高木浩光＠自宅の日記

■ 銀行2.0はまだ来ない

4月に、「IE7ユーザーにいまさらSSL2.0を使わせようとする銀行」というブログエントリを見かけた。それによると、Internet Explorer がバージョン7に移行し始めたことを契機に、「SSL 2.0を使用する」に設定変更するよう指示している銀行があるのだという。Internet Explorer 7がセキュリティ上の理由でSSL 2.0をオフに変更したにもかかわらずだ。

例えば武蔵野銀行は、4月の時点で図1の解説を掲示していた。

図1: 武蔵野銀行の「Internet Explorer7をご利用いただくにあたってのご注意」のページの2007年4月時点の内容

Internet Explorer7の場合は「SSL2.0を使用する」がチェックされていない場合が多いのでご注意ください。

他にも山形銀行が同様の解説を掲示していた。いったいどうしてこんなことになるのかと、問題点の指摘がてら、なぜ書いているのか聞いてみた（4月に電話で）。すると、だいたいこういうやりとりになった。

ある銀行：

銀: 画面が真っ白になって使えないという方にご案内しているものでして。

私: それで本当に解決するのですか？

銀: はい。お客様にご確認いただいたもので……

私: それは次の項目に書かれている「cacheのクリア」も試したから直ったんじゃないですか？

銀: いえ……

私: そっちで試してないでしょ。

銀: 直ったお客さまもあるので……

私: 次の項目も一緒に変えちゃったらどれが原因かわからないでしょ？

銀: ……。

別の銀行：

銀: IE 7を導入したら真っ白になったというお客さまが実際にこの設定をすることで直っている。

私: もしかして、2.0 と 3.0 を間違えた人がそう言っているのでは？

銀: 半分の人がこれで解決している。

私: では、SSL 2.0をそちらのサーバでは使用しているのですか？

銀: しばらくお待ちください。……。当行ではSSL 2.0と 3.0を使用しています。

私: そもそも2.0を止めるべきではないですか？

銀: 技術に詳しい者から折り返し電話を……

その後折り返しの電話はなかったので結局本当は何が原因だったのかわからない*1。現在は、武蔵野銀行の解説ページからも山形銀行の解説ページからも、この記述が削除されている。

「IE7ユーザーにいまさらSSL2.0を使わせようとする銀行」によると、「SSL 2.0の利用を制限（SSL 3.0へ移行）していることを明示している銀行」というのもあるということだった。どうやら、NTTデータのANSERを使っている地銀等がそのような記述をしているようだ。これはよい。

• 「山梨中銀ダイレクト」における通信手順SSL2.0 による通信の停止について, 山梨中央銀行, 2006年12月

  さて、今般、「山梨中銀ダイレクト」のサービス提供元である（株）ＮＴＴデータから、セキュリティ強化の一環として通信手順SSL2.0 による通信を停止するので、平成１９年１月４日（木）以降、通信手順SSL2.0 では「山梨中銀ダイレクト」をご利用いただくことができなくなるとの連絡がありましたので、ご案内申しあげます。

• 「つるしんインターネットバンキング」における通信手順SSL2.0 による通信の停止について, 都留信用組合, 2006年12月

  さて、今般、「つるしんインターネットバンキング」のサービス提供元である（株）ＮＴＴデ ータから、セキュリティ強化の一環として通信手順SSL2.0 による通信を停止するので、平成１ ９年１月４日（木）以降、通信手順SSL2.0 では「つるしんインターネットバンキング」をご利 用いただくことができなくなるとの連絡がありましたので、ご案内申しあげます。

• 荘内銀行 ご利用環境

  ３．設定による不具合(２)

  SSLおよびTLS※のうち、SSL2.0には、セキュリティ上の脆弱性があるため、現在は一般的に使用を推奨されておりません。当行でも平成19年1月4日(木)以降、SSL2.0の使用を制限させていただきました。

  (SSL2.0で荘銀ダイレクトにアクセスした場合、画面に「ページを表示できません」(InternetExplorerの場合)や、「接続が突然切断されました」(Netscapeの場合)というエラー画面が表示されます。）

  ○当行推奨環境でご利用の場合は、SSL3.0もしくはTLS1.0が使用可能です。

  ※ SSL2.0とSSL3.0の両方が可能なブラウザで通信を開始した場合、ブラウザとサーバが自動的にセキュリティ強度の高いSSL3.0を選択して動作しますので、SSL2.0を利用しないように設定を変えていただく必要はございません。

ちなみに、「IE7ユーザーにいまさらSSL2.0を使わせようとする銀行」によると、「IE7への言及はないが、SSL2.0にチェックを入れるように説明している銀行」（大昔の記述の名残？）がたくさんあるのだという。ほとんどは、IBMや日立のASPを借りている小さな銀行ばかりだが、ネット専業のイーバンク銀行までもがそんなことを書いているというのには呆れた。

図2: イーバンク銀行がSSL 2.0をオンにしろと解説している様子

ところで、SSL 2.0とは別の話になるが、いまだにポップアップウィンドウを使うサイト設計をする銀行があって、作っている業者はどこまでアホなのか？と呆れる。4月8日の日記にも書いた常陽銀行は、今年リニューアルオープンしたばかりで、しかも「地銀ITソリューション」という新会社が新たに構築したサイトだ。なのに、普通にIE 6のデフォルト設定で振込みをしようとすると、「ポップアップがブロックされました」となって、これを見ようとすると先に進めなくなる。

振込み先を指定して「次へ」を押したところで図3の画面となる。

図3: 常陽銀行でポップアップがブロックされる様子

ここで、「ここをクリックしてください」に従い、「一時的に許可」を選ぶと、図4のようになる。

図4: ポップアップウィンドウを出そうとすると……

ここでキャンセルを押そうものなら、

図5: にっちもさっちも行かなくなった様子

となって、ブラウザの「戻る」ボタンを押しても同じ画面となり、にっちもさっちも行かなくなる。図4のところで「再試行」ボタンを押すとどうなるかというと、こうなる。

図6: 「再試行」を選んだときの様子

ここで「再表示」を押すと、図3の画面に戻って、けっきょくポップアップウィンドウの内容は読めない*2。ポップアップがブロックされるのがデフォルトになっていったい何年が経過してると思ってるんだ？ こんな作りにしなきゃいい。