高木浩光＠自宅の日記

■ こんな銀行は嫌だ

「こんな銀行は嫌だ――オレオレ証明書で問題ありませんと言う銀行」……そんな冗談のような話がとうとう現実になってしまった。しかも、Microsoftが対抗策を施した IE 7 に対してさえ言ってのけるという。

この原因は、地方銀行のベンダー丸投げ体質と、劣悪ベンダーが排除されないという組織の構造的欠陥にあると推察する。

図1: 武蔵野銀行の「法人のお客さま」のページで
「ログインはこちら」としてリンクされているページに現時点でも書かれている内容

【ぶぎんビジネス情報サイト】アクセス時に表示される警告メッセージについて

ぶぎんビジネス情報サイトでは、サイトＵＲＬ（https://www.bugin.cns-jp.com/）ではなく、ベースドメイン（https://www.cns-jp.com/）でSSLサーバ証明書を取得しております。このため、本サイトにアクセスする際、ブラウザの仕様により次の警告メッセージが表示されますが、セキュリティ上の問題はございませんので、安心してぶぎんビジネス情報サイトをご利用ください。

（略）

左図の画面（ページ）が表示されましたら、「このサイトの閲覧を続行する（推奨されません）」を選択(クリック)してください。ぶぎんビジネス情報サイトのログイン画面に遷移します。

IE7.0で本サイトにアクセスされますと、アドレスバーの背景色が赤くなり、「認証エラー」と表示されますが、これは、SSLサーバ証明書をサイトURLベースドメイン（https://www.cns-jp.com/）で取得しているためです。サイト自体はSSL128bitによる暗号化通信を行っておりますので、セキュリティ上の問題はございません。

武蔵野銀行「【ぶぎんビジネス情報サイト】アクセス時に表示される警告メッセージについて」より

図2: 北越銀行の「ホクギンeビジネス」のページと
そこから「アクセス時に表示される警告メッセージについて」としてリンクされているページに現時点でも書かれている内容

【法人向け情報Web　ホクギンeビジネス】アクセス時に表示される警告メッセージについて

法人向け情報Webホクギンeビジネスでは、サイトＵＲＬ（https://www.hokuetsu.cns-jp.com/）ではなく、ベースドメイン（https://www.cns-jp.com/）でＳＳＬサーバ証明書を取得しております。このため、本サイトにアクセスする際、ブラウザの仕様により次の警告メッセージが表示されますが、セキュリティ上の問題はございませんので、安心して法人向け情報Web　ホクギンeビジネスをご利用ください。

（略）

＜InternetExplorer7.0をご利用の場合＞

以下の画面（ページ）が表示されましたら、「このサイトの閲覧を続行する（推奨されません）」を選択(クリック)してください。法人向け情報Web　ホクギンeビジネスのログイン画面に遷移します。

IE7.0で本サイトにアクセスされますと、アドレスバーの背景色が赤くなり、「認証エラー」と表示されますが、これは、ＳＳＬサーバ証明書をサイトＵＲＬベースドメイン（https://www.cns-jp.com/）で取得しているためです。サイト自体はSSL128bitによる暗号化通信を行っておりますので、セキュリティ上の問題はございません。

北越銀行「【法人向け情報Web　ホクギンeビジネス】アクセス時に表示される警告メッセージについて」より

「オレオレ証明書」についておさらいしておくと、こうした警告を「問題ありません」と説明する出鱈目が、3年ほど前に地方自治体を中心に流行しかけたが、「オレオレ証明書」という用語が誕生して、多くの人が「問題ないわけがない」ということを認知するようになった。

• 広島市曰く「警告は出ますがセキュリティ自体には問題ない」, 2005年1月11日の日記
• 小学生にセキュリティ警告を無視させる埼玉県, 2005年1月14日の日記
• 2005年1月15日の日記

  11日の日記 に対して、「昨日自分で書いた『オレオレ証明書』という言い方が気に入ってきた」というトラックバック を頂いた。「オレオレ証明書」……ソレダ！ 使わせて頂く。

• 日経サイエンスに「オレオレ証明書」, 2005年3月1日

  日経サイエンス2005年4月号にナイスな記事が載っていた。

  自治体が促進!? ネットの「オレオレ詐欺」
  役所が進める電子政府の安全確保が，かえって利用者を危険に追い込む

  （略）情報セキュリティの技術者たちはこういうニセ証明書を“オレオレ証明書” と呼ぶ。（略）自治体を名乗って「ブラウザーの警告なんか無視してくれ」というのがオレオレ証明書だ。（略）

• 銀行業界が自治体に苦情を申し立てても不思議でない, 2005年3月15日

  そもそも、この警告が出たら「いいえ」を押すのが当然の常識として人々にもともと理解されているはずのところが、昨今では、その常識が崩れつつある。その原因は、自治体の電子申請システムだ。自治体の愚かな行いが、銀行に対するphishing攻撃の危険性を増大させている。

  そもそもWebのサーバ証明書は、Webというグローバルなアプリケーションドメインに対して設定されたそれ固有のPKIモデルで稼動しているものであり、銀行をはじめとする事業者たちはこれまで、そのモデルのルールに則って証明書を購入し運用してきた。そこへ、後からやってきた役所の連中が、そのモデルのルールを無視し、勝手認証局を立て、「私達も仲間ですよ」と利用者達をたぶらかしている。（ブラウザベンダーに対して「仲間に入れて」とお願いするのではなしに。）

  銀行業界は、このような自治体の迷惑行為に対して、やめてもらえないかと、要請してはどうか。

民間企業だったらこんなことはしない。なぜなら、他を見回してみたときにそんなことをやっているところはないと気づくからだ。一般に、誰もやらないことを自分がやろうとするときは、何か間違っているのではないかと疑ってみるのは猿でもすることだ。それなのに、自分だけはそれをやっても許されると思ってしまうのは、役所ならではだろう。

その後、Microsoftがこれに対抗策を打ち出して、Internet Explorer 7 ではより強力なエラー表示が出るように改善された（図3）。

図3: SSL接続の異常を示すIEの画面（上はIE 6の場合、下はIE 7の場合）

IE 6では、単純な警告ダイアログが出て「はい」か「いいえ」のボタンを押すだけになっており、ひとたび「はい」を押してしまうと、その先では何の異常もなかったかのようにアクセスできてしまうため、意味もわからず「はい」を押してしまう人が続出していた。

これが IE 7では、図3のように、「詐欺や、お使いのコンピュータからサーバーに送信される情報を盗み取る意図が示唆されている場合があります」ときちんと理由を示した警告文に改善されたうえ、「サイトの閲覧を続行しないことを推奨します」とまで書かれている。それでもなお、「このサイトの閲覧を続行する」という選択肢が残されているものの、「（推奨されません）」とまで書かれている。万が一これが続行された場合でも、次の図4のように、続行した先のページでは常時、異常であることを示す表示（アドレスバーが赤くなり、「証明書エラー」と出る）がなされるようになった。

図4: IE 7で警告を無視して続行した場合の画面

ここまでしつこく異常を伝えるように改善されたのだから、IE 7（とそれが標準搭載されるWindows Vista）が普及するにつれて、このオレオレ証明書問題は自然と解決されていくだろうと思っていた*1。

ところが、実際にIE 7が普及してきた現在、これらに対してさえ、「問題ありません」だとか、「『推奨されません』をクリックしてください」と言う虫*2が沸いてきた。しかも、よりによって銀行がそれを言うのである。

フィッシング詐欺の脅威が迫っている中、「アドレスバーが赤くなって『エラー』と表示されていたら閲覧を中止しなければならない」という鉄則を利用者の常識としなければならないところに、「使ってもいい場合がある」などという嘘*3が吹聴されたら、対策が台無しであり、皆が迷惑する。

銀行に脆弱性があって放置されているとか、銀行が改竄されているとか、そういうのはある意味自業自得なのだから、周りからとやかく言われる筋合いはないと言われるかもしれないが、このような、嘘の説明を言いふらす行為は、他のまじめにやっている銀行が迷惑するだろう。金融庁が指導するか、あるいは、全銀協がこれらの銀行に対して抗議するべき事態と言える。

それにしても、なぜこんなことになってしまっているのか。2つの銀行の説明文を見ると、それらが同一の文章から作られていることがわかる。単にこの2つの銀行が馬鹿だというだけでなく、他に汚染源があると推察される。

そこで、11月2日にこれらの銀行に電話して、問題点を指摘するのと同時に、原因を探るべく取材を試みた。*4

まず、電話すると先方は第一声として、「証明書を買うかどうか検討している最中でして」と言う。話を聞くと、今年の7月に地銀ネットワークサービス株式会社から文書で通達があり、証明書を買えば警告が出なくなるとの説明を受けているという。

「地銀ネットワークサービス株式会社」とは全国地方銀行協会に加盟する全国の地方銀行が株主となって設立された共同事業会社であり、ここが「cns-jp.com」というサイトを運営している。図1、図2のエラー画面が出るWebページは、「www.bugin.cns-jp.com」と「www.hokuetsu.cns-jp.com」であるように、この「cns-jp.com」の配下にある。つまり、共同運営会社がASPサービスとしてこれらのサイトを提供しているわけである。

同じこのASPを使う銀行でも、この警告が出ないところもある。たとえば、沖縄銀行向けの「https://www.okinawa.cns-jp.com/」では警告が出ない。2006月9月12日の日記の記録では、沖縄銀行のこのページも警告が出る状態だったので、その後、沖縄銀行は証明書代金を支払ったのだろう。現在でも、以下の7つの銀行が警告が出る状態のままとなっている。

• https://www.hokkoku.cns-jp.com/
• https://www.hokuriku.cns-jp.com/
• https://www.oitabank.cns-jp.com/
• https://www.hokuetsu.cns-jp.com/
• https://www.iyo.cns-jp.com/
• https://www.shinwabank.cns-jp.com/
• https://www.bugin.cns-jp.com/

なぜこれだけの長期間にわたって、「買うかどうか検討している最中」のままなのか謎であるわけだが、それは理解できなくもない。なぜなら、銀行が証明書を取得するのではないからだ。

沖縄銀行用のサイト「www.okinawa.cns-jp.com」の証明書の発行先を見ると次のようになっている。

CN = www.okinawa.cns-jp.com
OU = Operations
O = CNS
L = Chiyodaku
S = Tokyo
C = JP

そもそも「CNS」などという名前で証明書が取れること自体も異常（会社の英文名称で取るのが普通）*5だが、「CNS」とは「Chigin Netowrk Service Co., Ltd.」のことのようだ。

このように、沖縄銀行が証明書を取得したのではなく、証明書の取得者はASP提供会社である地銀ネットワークサービスになっている。それは当然で、ドメイン名が「cns-jp.com」だからだ。

つまり、証明書の取得にお金が必要というのは、システムの都合であって、銀行が証明書を買うという話ではない。実際、システム設計を変更すれば、各銀行ごとにばらばらに何枚も証明書を買う必要などない。たとえば、次のURLにすれば「www.cns-jp.com」用の証明書1枚で済む。*6

https://www.cns-jp.com/hokkoku/
https://www.cns-jp.com/hokuriku/
https://www.cns-jp.com/oitabank/
https://www.cns-jp.com/hokuetsu/
https://www.cns-jp.com/iyo/
https://www.cns-jp.com/shinwabank/
https://www.cns-jp.com/bugin/

はじめからこのようにしなかったシステムの設計ミスであろう。*7

システムを作った際、SSLのことを何も考えなかった結果だ。そしていざサービスを始めてみると、SSLで警告が出るという苦情が寄せられるようになり、さてどうするかというときに、システムの欠陥を直すのではなしに、証明書を無駄に何枚も買わせて解決しようとしたわけだ。

これはシステムの設計ミスが原因なのだから、その解決に必要な費用はシステム提供者である地銀ネットワークサービスが負担するべきものだろう。それを銀行に支払いを要求しているものだから、各銀行も、意味のわからない料金を払うわけにいかないという状態になっていると思われる。

このことについては、12日に地銀ネットワークサービスにも電話して指摘した。しかし、どうもこの会社には誰もこの件についての責任者がいないようなのだ。電話で用件を伝えようとすると、用件を文書で書いて送れという。なんでわざわざ文書で書かないといけないのかと尋ねると、システムの開発を外部に出しているので、外注先に指摘の文書を見せたいのだという。

つまり、何もかもが業者に丸投げで、自力で考える頭が存在していない。

そうなると、外注の業者が自らの失敗を認めるはずがない。「このままで問題ありません」と回答することになる。「問題ありません」という回答が、地銀ネットワークサービスの案山子を素通りして、各地方銀行に配布される。そして図1と図2のような出鱈目な説明が表に出てくる。

馬鹿ばかりだ。誰一人、責任を持って自力で考えられる人がそこにはいない。これは技術がわからないからとかいった話ではない。他所がどうしているか見て廻れば異常だと感づけることであるし、外注業者を信用してはならないことは当たり前の話だ。

どこの糞業者を使っているのか聞き出したかったが、残念ながら教えてもらえなかった。

ちなみに、この問題は、システムを改修しなくても簡単に解決できる別の方法がある。「ワイルドカード証明書」を使えばよいだけの話だ。ワイルドカード証明書とは、サーバ証明書の発行先のCommon Name（ホスト名）を「*.cns-jp.com」という「*.」を使った名前で登録するもので、これにより、同じドメイン上のどのホストにも正しく適用できるというものだ。

ワイルドカード証明書を導入すれば一瞬で解決するし、沖縄銀行も変な別料金を負担する必要はなかった。外注先業者はそれを知らない無能業者であるか、もしかすると、知らないふりをして、無駄に証明書を買わせ、証明書取得代行の手数料で儲けようと鴨を待ち構えている可能性だってある。

なお、出鱈目な説明を掲示している2つの銀行には以下の点を伝えた。

1. 「セキュリティ上の問題がない」というのは嘘偽りである。
2. 証明書を買うように言われているのもおかしな話、買うのは地銀ネットワークサービスであり、あなたの銀行ではない。
3. 本来、追加の料金負担など必要ない。地銀ネットワークサービスが設計ミスを直すべき話。
4. あなた方が地銀ネットワークサービスに抗議するべき話。
5. 修正に時間がかかるにしても、とりあえずまず、この誤った説明文を即刻、削除するべき。
6. 削除するだけで済まされる話ではない。今まで間違った説明をしていたことを告知し、正しい使い方「赤くなっていたら使用を中止する」を周知するべき。

特に重要なのは、誤った説明を削除するという件だ。北越銀行には11月2日に説明を終え、武蔵野銀行には11月12日に説明を終え、どちらの担当者も意味を理解して納得していたが、どちらの銀行も、今もなおこの出鱈目な説明を利用者に読ませ続けている。

追記

さすがに、IE 7 になってから「問題ありません」と説明するところはほとんど見当たらなくなった。しかし、大学はあいかわらずひどい。こういう大学で教育を受けた卒業生が将来の糞業者になっていくのだろう。高校生諸君はこれらの大学は避けたほうがいい。

• 関西大学, 授業支援システム

  SSL対応ページでは証明書のエラーが表示されることがありますが，問題はございません．

  2.「このサイトの閲覧を続行する (推奨されません)。」のリンクを選択する．

• 山形大学, 学術情報基盤センター

  現在、WebMailに接続すると、”この Web サイトのセキュリティ証明書には問題があります。”というページが表示される、あるいは、”セキュリティの警告”というウィンドウが表示される場合があります。

  これは、システム移行にともなう、証明書の手続きが間に合っていないためで、セキュリティ上の問題はありません。

  ページが表示された場合は、”このサイトの閲覧を続行する (推奨されません)。 ”をクリックしてください。

• 岐阜大学, 総合情報メディアセンター

  URLをクリックして「Web サイトのセキュリティ証明書には問題があります」のページが表示された場合は（学内のサーバですので問題ありませんので），「このサイトの閲覧を続行する (推奨されません)」をクリックしてください。

• 久留米大学, 情報教育センター

  Internet Explorer 7をインストール（アップグレード）後、学内ページの一部を開こうとすると、下のエラーが表示されるようになりますが、「このサイトの閲覧を続行する（推奨されません）。」をクリックすると通常の画面が表示されますのでそのままご利用ください。

  利用中は下の図のようにURL欄の背景がピンクになり「証明書のエラー」と表示されます。

• 専修大学, Ｗｅｂ履修登録

  「証明書に関するセキュリティの警告」が表示されますので、「はい」や「このサイトの閲覧を続行する」をクリックしてください。

追記（23日）

上で引用した専修大学のページは 404 Not Found になったのだが、これに関して、専修大学の方々から2通のメールを頂いた。事務計算センターの方から頂いた「一個人として専修大学の現状及び取り組みを知っていただきたい」「大学からの正式な見解を説明するものではない」というご趣旨のメールによると、平成19年度の履修登録ではたしかにオレオレ警告を無視させていたが、「セキュリティに対する認識の甘さについては反省をし、早急に改善すべき課題としてとらえ、改善への対応・対策を既に実施しています」とのことで、10月1日の大学全体のリニューアルの際に、オレオレ警告の出るSSLサーバは撤廃しているのだそうだ。Web履修登録については、平成19年度はもう終わっているので、平成20年度に向けてシステムの開発作業を計画中とのこと。

続けて専修大学教務部教務課の方から、「昨日、本学のシステム担当者からも連絡をしておりますが」との前提を置いた形で以下の通告を受けた。

Subject: 11/17：高木浩光＠自宅の日記「「こんな銀行は嫌だ」」に関する記載内容について

今回、貴殿が書かれた標記の日記の中で、本学のＷｅｂ履修登録システムに関する記載事項がありました。昨日、本学のシステム担当者からも連絡をしておりますが、今回運用担当者として連絡をさせていただきました。

本学としましては、貴殿のご指摘のとおり、このセキュリティへの甘さについては認識をしており、平成２０年度のシステム稼動より対策を講じる手続きを既に行っておりました。

なお、貴殿が書かれたこの記載事項によって本学を希望する受験生等への影響が考えられます。ご指摘内容については真摯に受け止めており対策を行ってまいりますので、本学の記載内容をＨＰ上から削除していただければ幸いです。

以上

このようなご心配を招くのであれば、上のような中途半端な引用で済まさず、正確に事実関係を伝えなくてはいけないと思う。

上の「専修大学, Ｗｅｂ履修登録」のリンク先は、17日の時点では以下の内容になっていた。

図5: 「専修大学, Ｗｅｂ履修登録」のページに2007年11月17日の時点で書かれていた内容（現在は削除）

「セキュリティについて」の部分に書かれている内容から、学外から使用することを前提としたシステムだったことがわかる。そして、「「証明書に関するセキュリティの警告」が表示されますので、「はい」や「このサイトの閲覧を続行する」をクリックしてください。」と書かれていた。

上の他の事例とは異なり、「問題ありませんので」といった説明は行われていなかった*8。そして、このページは現在削除されている。

ただ、二部のWeb履修登録のページからはまだ削除されていないようだ。また、ここからリンクされている「操作説明書」(PDF) には次の記載がある。

図6: 専修大学Web履修操作説明書 2007年度版

※ログインボタン押下後、証明書に関するセキュリティの警告が表示される場合がありますので、「はい」や「このサイトの閲覧を続行する」を選択してください。

これによると、ログイン画面に到着したときにオレオレ警告が出る――(a)というのではなく、パスワードを入力してそれを送信しようとボタンを押した瞬間に出るオレオレ警告を無視するように指示していたということのようだ。これは、(a)に比べてより危険性の高い利用手順を教えていたことになる。

一度このような手順に慣れてしまうと、それが普通の使い方だと思い込んでしまうだろう。その誤った理解を矯正しなければ問題は解決したとは言えない。

現在の専修大学 在学生・教員向けポータルサイト（これがそのリニューアルされたシステムだろうか）には、ログイン画面があるが、図7のように、「セキュリティについて」の部分で、従来のWeb履修登録システムにあったのと同じ注意書きがあるものの、警告が出た場合にどう行動するべきかについては何も書かれていない。

図7: 専修大学の「在学生・教員向けポータルサイト」（23日朝現在）

もし、学生がたとえば通学中に道端を歩きながら、iPod touch等を用いて livedoor Wireless経由でこのポータルを利用する際に、ログインしようとパスワードを入れてボタンを押した直後*9、SSLのサーバ証明書に異常があることを示す「オレオレ警告が」出たとしよう。*10

図8: iPod touch におけるオレオレ警告の例

このとき、学生達（19年度のWeb履修登録の体験を経た）は、どちらのボタンを押すだろうか？

つまり、誤った説明を単に削除するのではなしに、これまでに説明していた操作方法は誤った使い方だったという事実、そして、今後もしこのポータルサイトを使う際に警告が出た場合は、絶対に先に進んではいけないことを、周知しなくてはならない。

このことは微力ながら私からも専修大学の在学生諸君にお伝えしたい。（削除するのではなく。）

また、それだけでなく、一般にどこのサイトでもこの警告が出た場合はけっして無視してはいけないものであるという正しいリテラシーを「教育」するのが本来の教育機関の役目であろう。

上に挙げた2つの地方銀行は、今現在も、嘘偽りの説明を掲示したまま顧客に読ませているが、営利企業が嘘偽りの説明を放置するのは、法令違反がない限り、営業上の自由だろう。無かったことにして終わりにする自由もある。

しかし、大学はどうだろうか。

■ オレオレ証明書の区分 第三版

2005年11月18日の日記「オレオレ証明書の区分 改訂版」を改訂する。第六種を変更した。

第一種オレオレ証明書

不特定多数に利用させることを想定していて、ルート証明書もサーバ証明書もインストールさせるつもりのないもの。

第二種オレオレ証明書

不特定多数に利用させることを想定していて、ルート証明書かサーバ証明書をインストールするよう促しているが、インストール方法として安全な手段が用意されていないもの。

第三種オレオレ証明書

不特定多数に利用させることを想定していて、ルート証明書かサーバ証明書をインストールするよう促しており、安全なインストール方法が用意されているもの。

第四種オレオレ証明書

特定の者だけに利用させることを想定しているもの。

第五種オレオレ証明書

正規の認証局から取得したサーバ証明書であるが、一部のクライアントでその認証局がルートとして登録されていないもの。

第六種オレオレ証明書

正規の認証局から取得したサーバ証明書であるが、使い方を誤っているもの。（中間認証局から取得したサーバ証明書なのに、中間認証局の証明書をサーバに設置していないために、クライアントが認証パスを検証できないもの。あるいは、サーバ証明書のホスト名と実際に使用するサーバのホスト名が一致していないものなど。）