2007年03月31日
■ 銀行のフィッシング解説がなかなか正しくならない
みずほ銀行のトップページを訪れたところ、2月26日付けで「セキュリティガイド(4コマ漫画)を掲載いたしました」というお知らせが出ていた。見に行ってみると、「インターネットバンキング編」という解説があり、「 「フィッシング詐欺」に遭わないためには?」というページがあった。この出来が非常に悪く問題がある。
まず酷いのが、「電子メールが本物かどうかは、送信元アドレスで確認できます。」という完全に誤った解説だ。
「……@mizuhobank.co.jp」というメールアドレスを From: に書いてメールを送ることは誰にでも可能なわけだが、そんなことさえ知らないド素人に、こんな大事な解説の原稿を書かせる神経が理解できない。セキュリティ専門のコンサルに一読してもらうだけで防げるレベルのミスなのに、なぜそれをしないのか。
URLの確認方法として、「URLには…mizuhobank.co.jp…という文字列が含まれています。」というのも酷い誤りだ。たとえば、「https://www.mizuhobank.co.jp.example.com/」というURLだって mizuhobank.co.jp という文字列が含まれているが、これは偽サイトだ。そんなことがわからないって、どんな人が書いてるの? 2006年8月5日の日記にも ebay.comの偽サイトの実例を書いていたように、現にそういう偽サイトが出ている。
加えて、フィッシング防止の話なのに、アドレス確認よりも先に SSLの話をするのも誤解を招く。偽サイトだって https:// のページにするだろうし、正規に取得したSSLで南京錠アイコンを出す偽サイトを作ってくる現実があるというのに、こんな解説じゃ、「https:// なら大丈夫」とか、「南京錠があるなら大丈夫」という誤解を招く。あくまでも、アドレスの確認が先で、加えて南京錠(もしくは https://)の確認だ。
調べてみると、全国銀行協会の解説コンテンツ「金融犯罪の番犬「BANK-KEN」の 金融犯罪にご用心」というものがあった。「フィッシング詐欺の防止策」という解説があるが、これの出来も悪い。みずほ銀行はこれの影響を受けている可能性がある。
「送信元のメールアドレスを確認してください」と書かれている。電子署名付きならともかく、普通のメールのメールアドレスなんか確認したって駄目だ。よく読めば、この文章は「メールアドレスで本物と確認できる」とまでは書いてないわけだが、みずほ銀行はこれを手本にして「送信元アドレスで確認できます」とまで書いてしまったのではないだろうか。
続く部分も間違っている。
「各銀行の電子証明書を確認してください」として、「金融機関名を確認」とあるが、図に示されているものは金融機関名じゃない。ホスト名だ。
図の例からして金融機関名になってないのに、書いてておかしいと思わないかな。セキュリティ専門のコンサルに査読してもらうだけでこういうミスは防げるのに、なぜしないのだろう。
全銀協のサイトを見に行ってみると、3月29日付で、「なぜ?どうして?どうしたらいいの?−銀行Q&A−」というパンフレットが発行されたとある(ニュースリリース)。そこに「Q8.金融犯罪を防ぐには、どうしたらいいの」(PDF)というページがあり、フィッシングの解説もある。
ここには、「送信元のメールアドレスや指定されたホームページのアドレスを確認して、少しでもおかしいと思ったら、金融機関に問い合わせる。」と書かれている。この文章ならば、字面上間違いは書かれていないことになるが、どうやったらその「確認」とやらができるのかは説明されていない。
ちょうど先週、勤務先の仕事として「安全なWebサイト利用の鉄則」というコンテンツを公開した。これは、まさにこういった解説を書く方々向けに、正しい解説を書くための考え方を解説する目的で書いたものだ。
- 安全なWebサイト利用の鉄則, 産業技術総合研究所 情報セキュリティ研究センター, 2007年3月23日
どうやってWebサイトを安全に利用するか、その手順のことはあまり広く知られていないようです。技術者達の間では暗黙の了解となっていることですが、市販のパソコンの取扱説明書には書かれていませんし、学校の教科書にも書かれていません。最近では行政機関や企業からフィッシングに注意を呼びかける文書が発表されることがありますが、あまり正しく解説されていないのが現状です。
この解説は、Webサイトを安全に利用する簡潔な手順を示します。無用で余分な確認手順等は排除しています。必要な手順のみを示します。
想定する読者: 利用手順をユーザに説明する方、サイトを設計する方
ドメイン名を利用者が覚えることがまず基本であり、ドメイン名を見分ける方法、ドメイン名を覚えきれないあるいは見間違えそうな場合でも、ブラウザの機能を使って機械的に見分ける方法があること、ドメイン名をまだ知らないときにサーバ証明書の内容を確認するのだということ、サイト運営者はドメイン名を周知することが肝要であることなどが書かれている。
FAQも用意していたが、追加しなければならない項目があるようだ。
Q7: メールが本物かどうか確認する方法を説明しないのはなぜですか?
他の銀行にもおかしな解説が蔓延しているのではないかとちょっと調べたところ、新生銀行に別の杜撰な解説があった。
ステータスバーなんか確認に使っちゃ駄目だ。ステータスバーというのはJavaScriptでどんな内容でも表示できる場所だ*1。このFAQも必要そうだ。
Q8: リンク先にジャンプする前にリンク先URLを確認する方法を推奨しないのはなぜですか?
というか、そもそも、「フィッシングかな?怪しい!と感じたら、そのアドレスを注意深く確認してみましょう」じゃねーよ。怪しけりゃ確認するまでもないし、怪しいと感じないときに確認することが肝心だってのに、何言ってんの? お祭り見物気分で解説書くな。
■ IE 7日本語版のEV SSL証明書表示はベリサイン従業員も混乱する
EV SSLサーバ証明書の日本での発行が各社で開始された。日本ベリサインも28日から開始したというので、同社の解説ページを見に行った。すると、こんなページがあった。
「ウェブサイトを運営する組織」と「証明書を発行した認証局」が逆だ。
元の英語版の解説と見比べてみるとどうだろうか。
英語版では「Identified by VeriSign」と出る。これが日本語版では「VeriSignによって識別」と出る。先に固有名詞が来て「によって識別」というのはわかりにくいのではないか。こうした、英語の語順で設計されたUIを日本語の語順で単純に翻訳することの罪は、今に始まったことではない。マイクロソフトの日本語訳作業の無神経ぶりはどうして治らないのだろう? 「識別元: VeriSign」とか「身元確認者: VeriSign」などとしたほうがよいのではないかとか、考えないのか。
*1 Outlook Expressの場合は、いつぞやのバージョンから、メール上でJavaScriptが動かない設定がデフォルトになったが、その場合だけこの方法が有効だとする教え方は話が複雑になるので避けるべきだ。
高木浩光氏が銀行のフィッシング解説の出来の悪さについて書いていた(http://takagi-hiromitsu.jp/diary/20070331.html#p01)。それで銀行のサイトをつらつらと見ていたんですが、暗号化強度についての言及について、気付いた事があったので、書きます。 りそな銀行のサイ
産総研の高木さんが、いちいち証明書を確認する必要があるってのは「本来」おかしい。という趣旨のことをよく訴えてますけど(例えば 銀行のフィッシング解説がなかなか正しくならない とか)、あるべき姿でWebやメールが運用されていないんだから、いろいろ確認せざるを得な
Generic zoloft. Zoloft. Secret side effects of zoloft. Zoloft withdrawals.
- https://www.google.co.jp ×17 (2015-09-11)
- はてなダイアリー [oldriver 20070401] ×86 : 82, 3, 1 (2014-02-26)
- http://www.tagindex.com/kakolog/bbs/101/227.html ×7 (2011-11-29)
- はてなブックマークコメント ×34 : 22, 9, 1, 1, 1 (2010-02-10)
- スラッシュドットjournal [C0FFEE] ×7 : 6, 1 (2008-12-25)
- http://spamnews.ddo.jp/archives.php?year=2007&month=04 ×4 (2008-08-08)
- はてなダイアリー [textfile 20070402] ×33 : 31, 2 (2008-03-07)
- http://forums.firehacks.org/l10n/viewtopic.php?p=7392 ×4 (2008-01-11)
- http://www.bravotouring.com/~yano/diary/it/20071129bank.htm ×6 (2007-12-13)
- ココログ [stressfulangel cocolog] ×13 : 6, 5, 1, 1 (2007-10-14)
- ココログ [dole moe] ×11 : 6, 3, 2 (2007-08-15)
- http://www.choix.jp/issues/IE_7日本語版のEV_SSL証明書表示はベリサイン従業員も混乱す... ×4 (2007-06-08)
- はてなブックマークコメント [4354820] ×8 (2007-05-10)
- はてなダイアリー [harurin] ×9 : 8, 1 (2007-05-03)
- はてなダイアリー [rerasiu] ×118 : 113, 4, 1 (2007-04-25)
- はてなダイアリー [hejihogu 20070406] ×10 : 9, 1 (2007-04-24)
- RinRin王国 ×621 : 593, 13, 8, 6, 1 (2007-04-13)
- http://owa.as.wakwak.ne.jp/zope/news ×4 (2007-04-11)
- はてなダイアリー [oldriver] ×4 : 3, 1 (2007-04-10)
- http://hpcgi2.nifty.com/atd/smalltalk/tboard006.cgi ×9 (2007-04-09)
- http://materia.jp/blog/20070403.html ×9 (2007-04-06)
- http://www.nnistar.com/archives/200704042340.php ×4 (2007-04-05)
- http://o-chan.osw.olympus.co.jp/servlet/jp.co.realcom.km3.de... ×4 (2007-04-03)
- Seesaaブログ [mkt5126] ×11 : 6, 5 (2007-04-03)
- http://o-chan.osw.olympus.co.jp/servlet/jp.co.realcom.km3.de... ×4 (2007-04-03)
- http://forums.firehacks.org/l10n/viewtopic.php?p=7268 ×4 (2007-04-02)
- http://forums.firehacks.org/l10n/viewtopic.php?t=2417 ×5 (2007-04-02)
- はてなダイアリー [harurin 20070402] ×4 (2007-04-02)
- セキュリティホールmemo ×3078 : 2794, 187, 62, 31, 3, 1 (2007-04-02)
- はてなダイアリー [textfile] ×20 (2007-04-02)
- http://www003.upp.so-net.ne.jp/woodenships/ ×101 (2007-04-02)
- http://www2.bus.osaka-cu.ac.jp/~kiyota/mfwiki/pukiwiki.php ×8 (2007-04-02)
- http://www2.bus.osaka-cu.ac.jp/~kiyota/mfwiki/pukiwiki.php?F... ×10 (2007-04-02)
- はてなダイアリー [rerasiu 20070402] ×9 (2007-04-02)
- livedoorクリップコメント ×16 : 9, 7 (2007-04-01)
- はてなダイアリー [rev-9 20070401] ×7 (2007-04-01)
- http://bsg.to/antena.html ×23 (2007-04-01)
- EV SSL証明書 ×80 / 新生銀行 フィッシング ×57 / EV SSL ×32 / キーワード不明 ×27 / フィッシング SSL ×24 / SSL フィッシング ×19 / SSL 解説 ×10 / EV-SSL証明書 ×9 / EV SSL 証明書 ×7 / 高木浩光 新生銀行 ×6 / ssl フィッシング ×6 / フィッシング 解説 ×6 / ステータスバー ://takagi-hiromitsu.jp/diary/ ×5 / みずほ銀行 フィッシング ×5 / 高木浩光 銀行 ×5 / IE7 EV SSL ×5 / フィッシング ssl ×5 / SSL ×5 / 銀行 SSL ×4 / 電子証明書 IE7 ×4 / 高木浩光 みずほ ×4 / ev ssl証明書 ×4 / みずほ銀行 高木浩光 ×4 / 高木浩光 フィッシング ×4 / EV 証明書 ×4 / @mizuhobank.co.jp ×4 / 新生銀行 フィッシング詐欺 ×4 / SSL URL ×4 / フィッシング詐欺の防止策 ×4 / フィッシング 銀行 ×4 / IE7 証明書 ×3 / フィッシング ×3 / 高木浩光 SSL 証明書 確認 ×3 / https 解説 ×3 / ベリサイン EV SSL証明書 ×3 / "EV SSL証明書" ×3 / 高木 浩光 こんな銀行 ×3 / フィッシィング 銀行 ×3 / フィッシング -hiromitsu.jp ×3 / -hiromitsu.jp SSL ×3 / みずほ銀行 高木 ×3 / ssl ev ×3 / 同人 CG ×3 / -hiromitsu.jp フィッシング ×3 / ev ssl ×3 / 証明書 電子メール 確認 ×3 / EV-SSL ×3 / IE 証明書 ×3 / フィッシング 新生銀行 ×3 / SSL証明書 ×3 / 新生銀行 高木 ×3 / 銀行 フィッシング ×3 / ie7 ssl 証明書 ×3 / 全国銀行協会 ひどい ×3 / 銀行 解説 ×2 / -hiromitsu.jp ssl ×2 / 銀行 SSL ×2 / 証明書 メールアドレス ×2 / フィッシング 犯罪 ×2 / フィッシング EV SSL ×2 / 高木 自宅の日記 銀行 正しくならない ×2 / ssl 解説 ×2 / フィッシング ://takagi-hiromitsu.jp/diary/ ×2 / IE 解説 ×2 / 日本語なかなか ×2 / mizuhobank.co.jp ×2 / SSL -hiromitsu.jp ×2 / 電子証明書 高木 ×2 / 高木浩光 EV SSL ×2 / EV-SSL 銀行 ×2 / 日本ベリサイン ×2 / SSL 証明書 解説 ×2 / フィッシング詐欺 ie7 ×2 / フィッシング詐欺 サイト 実例 ×2 / 2007 フィッシング 銀行 ×2 / みずほ銀行 セキュリティガイド ×2 / EV SSL 高木 ×2 / SSL 証明書 確認 ×2 / IE SSL 証明書 ×2 / 全銀協 ev ssl ×2 / 新生銀行 フィッシング 高木 ×2 / フィッシング -hiromitsu.jp/diary/ ×2 / サーバ証明書 金融機関名 高木 ×2 / IE7 フィッシング詐欺 ステータスバー ×2 / フィッシング犯罪 実例 ×2 / -hiromitsu.jp フィッシング EV-SSL ×2 / EV SSL 高木浩光 ×2 / 高木 EV SSL ×2 / ssl証明書 FAQ ホスト名 ×2 / IE 7 証明書 ×2 / 新生銀行 -hiromitsu.jp ×2 / httpsの確認 ×2 / ie フィッシング ×2 / ev ssl証明書とは ×2 / ie7 証明書 ×2 / EV SSL 高木 自宅 ×2 / 高木 証明書 ×2 / ssl javascript 動かない ie ×2 / ie7 ssl証明書 ×2 / EV SSL 銀行 ×2 / 銀行 -hiromitsu.jp ×2 / "@mizuhobank.co.jp" ×2 / 新生 フィッシング ×2 / 新生銀行 高木 フィッシング ×2 / -hiromitsu.jp EV SSL ×2 / 日本語 組織名 EV 理由 ×2 / -hiromitsu.jp 銀行 ×2 / ssl 証明書 解説 ×2 / 高木 みずほ ×2 / -hiromitsu.jp ev ssl ×2 / 銀行 IE ×2 / Internet Explorer 電子証明 ×2 / フィッシング 証明書 ×2 / フィッシング SSL 高木浩光 ×2 / EV SSL sample ×2 / SSL IE ×2 / 日本語の語順 ×2 / 証明書 IE7 ×2 / IE 7日本語版のEV SSL証明書表示はベリサイン従業員も混乱する ×2 / ev-ssl -hiromitsu.jp ×2 / 高木浩光 メール 銀行 ×2 / -hiromitsu.jp EV ×2 / HTTPS HTTP コンテンツ -hiromitsu.jp ×2 / 全国銀行協会高木 ×2 / SSL 証明書 ×2 / ev SSL ×2 / ev 証明書 ×2 / ://takagi-hiromitsu.jp/ SSL ×2 / 銀行 証明書 ×2 / 新生銀行 フィッシングメール ×2