高木浩光＠自宅の日記

■ 常陽銀行のリニューアルに期待したがその期待は裏切られた

2年以上前に「フィッシング防止のため地方銀行はこうするべき」という日記を書いていた。

常陽銀行のドメイン名は joyobank.co.jp だが、図1では www2.paweb.anser.or.jp/BS?CCT0080=0130 であることを確認せよと言っているし、千葉銀行のドメイン名は chibabank.co.jp だが、図2では www2.ib-center.gr.jp となっていることを確認せよと言っている。難儀な話だ。

これは、自前でインターネットバンキングシステムを構築できない地方銀行が、 NTTデータの「金融ANSERシステムサービス（anser.or.jp）」ないし、日立の「日立インターネットバンキングセンター（ib-center.gr.jp）」もしくは、日本IBMの「地銀サイバープロジェクト（cyber-biz.ne.jp）」のASPサービスを使っているためだ。

フィッシング詐欺に騙されないために、地銀の預金者たちは、これらのドメイン名を覚えていないといけない。いずれも、NTTデータ、日立、日本IBMといった、信頼ある企業名の含まれていない名前で、anser だの ib-center だの cyber-biz だのよくわからない名前で覚えにくいうえ、どれも怪しげな名前にさえ見えるし、gr.jp なんかは誰でも取れるドメイン名というところも危うい。

この問題は現実的な解決策がある。 Webバグ広告業者がやっていることを真似ればよいのだ。 （略）

つまり、ログイン画面のコンピュータはこれまでどおり、NTTデータ、日立、日本IBMに置いたまま、anser.joyobank.co.jp や ib-center.chibabank.co.jp というホスト名でアクセスできるようにすればよい。

サーバ証明書はどうするかというと、anser.joyobank.co.jp なので常陽銀行の名前で常陽銀行の社員が証明書を取得したうえ、NTTデータが運営する ANSERシステムのサーバに入れてもらう。

フィッシング防止のため地方銀行はこうするべき, 2005年2月20日の日記

地方銀行というと私は、つくば市に移り住んだ際に口座を作って以来、常陽銀行を利用している。その常陽銀行から去年、インターネットバンキングのシステムを大幅にリニューアルするという通知が来ていた。私は、今度こそ、joyobank.co.jp のドメイン名の上にログイン画面が構築されるのかもしれないと期待した。

しかしその期待は裏切られた。

新たに開始された常陽銀行のインターネットバンキングシステムは、「chance.co.jp」などという、ますます得体の知れない怪しげなドメイン名の上に作られていた（図1）。

図1: 常陽銀行の新システムのログイン画面

SSLのサーバ証明書の内容を調べてみると、図2のように、「Regional Banks and Information Technology Solution Co. Ltd.」などと耳慣れない会社名が出てくる。

図2: 常陽銀行のログイン画面のサーバ証明書の内容

NTTとか日立とかIBMといった耳慣れた名称はどこにもない。そこで、whoisでこのドメインの登録者を調べてみたところ、次の通りだった。

[組織名]                     株式会社 地銀ITソリューション
[Organization]               Regional Banks and Information Technology Solution Co., Ltd.
[登録年月日]                 2006/04/27

「"地銀ITソリューション"」でGoogle検索してみると、どうやら、日本IBMが2004年に設立した子会社らしいということがどうにかわかる。

たしかにドメイン名の登録も 2006年4月と、つい最近のことだ。「chance.co.jp」などという、あまりにもありきたりな単語のドメイン名が2006年になってよく取れたもんだと思ったが、archive.orgで調べてみると、かつては別のところが使用していたドメイン名らしい。

それにしても、こんな、会社名とも無関係な名前で、周知もされていないありきたりな名前のドメイン名を、銀行のフロントエンドに使うなどというのは、センスを疑う。

どうして、joyobank.co.jp ドメインの上に作らないのか？

既存のシステムを修繕するのは大変とか、そういうことならまだわかる。だが、最近になって新しいシステムを作り上げたわけだから、これはできたはずのものだろう。

失望した。@ITの記事によると、今後、百十四銀行、十六銀行、南都銀行がこの巻き添えを食らうらしい。

• 常陽銀行で「地銀共同化システム」の第一弾システムが稼働, @IT NewsFlash, 2007年1月6日

  同プロジェクトは、三菱東京UFJ銀行の現行システムをベースとしたシステムを常陽銀行、百十四銀行、十六銀行、南都銀行で共同化するもので、 2003年から検討・開発を進めてきた。今回の常陽銀行を皮切りに、今後、百十四銀行、十六銀行、南都銀行も順次、地銀共同化システムに移行する予定。（略）

  日本IBMは同システムの開発・保守・運用の委託を受け、コンピュータは同社センターに設置。開発・保守・運用の実務は、日本IBM子会社の地銀ITソリューションが行っている。

もしかして、何か実現できない技術的な理由があるのだろうか？ 銀行側がDNSに登録するだけだと思うのだが。

そういえば、少し前に、地銀のいくつかが自社ドメインに移行しているようだとの話を小耳に挟んだことがあったが、本当かどうか調べてなかった。全国地方銀行協会のサイトに掲載されている地銀リストをたよりに、各銀行のログイン画面（個人向けインターネットバンキングサービス）のドメイン名がどうなっているいかざっと調べてみると、現時点で、自社ドメインを使用しているのは以下の9行のみのようだ。

• 山形銀行, ynb.yamagatabank.co.jp
• 群馬銀行, direct.gunmabank.co.jp
• 八十二銀行, direct.82bank.co.jp
• 北陸銀行, direct.hokugin.co.jp
• 大垣共立銀行, okbnetplaza.com （ドメイン名が別になっているのはあまりよくない）
• スルガ銀行, ib.surugabank.co.jp
• 百五銀行, www.105bank.com （ドメイン名が別になっているのはあまりよくない）
• 中国銀行, direct.chugin.co.jp
• 宮崎銀行, mib.miyagin.co.jp

これらが、anser.or.jp や ib-center.gr.jp や cyber-biz.ne.jp などから移行したものなのか、それとも元からこうだったのかはわからない。

これらの各行では、初めてサイトを訪れた場合（およびドメイン名がうろ覚えの場合）であっても、ログイン画面でサーバ証明書の内容を見ることで、銀行の会社名（ただし英文）を確認することができる。

参考： 安全なWebサイト利用の鉄則 — サイト運営者の鉄則 「サービス提供者が保有するドメイン名を使う」