<前の日記(2007年12月12日) 次の日記(2007年12月16日)> 最新 編集

高木浩光@自宅の日記

目次 はじめに 連絡先:blog@takagi-hiromitsu.jp
訪問者数 本日: 3129   昨日: 3315

2007年12月15日

日立の銀行用ソフトウェアキーボードが利用者の危険を増大させている

Internet Explorerの独自機能である「スクリプトによる貼り付け処理」が危険なものであることは、いろいろな場面で何度も言い続けてきた。

この問題は、Internet Explorer 7 と Windows Vista においてようやくそれなりに一応の解決がなされた。2006年5月13日の日記に書いていたように、「スクリプトによる貼り付け処理の許可」のデフォルト設定は、「ダイアログを表示する」に変更されているのである。

当時、「こんな解決方法じゃ、設定を元に戻させる糞サイトが登場して元の木阿弥にされてしまう」との心配が頭をよぎったが、その懸念が早くも現実のものとなっていた。それも、よりによって、銀行の手によってである。

図1は、西日本シティ銀行による「ソフトウェアキーボード」の解説である。(「セキュリティキーボード」と呼ぶ銀行もある。)

ソフトウェアキーボードのボタン押下時にブラウザの設定により下記のダイアログが表示される場合があります。ダイアログの表示は下記の設定により回避が可能です。

【回避方法】

「ツール」→「インターネットオプション」→「セキュリティ」→「セキュリティのカスタマイズ」→「レベルのカスタマイズ」→「スクリプトの貼り付け処理の許可」を有効に設定することにより表示を抑止できます。

キーロガー対策のために「ソフトウェアキーボード」を使えと言いながら、クリップボードの盗聴を万人に許可する設定にせよ……というのである。

キーロガー対策として「ソフトウェアキーボード」を導入する銀行は多いが、これが役に立たないものであること(キーロガーを仕掛けられるという状況の前提では、他のもっと効果的で簡単なマルウェアを仕掛けることも可能である)は、Web技術者なら誰でも知っているだろう(関連記事)。一部の銀行はそれを承知でこれを導入しているようで、これは「対策してます」というポーズなんだという話がある。ある銀行の担当者は講演で、「これによりセキュリティ意識の必要性に気付いていただけるというメリットがある」という趣旨のことを話しており、なるほどそれ自体を非難することはできないだろう*1

だが、「スクリプトによる貼り付け処理」のセキュリティ設定をデフォルトより危険な設定に変更させてしまうのでは、こんなものは有害なだけである。本末転倒も甚だしい。

検索して調べてみると、他にも同様の指示を出している銀行が何か所も見つかる。

ソフトウェアキーボードのボタン押下時にクリップボードへのアクセス許可ダイアログが表示されます。(略)「スクリプトの貼り付け処理の許可」を有効に設定してご利用ください。

<事象2> ソフトウェアキーボードを押した際に、「クリップボードへのアクセス許可」のダイアログが表示される。

<対 応> (略)以下のようにブラウザの設定を変更すると、次回よりダイアログが表示されません。

・「F10キー押下」-「ツール」-「インターネットオプション」-「セキュリティ」-「レベルのカスタマイズ」-「スクリプトの貼り付け処理の許可」を有効に設定

<Internet Explorer 7.0をご利用の場合>

・ ソフトウェアキーボードのボタン押下時に、「このWebページがクリップボードへアクセスするのを許可しますか?」というメッセージが表示される場合があります。この場合、「アクセスを許可する」をその都度選択してご利用いただくか、ブラウザの設定を以下のとおり変更してご利用ください。

<ブラウザの設定>

「ツール」→「インターネットオプション」→「セキュリティ」→「レベルのカスタマイズ」→「スクリプトの貼り付け処理の許可」を有効に設定してください。

これらの銀行がどんなシステムを使っているのか、ログイン画面に行って見ると、それぞれ次の特徴があり、共通点があった。

  • 西日本シティ銀行, bb1.finemax.net, アドレスバー隠蔽, 「右クリックは禁止です。」
  • 泉州銀行, www2.ib-center.gr.jp, 「右クリックは禁止です。」
  • 肥後銀行, www2.ib-center.gr.jp, アドレスバー隠蔽, 「右クリックは禁止です。」
  • 北洋銀行, bb1.finemax.net, 「右クリックは禁止です。」

「finemax.net」も「ib-center.gr.jp」も日立製作所 金融システム事業部が提供しているサービスらしい。*2

そもそも、技術的に言って、「ソフトウェアキーボード」機能を実現するために「スクリプトによる貼り付け処理」は必要なのか?

「ソフトウェアキーボード」は(役に立たないのに)たくさんの銀行が導入しているので、各行で、「スクリプトによる貼り付け処理」を「ダイアログを表示する」に設定(IE 7およびWindows Vistaのデフォルト設定)しているとどうなるか調べてみた。(Googleで「銀行」で検索したときの出現順。)

  • イーバンク銀行, ダイアログは出ない
  • みずほ銀行, ダイアログは出ない
  • 三菱東京UFJ銀行, ソフトウェアキーボードを採用していない
  • 三井住友銀行, ダイアログは出ない
  • 新生銀行, ダイアログは出ない
  • りそな銀行(anser.or.jp), ダイアログは出ない
  • ジャパンネット銀行, ソフトウェアキーボードを採用していない
  • 東京スター銀行, ソフトウェアキーボードを採用していない
  • ソニー銀行, ダイアログは出ない
  • セブン銀行, ダイアログは出ない
  • ゆうちょ銀行, ダイアログは出ない
  • スルガ銀行, ダイアログは出ない
  • 横浜銀行 (finemax.net), ダイアログが出る
  • 関西アーバン銀行 (anser.or.jp), ダイアログは出ない
  • 東京都民銀行 (anser.or.jp), ダイアログは出ない
  • 京都銀行 (anser.or.jp), ダイアログは出ない
  • 住友信託銀行, ソフトウェアキーボードを採用していない
  • 中央三井信託銀行, ダイアログは出ない
  • 千葉銀行 (finemax.net), ダイアログが出る

つまり、「スクリプトによる貼り付け処理」を使っているのは、日立のシステムだけだ。

技術的に直せるものなのに、どうして直さないのか? 直しもしないで、ユーザのセキュリティ設定を劣化させてお茶を濁そうとしているのは、誰の責任なのか?

設定変更の指示を書いているのは、銀行が独自に書いたものだろうか? いや、そうではなさそうだ。というのも、上の図1〜4に挙げた各銀行の説明をよく読むと特徴的な文がある。

スクリプトの貼り付け処理の許可」を有効に設定してください。

実はInternet Explorerに「スクリプトの貼り付け処理の許可」などという設定項目は存在しない。正しくは「スクリプトによる貼り付け」だ。

つまり、どこかの誰かが各銀行に例文を配布したために、それを真に受けてコピーしてしまった銀行があったということだ。

汚染源はどこなのか? 普通に憶測すれば「FINEMAX」の運営主体である日立製作所だろう。

いいかげんこんなことが続くようなら、安全なインターネットバンキングサイトの作り方にそろそろこれを加えないといけないのではなかろうか。

例えば、FINEMAXを避ける。

また、ユーザの立場での注意点はこうだと言える。例えば、「右クリックは禁止です」などと不遜なエラーを出すシステムを採用している銀行、それらを避ける。

関連:

オレオレ警告を無視せよと指示する金融機関が他にも

「オレオレ証明書で問題ありませんと言う銀行」について11月17日の日記で2つの銀行を挙げたが、他にもやっているところがあるとの指摘が見つかった。

  • オレオレ証明書宣言 -インターネットバンキングの迷路-, なべのさかやき, 2006年8月21日

    私が既に通帳を持っている銀行で、インターネットバンキングのQ&Aを読んでいたら、こんな一文が載っていました。

    (略)

    たぶんこのサイトは、かつて資料請求フォームだけオレオレ証明書で運用されていた時代があり、不審に感じた利用者の問い合わせが多いためにQ&Aに「オレオレ証明書宣言」を追加したのでしょう。その後、オレオレ詐欺状態が解消したのにQ&Aがメンテナンスされていなかったものと思われます。

検索してみたところ、現在もそれが掲載されていた。

Q6 ホームページから資料請求を行おうとすると、「このサイトのセキュリティ証明書には問題があります。(Internet Explorerの場合)」(Netscape Navigatorの場合:「Netscape は、証明書に署名した発行人を認識できません。」)と表示されますが、どうしたらいいのですか? これは、SSLに使う電子証明書の発行元が全国労働金庫協会であることによるものです。

したがって、Internet Explorerでは「続行する」、Netscape Navigatorでは「次へ」「次へ」「次へ」「次へ」「完了」「続ける」として電子証明書をインストールしてください。このお手続きは、通信経路を暗号化してお客様の個人情報を保護するために必要ですのでご了承願います。

その「資料請求」のページは、現在ではたしかに正常なサーバ証明書で運営されているようだ。しかし、サーバ側が正常になったからといって、この誤った説明を放置していてよいことにはならない。

なぜなら、ユーザ側でこの警告が出ることはいつでも起き得るからである。つまり、まさに盗聴されているときにその警告が出るのであり、それを見分けるための警告なのだから、「続行する」だの、「次へ」「次へ」「次へ」「次へ」「完了」「続ける」だのと出鱈目な嘘を教えてはいけない。

実際に、この誤った解説を真に受けて操作した利用者が、外出先などでインターネットバンキングを利用したとき、警告を無視して操作して被害が出たら、その責任をとるつもりなのか?

なお、11月17日の日記で挙げた2つの銀行は、現在もなお虚偽の説明を訂正していないばかりか、削除すらしていない。

関連:

*1 もし、「ソフトウェアキーボードでスパイウェア対策は万全です」などと宣伝している銀行があれば、それは事実に反するので非難されてしかるべき(2005年10月17日の日記2006年10月21日の日記参照)だが、たとえば西日本シティ銀行の説明では、「キーボードからの入力情報を盗み取るタイプのスパイウェアよりパスワードなどの入力情報を守ることができます」とか、「ソフトウェアキーボードのご利用により、安全が保証されるものではありません」などと、それなりに慎重な説明がなされている。

*2 「finemax」で検索してみると悪い評判が見られる。

本日のTrackBacks(全6件) [TrackBack URL: http://takagi-hiromitsu.jp/diary/tb.rb/20071215]
検索

<前の日記(2007年12月12日) 次の日記(2007年12月16日)> 最新 編集

最近のタイトル

2018年06月17日

2018年06月10日

2018年05月19日

2018年05月04日

2018年03月07日

2017年12月29日

2017年10月29日

2017年10月22日

2017年07月22日

2017年06月04日

2017年05月13日

2017年05月05日

2017年04月08日

2017年03月10日

2017年03月05日

2017年02月18日

2017年01月08日

2017年01月04日

2016年12月30日

2016年12月04日

2016年11月29日

2016年11月23日

2016年11月05日

2016年10月25日

2016年10月10日

2016年08月23日

2016年07月23日

2016年07月16日

2016年07月02日

2016年06月12日

2016年06月03日

2016年04月23日

2016年04月06日

2016年03月27日

2016年03月14日

2016年03月06日

2016年02月24日

2016年02月20日

2016年02月11日

2016年02月05日

2016年01月31日

2015年12月12日

2015年12月06日

2015年11月23日

2015年11月21日

2015年11月07日

2015年10月20日

2015年07月02日

2015年06月14日

2015年03月15日

2015年03月10日

2015年03月08日

2015年01月05日

2014年12月27日

2014年11月12日

2014年09月07日

2014年07月18日

2014年04月23日

2014年04月22日

2000|01|
2003|05|06|07|08|09|10|11|12|
2004|01|02|03|04|05|06|07|08|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|12|
2007|01|02|03|04|05|06|07|08|09|10|11|12|
2008|01|02|03|04|05|06|07|08|09|10|11|12|
2009|01|02|03|05|06|07|08|09|10|11|12|
2010|01|02|03|04|05|06|07|08|09|10|11|12|
2011|01|02|03|05|06|07|08|09|10|11|12|
2012|02|03|04|05|06|07|08|09|
2013|01|02|03|04|05|06|07|
2014|01|04|07|09|11|12|
2015|01|03|06|07|10|11|12|
2016|01|02|03|04|06|07|08|10|11|12|
2017|01|02|03|04|05|06|07|10|12|
2018|03|05|06|
<前の日記(2007年12月12日) 次の日記(2007年12月16日)> 最新 編集