木浩光@自宅の日記- いつ対応したんだ? -Soukaku's Hena-Choko Blog- 私も東京三菱使いなのですが、確かに最近まで出てなかったので今確かめてみると、本当に出るようになってますね。 サイトのメイ..

高木浩光@自宅の日記 - ソニー銀行がアドレスバーとステータスバーを出すように...

高木浩光@自宅の日記 - ソニー銀行がアドレスバーとステータスバーを出すように...

検索

<前の日記(2004年12月10日) 次の日記(2004年12月19日)> 最新 編集

最近のタイトル

2016年08月23日

2016年07月23日

2016年07月16日

2016年07月02日

2016年06月12日

2016年06月03日

2016年04月23日

2016年04月06日

2016年03月27日

2016年03月14日

2016年03月06日

2016年02月24日

2016年02月20日

2016年02月11日

2016年02月05日

2016年01月31日

2015年12月12日

2015年12月06日

2015年11月23日

2015年11月21日

2015年11月07日

2015年10月20日

2015年07月02日

2015年06月14日

2015年03月15日

2015年03月10日

2015年03月08日

2015年01月05日

2014年12月27日

2014年11月12日

2014年09月07日

2014年07月18日

2014年04月23日

2014年04月22日

2000|01|
2003|05|06|07|08|09|10|11|12|
2004|01|02|03|04|05|06|07|08|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|12|
2007|01|02|03|04|05|06|07|08|09|10|11|12|
2008|01|02|03|04|05|06|07|08|09|10|11|12|
2009|01|02|03|05|06|07|08|09|10|11|12|
2010|01|02|03|04|05|06|07|08|09|10|11|12|
2011|01|02|03|05|06|07|08|09|10|11|12|
2012|02|03|04|05|06|07|08|09|
2013|01|02|03|04|05|06|07|
2014|01|04|07|09|11|12|
2015|01|03|06|07|10|11|12|
2016|01|02|03|04|06|07|08|
<前の日記(2004年12月10日) 次の日記(2004年12月19日)> 最新 編集