高木浩光＠自宅の日記

2007年12月15日

■ 日立の銀行用ソフトウェアキーボードが利用者の危険を増大させている

Internet Explorerの独自機能である「スクリプトによる貼り付け処理」が危険なものであることは、いろいろな場面で何度も言い続けてきた。

Internet Explorerの「スクリプトによる貼り付け処理」機能の能力を検証する, 2001年11月5日

この問題は、Internet Explorer 7 と Windows Vista においてようやくそれなりに一応の解決がなされた。2006年5月13日の日記に書いていたように、「スクリプトによる貼り付け処理の許可」のデフォルト設定は、「ダイアログを表示する」に変更されているのである。

当時、「こんな解決方法じゃ、設定を元に戻させる糞サイトが登場して元の木阿弥にされてしまう」との心配が頭をよぎったが、その懸念が早くも現実のものとなっていた。それも、よりによって、銀行の手によってである。

図1は、西日本シティ銀行による「ソフトウェアキーボード」の解説である。（「セキュリティキーボード」と呼ぶ銀行もある。）

図1: 西日本シティ銀行「ソフトウェアキーボードとは」

ソフトウェアキーボードのボタン押下時にブラウザの設定により下記のダイアログが表示される場合があります。ダイアログの表示は下記の設定により回避が可能です。

【回避方法】

「ツール」→「インターネットオプション」→「セキュリティ」→「セキュリティのカスタマイズ」→「レベルのカスタマイズ」→「スクリプトの貼り付け処理の許可」を有効に設定することにより表示を抑止できます。

キーロガー対策のために「ソフトウェアキーボード」を使えと言いながら、クリップボードの盗聴を万人に許可する設定にせよ……というのである。

キーロガー対策として「ソフトウェアキーボード」を導入する銀行は多いが、これが役に立たないものであること（キーロガーを仕掛けられるという状況の前提では、他のもっと効果的で簡単なマルウェアを仕掛けることも可能である）は、Web技術者なら誰でも知っているだろう（関連記事）。一部の銀行はそれを承知でこれを導入しているようで、これは「対策してます」というポーズなんだという話がある。ある銀行の担当者は講演で、「これによりセキュリティ意識の必要性に気付いていただけるというメリットがある」という趣旨のことを話しており、なるほどそれ自体を非難することはできないだろう*1。

だが、「スクリプトによる貼り付け処理」のセキュリティ設定をデフォルトより危険な設定に変更させてしまうのでは、こんなものは有害なだけである。本末転倒も甚だしい。

検索して調べてみると、他にも同様の指示を出している銀行が何か所も見つかる。

図2: 泉州銀行「IE7.0とWindows Vistaの制限事項」

ソフトウェアキーボードのボタン押下時にクリップボードへのアクセス許可ダイアログが表示されます。（略）「スクリプトの貼り付け処理の許可」を有効に設定してご利用ください。

図3: 肥後銀行「Internet Explorer 7.0 ご利用時の注意」

＜事象２＞ソフトウェアキーボードを押した際に、「クリップボードへのアクセス許可」のダイアログが表示される。

＜対　応＞（略）以下のようにブラウザの設定を変更すると、次回よりダイアログが表示されません。

・「F10キー押下」-「ツール」-「インターネットオプション」-「セキュリティ」-「レベルのカスタマイズ」-「スクリプトの貼り付け処理の許可」を有効に設定

図4: 北洋銀行「推奨ＯＳ／ブラウザ」

＜Internet Explorer 7.0をご利用の場合＞

・ソフトウェアキーボードのボタン押下時に、「このWebページがクリップボードへアクセスするのを許可しますか？」というメッセージが表示される場合があります。この場合、「アクセスを許可する」をその都度選択してご利用いただくか、ブラウザの設定を以下のとおり変更してご利用ください。

＜ブラウザの設定＞

「ツール」→「インターネットオプション」→「セキュリティ」→「レベルのカスタマイズ」→「スクリプトの貼り付け処理の許可」を有効に設定してください。

これらの銀行がどんなシステムを使っているのか、ログイン画面に行って見ると、それぞれ次の特徴があり、共通点があった。

西日本シティ銀行, bb1.finemax.net, アドレスバー隠蔽, 「右クリックは禁止です。」
泉州銀行, www2.ib-center.gr.jp, 「右クリックは禁止です。」
肥後銀行, www2.ib-center.gr.jp, アドレスバー隠蔽, 「右クリックは禁止です。」
北洋銀行, bb1.finemax.net, 「右クリックは禁止です。」

「finemax.net」も「ib-center.gr.jp」も日立製作所金融システム事業部が提供しているサービスらしい。*2

そもそも、技術的に言って、「ソフトウェアキーボード」機能を実現するために「スクリプトによる貼り付け処理」は必要なのか？

「ソフトウェアキーボード」は（役に立たないのに）たくさんの銀行が導入しているので、各行で、「スクリプトによる貼り付け処理」を「ダイアログを表示する」に設定（IE 7およびWindows Vistaのデフォルト設定）しているとどうなるか調べてみた。（Googleで「銀行」で検索したときの出現順。）

イーバンク銀行, ダイアログは出ない
みずほ銀行, ダイアログは出ない
三菱東京UFJ銀行, ソフトウェアキーボードを採用していない
三井住友銀行, ダイアログは出ない
新生銀行, ダイアログは出ない
りそな銀行(anser.or.jp), ダイアログは出ない
ジャパンネット銀行, ソフトウェアキーボードを採用していない
東京スター銀行, ソフトウェアキーボードを採用していない
ソニー銀行, ダイアログは出ない
セブン銀行, ダイアログは出ない
ゆうちょ銀行, ダイアログは出ない
スルガ銀行, ダイアログは出ない
横浜銀行 (finemax.net), ダイアログが出る
関西アーバン銀行 (anser.or.jp), ダイアログは出ない
東京都民銀行 (anser.or.jp), ダイアログは出ない
京都銀行 (anser.or.jp), ダイアログは出ない
住友信託銀行, ソフトウェアキーボードを採用していない
中央三井信託銀行, ダイアログは出ない
千葉銀行 (finemax.net), ダイアログが出る

つまり、「スクリプトによる貼り付け処理」を使っているのは、日立のシステムだけだ。

技術的に直せるものなのに、どうして直さないのか？直しもしないで、ユーザのセキュリティ設定を劣化させてお茶を濁そうとしているのは、誰の責任なのか？

設定変更の指示を書いているのは、銀行が独自に書いたものだろうか？いや、そうではなさそうだ。というのも、上の図1～4に挙げた各銀行の説明をよく読むと特徴的な文がある。

「スクリプトの貼り付け処理の許可」を有効に設定してください。

実はInternet Explorerに「スクリプトの貼り付け処理の許可」などという設定項目は存在しない。正しくは「スクリプトによる貼り付け」だ。

つまり、どこかの誰かが各銀行に例文を配布したために、それを真に受けてコピーしてしまった銀行があったということだ。

汚染源はどこなのか？普通に憶測すれば「FINEMAX」の運営主体である日立製作所だろう。

いいかげんこんなことが続くようなら、安全なインターネットバンキングサイトの作り方にそろそろこれを加えないといけないのではなかろうか。

「例えば、FINEMAXを避ける。」

また、ユーザの立場での注意点はこうだと言える。例えば、「右クリックは禁止です」などと不遜なエラーを出すシステムを採用している銀行、それらを避ける。

■ オレオレ警告を無視せよと指示する金融機関が他にも

「オレオレ証明書で問題ありませんと言う銀行」について11月17日の日記で2つの銀行を挙げたが、他にもやっているところがあるとの指摘が見つかった。

オレオレ証明書宣言 -インターネットバンキングの迷路-, なべのさかやき, 2006年8月21日

私が既に通帳を持っている銀行で、インターネットバンキングのＱ＆Ａを読んでいたら、こんな一文が載っていました。

（略）

たぶんこのサイトは、かつて資料請求フォームだけオレオレ証明書で運用されていた時代があり、不審に感じた利用者の問い合わせが多いためにＱ＆Ａに「オレオレ証明書宣言」を追加したのでしょう。その後、オレオレ詐欺状態が解消したのにＱ＆Ａがメンテナンスされていなかったものと思われます。

検索してみたところ、現在もそれが掲載されていた。

図5: ろうきんインターネットバンキング「Q & A お申し込み」

Ｑ6 ホームページから資料請求を行おうとすると、「このサイトのセキュリティ証明書には問題があります。（Internet Explorerの場合）」（Netscape Navigatorの場合：「Netscape は、証明書に署名した発行人を認識できません。」）と表示されますが、どうしたらいいのですか？これは、ＳＳＬに使う電子証明書の発行元が全国労働金庫協会であることによるものです。

したがって、Internet Explorerでは「続行する」、Netscape Navigatorでは「次へ」「次へ」「次へ」「次へ」「完了」「続ける」として電子証明書をインストールしてください。このお手続きは、通信経路を暗号化してお客様の個人情報を保護するために必要ですのでご了承願います。

その「資料請求」のページは、現在ではたしかに正常なサーバ証明書で運営されているようだ。しかし、サーバ側が正常になったからといって、この誤った説明を放置していてよいことにはならない。

なぜなら、ユーザ側でこの警告が出ることはいつでも起き得るからである。つまり、まさに盗聴されているときにその警告が出るのであり、それを見分けるための警告なのだから、「続行する」だの、「次へ」「次へ」「次へ」「次へ」「完了」「続ける」だのと出鱈目な嘘を教えてはいけない。

実際に、この誤った解説を真に受けて操作した利用者が、外出先などでインターネットバンキングを利用したとき、警告を無視して操作して被害が出たら、その責任をとるつもりなのか？

なお、11月17日の日記で挙げた2つの銀行は、現在もなお虚偽の説明を訂正していないばかりか、削除すらしていない。

関連：

オレオレ警告の無視が危険なこれだけの理由, 2007年11月25日の日記

*1 もし、「ソフトウェアキーボードでスパイウェア対策は万全です」などと宣伝している銀行があれば、それは事実に反するので非難されてしかるべき（2005年10月17日の日記、2006年10月21日の日記参照）だが、たとえば西日本シティ銀行の説明では、「キーボードからの入力情報を盗み取るタイプのスパイウェアよりパスワードなどの入力情報を守ることができます」とか、「ソフトウェアキーボードのご利用により、安全が保証されるものではありません」などと、それなりに慎重な説明がなされている。

*2 「finemax」で検索してみると悪い評判が見られる。

本日のTrackBacks(全6件) [TrackBack URL: http://takagi-hiromitsu.jp/diary/tb.rb/20071215]

本日のリンク元

https://duckduckgo.com/ ×6 (2017-12-15)
https://www.bing.com/ ×21 (2016-07-27)
https://www.google.co.jp ×52 (2015-08-21)
はてなブックマークコメント ×52 : 28, 16, 6, 1, 1 (2011-06-23)
http://s.luna.tv/search.aspx?q=ソフトウェアキーボード&st=10&d=&s=0&clie... ×4 (2011-02-08)
http://klab.klab.org/trac/general/wiki/AboutSecretman ×4 (2010-01-28)
http://klab.klab.org:88/trac/general/wiki/AboutSecretman ×4 (2010-01-21)
はてなブックマークコメント [6819037/高木浩光＠自宅の日記 - 日立の銀行用ソフトウェアキーボードが利用者の危険を増大させている] ×14 (2009-01-02)
はてなダイアリー [wnao 20071222] ×2 : 1, 1 (2008-12-22)
mew5.com ×157 : 141, 5, 3, 2, 2, 1, 1, 1, 1 (2008-12-06)
http://s.luna.tv/search.aspx?q=UFJ銀行　ソフトウェアキーボード&d=&s=0&gl=j... ×4 (2008-11-08)
http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q111... ×5 (2008-10-17)
RinRin王国 ×885 : 830, 21, 15, 14, 3, 1, 1 (2008-08-18)
ココログ [stressfulangel cocolog] ×35 : 19, 12, 3, 1 (2008-08-05)
http://blog.proj.jp/ituki/200712.html ×13 (2008-04-18)
http://takabsd.jp/d/?date=20090729 ×24 (2008-03-25)
jcom.home.ne.jp [sarasiru] ×2132 : 1626, 442, 54, 4, 3, 2, 1 (2008-03-02)
はてなダイアリー [JavaBlack 20071023] ×4 (2008-02-03)
http://clip.nifty.com/entry/c10d876f6250ad8aede7f3e161499c47... ×7 (2008-01-10)
セキュリティホールmemo ×1068 : 933, 117, 16, 1, 1 (2008-01-02)
はてなダイアリー [johzan] ×3 : 1, 1, 1 (2007-12-30)
http://techwiki.itfor.local/wiki/ ×4 (2007-12-26)
http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q111... ×26 (2007-12-25)
http://sns.is.hitachi-sk.co.jp/?m=pc&a=page_fh_diary&target_... ×4 (2007-12-20)
http://sns.is.hitachi-sk.co.jp/?m=pc&a=page_fh_diary&target_... ×5 (2007-12-20)
http://blog.proj.jp/ituki/ ×6 (2007-12-19)
livedoor Blog [hiko_alan] ×4 (2007-12-19)
http://blog.proj.jp/ituki/20071219.html ×11 (2007-12-19)
http://sns.is.hitachi-sk.co.jp/?m=pc&a=page_fh_diary&target_... ×15 (2007-12-19)
http://sns.is.hitachi-sk.co.jp/?m=pc&a=page_fh_diary&target_... ×35 (2007-12-19)
はてなブックマークコメント [6819037] ×25 (2007-12-17)
http://collbo.itg.hitachi.co.jp/Portal/portal/action/Plain/p... ×9 (2007-12-17)
http://158.214.169.22/xoops/modules/popnupblog/ ×4 (2007-12-17)
http://www.sside.net/2007/12/post_294.html ×9 (2007-12-17)
http://blog.so-net.ne.jp/asthenosphere/2007-12-17 ×14 (2007-12-17)
はてなダイアリー [f-star 20071216] ×8 : 5, 3 (2007-12-17)

検索

ソフトウェアキーボード ×202 / キーワード不明 ×106 / ソフトウェアキーボードセキュリティ ×53 / finemax.net ×43 / スクリプトによる貼り付け処理の許可有効に ×42 / finemax ×39 / ソフトウェアキーボード作り方 ×36 / FINEMAX ×31 / finemax 評判 ×30 / スクリプトによる貼り付け処理の許可 ×22 / 日立キーボード ×19 / ソフトウエアキーボード ×16 / ソフトウェアキーボード銀行 ×13 / 日立 finemax ×13 / 高木浩光日立 ×13 / ソフトウェアキーボード ×12 / 銀行ソフトウェアキーボード ×11 / 銀行用キーボード ×11 / bb1.finemax.net ×11 / finemax 日立 ×10 / 日立 FINEMAX ×10 / ソフトキーボードセキュリティ ×10 / 金融機関キーボード ×9 / 銀行キーボード ×9 / 銀行のキーボード ×9 / 新生銀行危険 ×8 / anser.or.jp ×8 / スクリプトによる貼り付け処理 ×8 / ソフトウェアキーボード使えない ×8 / 金融キーボード ×8 / セキュリティソフトウェアキーボード ×7 / ソフトウェアキーボード危険 ×7 / 銀行ソフトキーボード ×6 / finemax 銀行 ×5 / ソフトウェアキーボード vista ×5 / ソフトウェアキーボードキーロガー ×5 / ソフトウェアキーボードが使えない ×5 / セキュリティキーボード ×5 / キーボード日立 ×5 / 高木ソフトウェアキーボード ×5 / 金融キーボード ×5 / hitachi キーボード ×5 / ソフトウェアキーボード安全性 ×4 / ソフトウェアキーボード三菱東京 ×4 / ソフトウェアキーボード安全 ×4 / ソフトウェアキーボード日立 ×4 / 肥後銀行 ×4 / ソフトウエアキーボード使えない ×4 / 自宅銀行ソフトウェア ×4 / ib-center.gr.jp ×4 / ソフトキーボード銀行 ×4 / finemax 横浜銀行 ×4 / ソフトウェアキーボード安全か ×4 / ソフトウェアキーボード貼り付け ×4 / ソフトウェアキーボードクリップボード ×4 / vista ソフトウェアキーボード ×4 / 高木日立 ×4 / finemax ie7 設定 ×4 / ソフトウェアキーボードセキュリティー ×4 / ブラウザソフトウェアキーボード ×4 / ソフトウェアキーボードアクセス許可 ×3 / 千葉銀行日立 ×3 / 日立のキーボード ×3 / 千葉銀行 FINEMAX ×3 / 銀行ソフトウェア ×3 / ソフトウェアキーボード銀行安全 ×3 / 日立ソフトウェアキーボード ×3 / 銀行用キーボード ×3 / スクリプトによる貼り付け処理の許可危険 ×3 / 日立の銀行用ソフトウェアキーボードが利用者の危険を増大させている ×3 / ソフトウェアキーボード表示されない ×3 / キーボードの解説 ×3 / インターネットバンキングソフトウェアキーボード ×3 / スクリプトによる貼り付け処理の許可とは ×3 / セキュリティキーボード危険 ×3 / ＦＩＮＥＭＡＸ ×3 / 新生銀行ソフトウェアキーボード ×3 / スクリプトによる貼り付け処理の許可デフォルト ×3 / 銀行日立 finemax ×3 / ://takagi-hiromitsu.jp/diary/ finemax ×3 / 金融用キーボード ×3 / FINEMAX 千葉銀行 ×3 / スクリプトの貼り付け処理の許可 ×3 / ソフトウェアキーボード xp ×3 / 三井住友銀行ソフトウェアキーボード ×3 / ソフトウェアキーボードエラー ×3 / 高木浩光ソフトウェアキーボード ×3 / 日立ＦＩＮＥＭＡＸ ×3 / キーボード次へ ×3 / finemax 高木 ×3 / FINEMAX 右クリック ×3 / 銀行用のソフト ×3 / Finemax ×3 / キーボード金融機関 ×3 / finemax -hiromitsu.jp ×3 / キーボード金融 ×3 / Vista ソフトウェアキーボード ×3 / ソフトウェアキーボードメリット ×3 / ソフトウェアキーボードとは ×3 / インターネットバンキング vista finemax ×2 / 西日本シティ銀行日立 ×2 / スルガ銀行 FINEMAX ×2 / 朝倉涼子 jpg -フィギュア ×2 / ソフトウエアキイボード使えない ×2 / スクリプトによる貼り付け ×2 / 署名 -hiromitsu.jp ×2 / 銀行専用キーボード ×2 / vista 貼り付け有効 ×2 / ib-center.gr.jp -hiromitsu.jp ×2 / ソフトウエアキーボード高木 ×2 / クリップボードにアクセスする許可ますか西日本シティ銀行 ×2 / ソフトウェアキーボードアクセス許可 ×2 / ソフトウエアキーボード高木日立 ×2 / 日立 Finemax ×2 / ゆうちょ銀行高木 ×2 / オレオレ証明書 -hiromitsu.jp ×2 / ソフトウェアキーボード必須 ×2 / 西日本シティ銀行の悪評 ×2 / .finemax.net ×2 / 三菱東京ＵＦＪこの Web サイトのセキュリティ証明書には問題があります。 ×2 / ソニー銀行 IE9 ソフトウェアキーボードが出力されない ×2 / ソフトウエアキーボード -hiromitsu.jp ×2 / 日立finemax ×2 / 日立の銀行用ソフトウェアキーボード ×2 / ソフトウェアキーボードは安全か？ ×2 / "finemax.net" ×2 / 日立製作所 FINEMAX ×2 / finemax.net 警告銀行 ×2 / 新生銀行警告 ×2 / 高木スクリプト ×2 / 日立オレオレ証明書 ×2 / ソフトウェアキーボード三井住友 ×2 / スクリプトによる貼り付けによる許可 ×2 / スクリプト貼り付け日立 ×2 / Finemax 右クリック ×2 / Finemax 評判 ×2 / ソフトキーボードブラウザ ×2 / スクリプトによる貼り付け処理の許可ダイアログ ×2 / 新生銀行 FINEMAX ×2 / ソフトウェアキーボード状況 ×2 / "スクリプトの貼り付け処理の許可" ×2 / FINEMAX 高木浩光 ×2 / 東京都民銀行インターネットバンキング日立 ×2 / IE8 ソフトウェアキーボード表示されない ×2 / ソフトウェアキーボード高木浩光 ×2 / キーボード ×2 / ソフトウェアキーボードセキュリティ ×2 / 日立インターネットバンキング高木 ×2 / -hiromitsu.jp バンキング ×2 / ソフトウェアキーボード高木 ×2 / FINEMAX スクリプト ×2 / FINEMAX 電子証明書 ×2 / ソフトウェアキーボードが開かない ×2 / 銀行ソフトウウェアキーボード ×2 / 高木浩光キーボード ×2 / オレオレ証明書日立 ×2 / bb1 finemax net ×2 / 北洋銀行日立 ×2 / FINEMAX 日立 ×2 / ソフトウェアキーボードネットバンク ×2 / FINEMAX 右クリック禁止 ×2 / スルガ銀行危険 ×2 / クリップボードアクセス許可 ×2 / UFJ この Web サイトのセキュリティ証明書には問題があります。 ×2 / スクリーンキーボードはキーロガー対策 ×2 / 三井住友ソフトウェアキーボード ×2 / finemax net ×2 / 高木 Finemax ×2 / FINEMAX 高木 ×2 / 日立 ×2 / ソフトウェアキーボード出てこない ×2 / ソフトウェアキーボードクリップボードセキュリティ ×2 / ジャパンネット銀行ソフトウェアキーボード ×2 / 高木浩光こんな銀行 ×2 / 証明書 vista 高木 ×2 / 北洋銀行高木 ×2 / WEB ソフトウェアキーボード作り方 ×2 / ソフトウェアキーボード webページ ×2 / ソフトウェアキーボード役に立たない ×2 / ソフトキーボード使えない ×2 / ソフトウエアキーボードクリップボード ×2 / ANSER 三井住友 ×2 / 高木浩光右クリック ×2 / ソフトウェアキーボード開かない ×2 / 銀行 ×2 / ソフトウェアキーボード windows ×2 / キーボード銀行 ×2 / ソニー銀行ソフトウェアキーボード ×2 / スクリプトによる貼り付け処理とは ×2 / Internet Explorerの「スクリプトによる貼り付け処理」機能の能力を検証する ×2 / 銀行キーボード高木浩光 ×2 / 高木浩光セブンネット ×2 / 北洋銀行ソフトウェアキーボード ×2 / ソフトウェアキーボードが使えなくなった ×2 / ソフトウェアキーボードは安全か ×2 / ソフトウェア・キーボード ×2 / 高木ソフトウェア ×2 / 新生銀行スクリプト ×2 / 銀行危険 ×2 / 右クリックは禁止です ×2 / 日立高木 ×2 / クリップボードへアクセスするのを許可しますか ×2

2007年12月15日

■ 日立の銀行用ソフトウェアキーボードが利用者の危険を増大させている

■ オレオレ警告を無視せよと指示する金融機関が他にも

最近のタイトル