2008年06月27日
■ 地方銀行のEV SSL対応はどうなったか
2005年2月20日の日記で「フィッシング防止のため地方銀行はこうするべき」ということを書いた。つまり、インターネットバンキングのログイン画面のページで、ちゃんと銀行のドメイン名を使用するべきだという話だった。たとえば、NTTデータの「ANSER WEB」を利用してインターネットバンキングのサービスを提供している小さな銀行らは、anser.or.jp というドメイン名のURLのページ上にログイン画面があるため、一般の利用者達にとって、本物と見分けるのが簡単ではなかろうという話だった。
そして今年の4月、次のニュースが出た。
- インターネットバンキングサービスのフィッシング対策を強化! 〜「EV SSL証明書」と「フィッシングサイト閉鎖サービス」を導入〜, NTTデータ, 2008年4月22日,
NTTデータでは、こうした状況を踏まえ、サイトの信頼性を確認するための「EV SSL証明書」および「フィッシングサイト閉鎖サービス」を約80の金融機関にご利用いただいているANSER-WEB(アカウントアクセス)ならびに ANSER-WEB(アカウントアクセス)コーポレートエディションに導入し、フィッシング対策の強化を図ってまいります。
(中略)
日本ベリサイン株式会社の「ベリサイン グローバル・サーバID EV」は、Internet Explorer7を利用する場合、ソフトのダウンロードを要することなく、正当なサイトであればアドレスバーが緑色表示になり、サイト運営者も表示することができるため、利用者が視覚的にサイトの正当性を確認できる点がメリットと考え、導入を決定しました。
ドメイン名はどうなったのだろうと、地方銀行のいくつかを見に行ってみたところ、なんと、下の図のように、「NTT DATA CORPORATION」と表示されていた。
これにはいささかがっかりした。しかし、まあ、それでもいいかと思うようになった。ANSER WEBを利用している金融機関は80にものぼるというし、それがこの1つのEV SSL採用で、80もの金融機関が対応済みとなるのであれば。NTTデータは著名な会社であるし、銀行のサービスがNTTデータによって運用管理されているであろうことは、多くの人々にとって想像に及ぶものであろう。
この場合、重要なのは、各銀行が利用者に対して「NTTデータに委託している」事実を正直に説明できるかどうかとなる。
いくつかの銀行を見てまわったところ、EV SSL導入を知らせるページが用意されていて、銀行によっては、「当行のインターネットバンキングはNTTデータ社のシステムを利用していることから、組織名には同社の名称が表示されます」といった説明をしているところもあった。銀行によっては「NTT DATA CORPORATION」と表示される理由を説明していないところもある。おかしなプライドがそれを許さないのか、あるいは、単に説明する必要性に気付いていないのか。後者であれば、その銀行の担当者自身、安全にWebを使うことのできない人だろう。
- 十八銀行:お知らせ EV SSLサーバー証明書の採用について, 十八銀行
(2) SSL暗号化通信を表す鍵マークと共に、ウェブサイトを運営している組織名(※)(NTT DATA CORPRATION [JP])とEV SSLサーバー証明書を発行した認証局(VeriSign によって識別)が表示されますので、それぞれを確認してください。
(※) 当行のインターネットバンキングはNTTデータ社のシステムを利用していることから、組織名には同社の名称が表示されます。
このことをもっとちゃんと明記するべきだ。ANSERのログイン画面にジャンプする直前の、銀行自身のWebページに書いておくのがよいだろう。
ちなみに、かつて「cyber-biz.ne.jp」という怪しげなドメインにログイン画面を構えていた銀行もたくさんあったが、今ではそのほとんどが銀行自身のドメイン名の上に移転したようだ。(移転といっても、IPアドレスは替わらず同じサーバが使われていると思われる。)
そのうちのいくつかの銀行が、EV SSLを採用したようで、それらではちゃんと銀行の社名が緑色表示されるようになっている。
■ 「EV SSL対応」と謳われているのにFirefox 3やOpera 9.5では緑にならない銀行
スルガ銀行も、cyber-biz.ne.jp からの移転組で、「EV SSL対応」と謳っている。
たしかに、Windows VisataのInternet Explorer 7でアクセスすると、EV SSLの緑表示で銀行の社名が表示される(図4)。
ところが、Firefox 3で見ると、図5のように、通常のSSLサイトとして表示されてしまう。同様に、Opera 9.5でも、図6のように、通常のSSLサイトとして表示されてしまう。
また、Windows XP Service Pack 3 のInternet Explorer 7(EV SSL対応のはずだが)で表示したときも、通常のSSLサイトとして表示されてしまう。しかし、Windows Updateの追加インストールで「ルート証明書の更新プログラム」を導入すると、Windows Vistaの場合と同様にEV SSLに対応した緑表示となる。このことは、スルガ銀行のEV SSL証明書の説明ページにも次のように書かれている。
ルート証明書の更新プログラムについて
WindowsXPをご利用のお客さまは、自動的にアドレスバーが緑色にならないため、下記の手順でWindows Updateの作業をしてください。
1. WindowsXPのInternet Explorer 7を使用していることを確認
2. ブラウザメニューの「ツール」を選択
3. 「Windows Update」をクリックし、Windows Updateのページにアクセス
4. 「カスタム」をクリックし、インストール
5. 「追加選択(ソフトウェア)」をクリック
6. 「ルート証明書の更新プログラム」にチェックし、最新のルート証明書をインストールルート証明書の更新プログラムが0件の場合は、すでに最新のルート証明書がインストールされています。
どうやら、「EV SSL対応」といっても(しかも同じVeriSign社発行のものであっても)、少なくとも2つのタイプがあるようなので注意が必要そうだ。
スルガ銀行は、なぜわざわざこのような不利なEV SSLを採用したのだろうか。
「スルガ銀行 EV SSL」でググってみたところ、@ITの次の記事が出てきた。
- スルガ銀行、フィッシング詐欺対策として携帯電話対応EV SSL証明書を採用, @IT情報マネジメント, 2007年11月8日
グローバル・サーバID EV for Mobileを導入したサイトにユーザーがアクセスすると、ブラウザのアドレスバーが緑色になり、安全なサイトであることが一目で判別可能になる。同証明書はさらに、PCからのアクセスだけではなく、SSL対応携帯電話からアクセスした際も同じようにサイトの安全性を判別できる。
この記事は間違っている。携帯電話のWebブラウザでEV SSL対応のものはまだ存在しないのだから、「携帯電話からアクセスした際も同じように」「ブラウザのアドレスバーが緑色になり、安全なサイトであることが一目で判別可能になる」などということはない。
なぜこんなおかしな記事が出てしまうかというと、ベリサインの「グローバル・サーバID EV for Mobile」という商品がどういうものなのかわかりにくいためだ。これがどういうものなのかは、ベリサインのFAQを読むとわかる。
- サーバID - グローバル・サーバID EV for Mobile よくある質問, 日本ベリサイン
Q.グローバル・サーバID EVとグローバル・サーバID EV for Mobileの最も大きな違いは何ですか?
A: グローバル・サーバID EVは、Windows Vistaに加えて、Windows XPに搭載されたInternet Explorerでもブラウザのアドレスバーを緑色にすることが可能ですが、その一方で、一部の携帯電話端末ではSSL通信ができないということを確認しています。 グローバル・サーバID EV for Mobileでは、SSL通信に対応するほぼすべての携帯電話端末でSSL通信ができるようになります。
つまり、通常のEV SSLでは、携帯電話の少なくない機種で、そもそもSSL接続が正常にできなくなる(オレオレ証明書状態になる)ため、携帯電話で正常に接続できるような特別なEV SSL(CAの認証パスを工夫したもの)を用意したというのが「グローバル・サーバID EV for Mobile」のようだ。「for Mobile」といっても、現在の携帯電話でEV SSLとして意味をなすわけではない。
@ITの記事が参考にしたと思われるベリサインのプレスリリースは、嘘は書かれていないものの、デメリットの存在が非常にわかりにくく書かれているため、@ITの記者は間違えてしまったのだろう。
デメリットは、Windows XPのユーザは「ルート証明書の更新プログラム」を導入しないとEV SSLが有効にならない点とされているが、どうやら他にも、Firefox 3やOpera 9.5でもEV SSLが有効にならないようだ。
ベリサインの用途別の選び方の説明(下の方)には、「現在はPCのみだが、将来的には携帯電話からのアクセスにも対応させる場合」には「グローバル・サーバID EV for Mobile」がよいと勧められている。しかし、これから携帯電話向けサイトを構築するなら、そもそも同一のサーバ証明書を使う必要がない。PC向けサイトでは普通のEV SSLを使用し、ケータイ向けサイトでは別サーバで普通のSSL証明書をもう一枚用意すればよい。
サイトが小規模の場合には別サーバにできない事情があるかもしれないが、複数台のサーバを要する規模のサイトでは、PC向けとケータイ向けはサーバを別にした方がよい。今後もこの種の不都合が出てくるだろう。2048ビットRSAへの対応やSHA-2への対応でも、PCでは先行して進むのに対し、ケータイでは古い機種が残るため遅れると思われる。
スルガ銀行は、EV SSLの説明で、「パソコンだけではなく、携帯電話でも」と先進性を誇っているようだが、単にシステムの都合上そうせざるを得なかったという話で、PC向けとケータイ向けを分離したシステム構成に変更しなかったおかげで、せっかくのEV SSLの有効性を一部のブラウザに限定してしまっている*1わけで、ちっとも先進的でない。
フィッシング詐欺の被害予防に
被害が深刻化しているフィッシング詐欺対策として、EV SSL証明書、「グローバル・サーバID EV for Mobile」(携帯電話併用)を採用し、パソコンだけではなく、近年利用が増加している携帯電話でも、お客さまに安心・安全にご利用いただける環境をご提供します。
銀行での EV SSL 採用状況を軽く調べてみたところ、たまたま高木さんも調べてた。どうやら地方銀行では多くの場合 NTTデータ の名前がでる模様。まぁ、確かに悪くはないか。 また、ルート証明書の更新をしとかないと検証ができない EV SSL があることにも言及されてる。そ..
- セキュリティホールmemo ×1178 : 1021, 139, 12, 5, 1 (2022-12-22)
- https://www.bing.com/ ×4 (2017-04-14)
- http://www.google.com ×5 (2016-02-19)
- https://www.google.co.jp ×20 (2015-08-26)
- スラッシュドットcomments [458324] ×112 : 44, 14, 8, 6, 6, 6, 3, 3, 3, 2, 2, 2, 2, 2, 2, 1, 1, 1, 1, 1, 1, 1 (2014-04-11)
- スラッシュドットarticle [08/11/15/059238] ×76 : 42, 19, 13, 1, 1 (2013-05-21)
- スラッシュドットarticle [08/06/30/0412203] ×313 : 143, 128, 37, 5 (2012-12-10)
- スラッシュドットarticle [09/07/10/0348259] ×366 : 170, 151, 32, 10, 2, 1 (2012-04-24)
- スラッシュドットarticle [08/08/06/0237247] ×31 : 25, 5, 1 (2012-01-13)
- OKWave [qa4203788] ×5 : 2, 1, 1, 1 (2011-07-26)
- スラッシュドットcomments [413296] ×121 : 35, 19, 18, 12, 6, 4, 3, 3, 3, 3, 2, 2, 2, 2, 1, 1, 1, 1, 1, 1, 1 (2011-07-10)
- Twitter [shugomaeda] ×4 (2010-07-12)
- スラッシュドット ×7 : 3, 1, 1, 1, 1 (2010-06-04)
- はてなブックマークコメント ×79 : 18, 14, 12, 10, 8, 5, 3, 2, 2, 2, 1, 1, 1 (2010-05-30)
- スラッシュドットcomments [427116] ×40 : 7, 6, 5, 4, 2, 2, 2, 2, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1 (2009-10-29)
- はてなブックマークコメント [9116579/高木浩光@自宅の日記 - 地方銀行のEV SSL対応はどうなったか] ×4 (2009-04-26)
- ime.nu /20080627.html ×5 (2009-01-22)
- はてなブックマークコメント [9117607/高木浩光@自宅の日記 - 「EV SSL対応」と謳われているのにFirefox 3やOpera 9.5では緑にならない銀行] ×13 (2008-12-31)
- スラッシュドットcomments [407836] ×87 : 29, 16, 6, 6, 5, 5, 3, 2, 2, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1 (2008-12-26)
- http://bugzilla.mozilla.gr.jp/show_bug.cgi?id=6430 ×9 (2008-11-17)
- livedoor Blog [aspplus] ×11 : 9, 1, 1 (2008-09-23)
- ココログ [stressfulangel cocolog] ×13 : 8, 5 (2008-08-06)
- はてなブックマークコメント [9117607] ×12 (2008-07-08)
- So-netブログ [asthenosphere] ×5 (2008-07-01)
- http://futureblog.future-s.com/tanitaka/002938.html ×11 (2008-06-30)
- http://sabakan.jpn.ph/adiary/ ×10 (2008-06-29)
- ev ssl firefox ×48 / EV SSL ×33 / EV SSL firefox ×27 / キーワード不明 ×27 / firefox ev ssl ×26 / グローバル・サーバID EV for Mobile ×17 / EV SSL 携帯 ×14 / evssl 携帯 ×12 / 高木浩光 EV SSL ×12 / firefox EV SSL ×11 / EVSSL 携帯 ×11 / ev ssl ×10 / EV SSL Firefox ×10 / evssl 緑にならない ×9 / EV SSL 銀行 ×9 / EV-SSL ×8 / EVSSL 緑にならない ×8 / firefox evssl ×8 / 銀行 SSL ×7 / ev ssl 携帯 ×7 / Firefox EV SSL ×6 / EV SSL証明書 Firefox ×6 / EV証明書 firefox ×6 / EV SSL 高木 ×5 / firefox ev ×5 / 高木浩光 firefox ×5 / EV SSL証明書 firefox ×5 / EV-SSL 携帯 ×5 / ev-ssl 携帯 ×5 / スルガ銀行 ×4 / firefox 銀行 ×4 / opera ssl ×4 / 高木浩光 EV-SSL ×4 / EV SSL 緑色にならない ×4 / 高木 NTTデータ ×4 / firefox ルート証明書 更新 ×4 / ev-ssl firefox ×4 / ルート証明書の更新プログラム ×4 / firefox SSL 緑 ×4 / スルガ銀行 firefox ×4 / EV SSL 地方銀行 ×4 / Opera EV-SSL ×3 / Firefox EV ×3 / EV SSL 高木浩光 ×3 / ev ssl証明書 firefox ×3 / Firefox EV証明書 ×3 / EVSSL Firefox ×3 / 銀行 EVSSL ×3 / 高木浩光 ev ssl ×3 / EV-SSL Firefox アドレスバー ×3 / 高木浩光 NTTデータ ×3 / EV-SSL 対応 ×3 / EV-SSL firefox ×3 / EV-SSL 緑にならない ×3 / EVSSL firefox ×3 / ssl ×3 / "EV SSL" デメリット ×3 / ev ssl 採用 ×3 / ev ssl 高木 ×3 / ev-sslとは ×3 / ev ssl 対応 ×3 / EV-SSL FireFox ×3 / http://takagi-hiromitsu.jp/diary/20080627.html ×3 / 高木浩光 EV ×3 / firefox 3 ssl ×3 / Firefox EV-SSL ×3 / Firefox SSL 緑 ×3 / ev ssl 銀行 ×3 / EV ssl 携帯 ×3 / sha-2 銀行 ×3 / EV-SSL 緑色にならない ×2 / Firefoxの場合、ルート証明書の更新 ×2 / ev-ssl 高木浩光 ×2 / takagi SSL ×2 / ev ssl デメリット ×2 / Opera EV SSL ×2 / firefox3 ev ssl ×2 / EV SSL FIREFOX ×2 / 携帯 SSL 対応 ×2 / cyber-biz.ne.jp ×2 / opera EV SSL ×2 / opera ev ssl ×2 / 地方銀行 ×2 / EV SSL 緑にならない ×2 / SHA-2 ブラウザ 対応状況 ×2 / firefox3 SSL 緑 ×2 / NTTデータANSER−WEBユーザー ×2 / 高木 銀行 SSL ×2 / EV-SSL 高木 ×2 / evssl 高木浩光 ×2 / 安全なサイトを緑色で知らせる ×2 / 高木 地方銀行 ×2 / 携帯サイト 銀行 必要性 ×2 / ev ssl opera ×2 / EVSSL ×2 / ssl 証明書 ev firefox ×2 / 高木浩光 EVSSL ×2 / 銀行 Firefox ×2 / opera スルガ銀行 ×2 / FireFox3 SHA-2 ×2 / -hiromitsu.jp 高木浩光 銀行 ×2 / SSL 緑 茶色 firefox ×2 / EV SSL Firefox 3.0 ×2 / 高木浩光 銀行 ドメイン ×2 / ベリサイン 緑色にならない ×2 / Firefox SSL 対応 ×2 / SSL 銀行 ×2 / Firefox ルート証明書 更新 ×2 / Firefox 銀行 ×2 / EV SSL opera ×2 / ie7 ssl 緑 ×2 / firefox 3 SSL ×2 / firefox EV SSL 緑 ×2 / firefox EVSSL ×2 / EV SSL Firefox3 ×2 / 地銀 証明書 ×2 / ev-ssl 銀行 ×2 / -hiromitsu.jp EV ×2 / firefox ssl 運営者 ×2 / opera ssl 表示 ×2 / ev-ssl ×2 / firefox 検証され信頼できる運営者情報はありません ×2 / ev ssl 緑色にならない ×2 / firefox ev 証明書 ×2 / FIREFOX EV SSL ×2 / firefox EV-SSL ×2 / 銀行 ×2 / ntt data corporation ×2 / nttデータ 高木 ×2 / 緑色 EV SSL ならない ×2 / EV for Mobile ×2 / -hiromitsu.jp 銀行 ×2 / EV for mobile ×2 / ルート証明書の更新 firefox ×2 / SSL -hiromitsu.jp ×2 / firefox ssl ×2 / 高木 ev 携帯 ×2 / 高木 sha2 ×2 / ANSER-WEB NTTデータ ×2 / opera EVSSL ×2 / 銀行 -hiromitsu.jp ×2 / -hiromitsu.jp/diary/ フィッシング 証明書 ×2 / ev ssl 銀行 ANSER ×2 / firefox ssl ev ×2 / firefox ev-ssl ×2 / XP SP3 EV SSL ×2 / ev ssl 緑にならない ×2 / "EV SSL" firefox ×2 / EVSSL 対応 ×2 / evssl firefox ×2 / Opera SSL ×2 / ev ssl 証明書 必要性 ×2 / evssl 緑色にならない ×2