高木浩光＠自宅の日記

■ 日立の銀行用ソフトウェアキーボードが利用者の危険を増大させている

Internet Explorerの独自機能である「スクリプトによる貼り付け処理」が危険なものであることは、いろいろな場面で何度も言い続けてきた。

• Internet Explorerの「スクリプトによる貼り付け処理」機能の能力を検証する, 2001年11月5日

この問題は、Internet Explorer 7 と Windows Vista においてようやくそれなりに一応の解決がなされた。2006年5月13日の日記に書いていたように、「スクリプトによる貼り付け処理の許可」のデフォルト設定は、「ダイアログを表示する」に変更されているのである。

当時、「こんな解決方法じゃ、設定を元に戻させる糞サイトが登場して元の木阿弥にされてしまう」との心配が頭をよぎったが、その懸念が早くも現実のものとなっていた。それも、よりによって、銀行の手によってである。

図1は、西日本シティ銀行による「ソフトウェアキーボード」の解説である。（「セキュリティキーボード」と呼ぶ銀行もある。）

図1: 西日本シティ銀行「ソフトウェアキーボードとは」

ソフトウェアキーボードのボタン押下時にブラウザの設定により下記のダイアログが表示される場合があります。ダイアログの表示は下記の設定により回避が可能です。

【回避方法】

「ツール」→「インターネットオプション」→「セキュリティ」→「セキュリティのカスタマイズ」→「レベルのカスタマイズ」→「スクリプトの貼り付け処理の許可」を有効に設定することにより表示を抑止できます。

キーロガー対策のために「ソフトウェアキーボード」を使えと言いながら、クリップボードの盗聴を万人に許可する設定にせよ……というのである。

キーロガー対策として「ソフトウェアキーボード」を導入する銀行は多いが、これが役に立たないものであること（キーロガーを仕掛けられるという状況の前提では、他のもっと効果的で簡単なマルウェアを仕掛けることも可能である）は、Web技術者なら誰でも知っているだろう（関連記事）。一部の銀行はそれを承知でこれを導入しているようで、これは「対策してます」というポーズなんだという話がある。ある銀行の担当者は講演で、「これによりセキュリティ意識の必要性に気付いていただけるというメリットがある」という趣旨のことを話しており、なるほどそれ自体を非難することはできないだろう*1。

だが、「スクリプトによる貼り付け処理」のセキュリティ設定をデフォルトより危険な設定に変更させてしまうのでは、こんなものは有害なだけである。本末転倒も甚だしい。

検索して調べてみると、他にも同様の指示を出している銀行が何か所も見つかる。

図2: 泉州銀行「IE7.0とWindows Vistaの制限事項」

ソフトウェアキーボードのボタン押下時にクリップボードへのアクセス許可ダイアログが表示されます。（略）「スクリプトの貼り付け処理の許可」を有効に設定してご利用ください。

図3: 肥後銀行「Internet Explorer 7.0 ご利用時の注意」

＜事象２＞ ソフトウェアキーボードを押した際に、「クリップボードへのアクセス許可」のダイアログが表示される。

＜対　応＞ （略）以下のようにブラウザの設定を変更すると、次回よりダイアログが表示されません。

・「F10キー押下」-「ツール」-「インターネットオプション」-「セキュリティ」-「レベルのカスタマイズ」-「スクリプトの貼り付け処理の許可」を有効に設定

図4: 北洋銀行「推奨ＯＳ／ブラウザ」

＜Internet Explorer 7.0をご利用の場合＞

・ ソフトウェアキーボードのボタン押下時に、「このWebページがクリップボードへアクセスするのを許可しますか？」というメッセージが表示される場合があります。この場合、「アクセスを許可する」をその都度選択してご利用いただくか、ブラウザの設定を以下のとおり変更してご利用ください。

＜ブラウザの設定＞

「ツール」→「インターネットオプション」→「セキュリティ」→「レベルのカスタマイズ」→「スクリプトの貼り付け処理の許可」を有効に設定してください。

これらの銀行がどんなシステムを使っているのか、ログイン画面に行って見ると、それぞれ次の特徴があり、共通点があった。

• 西日本シティ銀行, bb1.finemax.net, アドレスバー隠蔽, 「右クリックは禁止です。」
• 泉州銀行, www2.ib-center.gr.jp, 「右クリックは禁止です。」
• 肥後銀行, www2.ib-center.gr.jp, アドレスバー隠蔽, 「右クリックは禁止です。」
• 北洋銀行, bb1.finemax.net, 「右クリックは禁止です。」

「finemax.net」も「ib-center.gr.jp」も日立製作所 金融システム事業部が提供しているサービスらしい。*2

そもそも、技術的に言って、「ソフトウェアキーボード」機能を実現するために「スクリプトによる貼り付け処理」は必要なのか？

「ソフトウェアキーボード」は（役に立たないのに）たくさんの銀行が導入しているので、各行で、「スクリプトによる貼り付け処理」を「ダイアログを表示する」に設定（IE 7およびWindows Vistaのデフォルト設定）しているとどうなるか調べてみた。（Googleで「銀行」で検索したときの出現順。）

• イーバンク銀行, ダイアログは出ない
• みずほ銀行, ダイアログは出ない
• 三菱東京UFJ銀行, ソフトウェアキーボードを採用していない
• 三井住友銀行, ダイアログは出ない
• 新生銀行, ダイアログは出ない
• りそな銀行(anser.or.jp), ダイアログは出ない
• ジャパンネット銀行, ソフトウェアキーボードを採用していない
• 東京スター銀行, ソフトウェアキーボードを採用していない
• ソニー銀行, ダイアログは出ない
• セブン銀行, ダイアログは出ない
• ゆうちょ銀行, ダイアログは出ない
• スルガ銀行, ダイアログは出ない
• 横浜銀行 (finemax.net), ダイアログが出る
• 関西アーバン銀行 (anser.or.jp), ダイアログは出ない
• 東京都民銀行 (anser.or.jp), ダイアログは出ない
• 京都銀行 (anser.or.jp), ダイアログは出ない
• 住友信託銀行, ソフトウェアキーボードを採用していない
• 中央三井信託銀行, ダイアログは出ない
• 千葉銀行 (finemax.net), ダイアログが出る

つまり、「スクリプトによる貼り付け処理」を使っているのは、日立のシステムだけだ。

技術的に直せるものなのに、どうして直さないのか？ 直しもしないで、ユーザのセキュリティ設定を劣化させてお茶を濁そうとしているのは、誰の責任なのか？

設定変更の指示を書いているのは、銀行が独自に書いたものだろうか？ いや、そうではなさそうだ。というのも、上の図1〜4に挙げた各銀行の説明をよく読むと特徴的な文がある。

「スクリプトの貼り付け処理の許可」を有効に設定してください。

実はInternet Explorerに「スクリプトの貼り付け処理の許可」などという設定項目は存在しない。正しくは「スクリプトによる貼り付け」だ。

つまり、どこかの誰かが各銀行に例文を配布したために、それを真に受けてコピーしてしまった銀行があったということだ。

汚染源はどこなのか？ 普通に憶測すれば「FINEMAX」の運営主体である日立製作所だろう。

いいかげんこんなことが続くようなら、安全なインターネットバンキングサイトの作り方にそろそろこれを加えないといけないのではなかろうか。

「例えば、FINEMAXを避ける。」

また、ユーザの立場での注意点はこうだと言える。例えば、「右クリックは禁止です」などと不遜なエラーを出すシステムを採用している銀行、それらを避ける。

関連：

• やってはいけないセキュリティ設定指示 Top 15 （Windows XP SP2編）, 2005年9月9日の日記
• 警察庁の指示がスパイウェア感染を招き金融被害をもたらしている可能性, 2005年7月22日の日記
• セキュリティに関わる解説を素人に書かせる銀行たち, 2004年9月17日の日記

■ オレオレ警告を無視せよと指示する金融機関が他にも

「オレオレ証明書で問題ありませんと言う銀行」について11月17日の日記で2つの銀行を挙げたが、他にもやっているところがあるとの指摘が見つかった。

• オレオレ証明書宣言 -インターネットバンキングの迷路-, なべのさかやき, 2006年8月21日

  私が既に通帳を持っている銀行で、インターネットバンキングのＱ＆Ａを読んでいたら、こんな一文が載っていました。

  （略）

  たぶんこのサイトは、かつて資料請求フォームだけオレオレ証明書で運用されていた時代があり、不審に感じた利用者の問い合わせが多いためにＱ＆Ａに「オレオレ証明書宣言」を追加したのでしょう。その後、オレオレ詐欺状態が解消したのにＱ＆Ａがメンテナンスされていなかったものと思われます。

検索してみたところ、現在もそれが掲載されていた。

図5: ろうきん インターネットバンキング「Q & A お申し込み」

Ｑ6 ホームページから資料請求を行おうとすると、「このサイトのセキュリティ証明書には問題があります。（Internet Explorerの場合）」（Netscape Navigatorの場合：「Netscape は、証明書に署名した発行人を認識できません。」）と表示されますが、どうしたらいいのですか？ これは、ＳＳＬに使う電子証明書の発行元が全国労働金庫協会であることによるものです。

したがって、Internet Explorerでは「続行する」、Netscape Navigatorでは「次へ」「次へ」「次へ」「次へ」「完了」「続ける」として電子証明書をインストールしてください。このお手続きは、通信経路を暗号化してお客様の個人情報を保護するために必要ですのでご了承願います。

その「資料請求」のページは、現在ではたしかに正常なサーバ証明書で運営されているようだ。しかし、サーバ側が正常になったからといって、この誤った説明を放置していてよいことにはならない。

なぜなら、ユーザ側でこの警告が出ることはいつでも起き得るからである。つまり、まさに盗聴されているときにその警告が出るのであり、それを見分けるための警告なのだから、「続行する」だの、「次へ」「次へ」「次へ」「次へ」「完了」「続ける」だのと出鱈目な嘘を教えてはいけない。

実際に、この誤った解説を真に受けて操作した利用者が、外出先などでインターネットバンキングを利用したとき、警告を無視して操作して被害が出たら、その責任をとるつもりなのか？

なお、11月17日の日記で挙げた2つの銀行は、現在もなお虚偽の説明を訂正していないばかりか、削除すらしていない。

関連：

• オレオレ警告の無視が危険なこれだけの理由, 2007年11月25日の日記