<前の日記(2008年06月25日) 次の日記(2008年06月30日)> 最新 編集

高木浩光@自宅の日記

目次 はじめに 連絡先:blog@takagi-hiromitsu.jp
訪問者数 本日: 2146   昨日: 2967

2008年06月27日

地方銀行のEV SSL対応はどうなったか

2005年2月20日の日記で「フィッシング防止のため地方銀行はこうするべき」ということを書いた。つまり、インターネットバンキングのログイン画面のページで、ちゃんと銀行のドメイン名を使用するべきだという話だった。たとえば、NTTデータの「ANSER WEB」を利用してインターネットバンキングのサービスを提供している小さな銀行らは、anser.or.jp というドメイン名のURLのページ上にログイン画面があるため、一般の利用者達にとって、本物と見分けるのが簡単ではなかろうという話だった。

そして今年の4月、次のニュースが出た。

  • インターネットバンキングサービスのフィッシング対策を強化! 〜「EV SSL証明書」と「フィッシングサイト閉鎖サービス」を導入〜, NTTデータ, 2008年4月22日,

    NTTデータでは、こうした状況を踏まえ、サイトの信頼性を確認するための「EV SSL証明書」および「フィッシングサイト閉鎖サービス」を約80の金融機関にご利用いただいているANSER-WEB(アカウントアクセス)ならびに ANSER-WEB(アカウントアクセス)コーポレートエディションに導入し、フィッシング対策の強化を図ってまいります。

    (中略)

    日本ベリサイン株式会社の「ベリサイン グローバル・サーバID EV」は、Internet Explorer7を利用する場合、ソフトのダウンロードを要することなく、正当なサイトであればアドレスバーが緑色表示になり、サイト運営者も表示することができるため、利用者が視覚的にサイトの正当性を確認できる点がメリットと考え、導入を決定しました。

ドメイン名はどうなったのだろうと、地方銀行のいくつかを見に行ってみたところ、なんと、下の図のように、「NTT DATA CORPORATION」と表示されていた。

図1: 運営者が「NTT DATA CORPORATION」と表示された銀行

図2: 緑色部分をクリックしてEV SSL証明書の発行先を確認した様子(Firefox 3の場合)

これにはいささかがっかりした。しかし、まあ、それでもいいかと思うようになった。ANSER WEBを利用している金融機関は80にものぼるというし、それがこの1つのEV SSL採用で、80もの金融機関が対応済みとなるのであれば。NTTデータは著名な会社であるし、銀行のサービスがNTTデータによって運用管理されているであろうことは、多くの人々にとって想像に及ぶものであろう。

この場合、重要なのは、各銀行が利用者に対して「NTTデータに委託している」事実を正直に説明できるかどうかとなる。

いくつかの銀行を見てまわったところ、EV SSL導入を知らせるページが用意されていて、銀行によっては、「当行のインターネットバンキングはNTTデータ社のシステムを利用していることから、組織名には同社の名称が表示されます」といった説明をしているところもあった。銀行によっては「NTT DATA CORPORATION」と表示される理由を説明していないところもある。おかしなプライドがそれを許さないのか、あるいは、単に説明する必要性に気付いていないのか。後者であれば、その銀行の担当者自身、安全にWebを使うことのできない人だろう。

  • 十八銀行:お知らせ EV SSLサーバー証明書の採用について, 十八銀行

    (2) SSL暗号化通信を表す鍵マークと共に、ウェブサイトを運営している組織名(※)(NTT DATA CORPRATION [JP])とEV SSLサーバー証明書を発行した認証局(VeriSign によって識別)が表示されますので、それぞれを確認してください。

    (※) 当行のインターネットバンキングはNTTデータ社のシステムを利用していることから、組織名には同社の名称が表示されます。

このことをもっとちゃんと明記するべきだ。ANSERのログイン画面にジャンプする直前の、銀行自身のWebページに書いておくのがよいだろう。

ちなみに、かつて「cyber-biz.ne.jp」という怪しげなドメインにログイン画面を構えていた銀行もたくさんあったが、今ではそのほとんどが銀行自身のドメイン名の上に移転したようだ。(移転といっても、IPアドレスは替わらず同じサーバが使われていると思われる。)

そのうちのいくつかの銀行が、EV SSLを採用したようで、それらではちゃんと銀行の社名が緑色表示されるようになっている。






図3: 運営者として銀行自身の社名が表示される例

「EV SSL対応」と謳われているのにFirefox 3やOpera 9.5では緑にならない銀行

スルガ銀行も、cyber-biz.ne.jp からの移転組で、「EV SSL対応」と謳っている。

たしかに、Windows VisataのInternet Explorer 7でアクセスすると、EV SSLの緑表示で銀行の社名が表示される(図4)。

図4: Windows VistaのIE 7での表示

ところが、Firefox 3で見ると、図5のように、通常のSSLサイトとして表示されてしまう。同様に、Opera 9.5でも、図6のように、通常のSSLサイトとして表示されてしまう。

図5: Firefox 3での表示

図6: Opera 9.5での表示

また、Windows XP Service Pack 3 のInternet Explorer 7(EV SSL対応のはずだが)で表示したときも、通常のSSLサイトとして表示されてしまう。しかし、Windows Updateの追加インストールで「ルート証明書の更新プログラム」を導入すると、Windows Vistaの場合と同様にEV SSLに対応した緑表示となる。このことは、スルガ銀行のEV SSL証明書の説明ページにも次のように書かれている。

ルート証明書の更新プログラムについて

WindowsXPをご利用のお客さまは、自動的にアドレスバーが緑色にならないため、下記の手順でWindows Updateの作業をしてください。

1. WindowsXPのInternet Explorer 7を使用していることを確認
2. ブラウザメニューの「ツール」を選択
3. 「Windows Update」をクリックし、Windows Updateのページにアクセス
4. 「カスタム」をクリックし、インストール
5. 「追加選択(ソフトウェア)」をクリック
6. 「ルート証明書の更新プログラム」にチェックし、最新のルート証明書をインストール

ルート証明書の更新プログラムが0件の場合は、すでに最新のルート証明書がインストールされています。

インターネットバンキングの被害防止対策 EV SSL証明書, スルガ銀行

どうやら、「EV SSL対応」といっても(しかも同じVeriSign社発行のものであっても)、少なくとも2つのタイプがあるようなので注意が必要そうだ。

スルガ銀行は、なぜわざわざこのような不利なEV SSLを採用したのだろうか。

「スルガ銀行 EV SSL」でググってみたところ、@ITの次の記事が出てきた。

  • スルガ銀行、フィッシング詐欺対策として携帯電話対応EV SSL証明書を採用, @IT情報マネジメント, 2007年11月8日

    グローバル・サーバID EV for Mobileを導入したサイトにユーザーがアクセスすると、ブラウザのアドレスバーが緑色になり、安全なサイトであることが一目で判別可能になる。同証明書はさらに、PCからのアクセスだけではなく、SSL対応携帯電話からアクセスした際も同じようにサイトの安全性を判別できる

この記事は間違っている。携帯電話のWebブラウザでEV SSL対応のものはまだ存在しないのだから、「携帯電話からアクセスした際も同じように」「ブラウザのアドレスバーが緑色になり、安全なサイトであることが一目で判別可能になる」などということはない。

なぜこんなおかしな記事が出てしまうかというと、ベリサインの「グローバル・サーバID EV for Mobile」という商品がどういうものなのかわかりにくいためだ。これがどういうものなのかは、ベリサインのFAQを読むとわかる。

  • サーバID - グローバル・サーバID EV for Mobile よくある質問, 日本ベリサイン

    Q.グローバル・サーバID EVとグローバル・サーバID EV for Mobileの最も大きな違いは何ですか?

    A: グローバル・サーバID EVは、Windows Vistaに加えて、Windows XPに搭載されたInternet Explorerでもブラウザのアドレスバーを緑色にすることが可能ですが、その一方で、一部の携帯電話端末ではSSL通信ができないということを確認しています。 グローバル・サーバID EV for Mobileでは、SSL通信に対応するほぼすべての携帯電話端末でSSL通信ができるようになります。

つまり、通常のEV SSLでは、携帯電話の少なくない機種で、そもそもSSL接続が正常にできなくなる(オレオレ証明書状態になる)ため、携帯電話で正常に接続できるような特別なEV SSL(CAの認証パスを工夫したもの)を用意したというのが「グローバル・サーバID EV for Mobile」のようだ。「for Mobile」といっても、現在の携帯電話でEV SSLとして意味をなすわけではない。

@ITの記事が参考にしたと思われるベリサインのプレスリリースは、嘘は書かれていないものの、デメリットの存在が非常にわかりにくく書かれているため、@ITの記者は間違えてしまったのだろう。

デメリットは、Windows XPのユーザは「ルート証明書の更新プログラム」を導入しないとEV SSLが有効にならない点とされているが、どうやら他にも、Firefox 3やOpera 9.5でもEV SSLが有効にならないようだ。

ベリサインの用途別の選び方の説明(下の方)には、「現在はPCのみだが、将来的には携帯電話からのアクセスにも対応させる場合」には「グローバル・サーバID EV for Mobile」がよいと勧められている。しかし、これから携帯電話向けサイトを構築するなら、そもそも同一のサーバ証明書を使う必要がない。PC向けサイトでは普通のEV SSLを使用し、ケータイ向けサイトでは別サーバで普通のSSL証明書をもう一枚用意すればよい。

サイトが小規模の場合には別サーバにできない事情があるかもしれないが、複数台のサーバを要する規模のサイトでは、PC向けとケータイ向けはサーバを別にした方がよい。今後もこの種の不都合が出てくるだろう。2048ビットRSAへの対応やSHA-2への対応でも、PCでは先行して進むのに対し、ケータイでは古い機種が残るため遅れると思われる。

スルガ銀行は、EV SSLの説明で、「パソコンだけではなく、携帯電話でも」と先進性を誇っているようだが、単にシステムの都合上そうせざるを得なかったという話で、PC向けとケータイ向けを分離したシステム構成に変更しなかったおかげで、せっかくのEV SSLの有効性を一部のブラウザに限定してしまっている*1わけで、ちっとも先進的でない。

フィッシング詐欺の被害予防に

被害が深刻化しているフィッシング詐欺対策として、EV SSL証明書、「グローバル・サーバID EV for Mobile」(携帯電話併用)を採用し、パソコンだけではなく、近年利用が増加している携帯電話でも、お客さまに安心・安全にご利用いただける環境をご提供します

インターネットバンキングの被害防止対策 EV SSL証明書, スルガ銀行

*1 スルガ銀行は、「推奨環境について」に書かれているとおり、Firefoxを排除しているわけではない。

本日のTrackBacks(全61件) [TrackBack URL: http://takagi-hiromitsu.jp/diary/tb.rb/20080627]
clicklog:地方銀行での EV SSL (2008年06月29日 11:54)

銀行での EV SSL 採用状況を軽く調べてみたところ、たまたま高木さんも調べてた。どうやら地方銀行では多くの場合 NTTデータ の名前がでる模様。まぁ、確かに悪くはないか。 また、ルート証明書の更新をしとかないと検証ができない EV SSL があることにも言及されてる。そ..

検索

<前の日記(2008年06月25日) 次の日記(2008年06月30日)> 最新 編集

最近のタイトル

2024年03月23日

2024年03月19日

2024年03月16日

2024年03月13日

2024年03月11日

2023年03月27日

2022年12月30日

2022年12月25日

2022年06月09日

2022年04月01日

2022年01月19日

2021年12月26日

2021年10月06日

2021年08月23日

2021年07月12日

2020年09月14日

2020年08月01日

2019年10月05日

2019年08月03日

2019年07月08日

2019年06月25日

2019年06月09日

2019年05月19日

2019年05月12日

2019年03月19日

2019年03月16日

2019年03月09日

2019年03月07日

2019年02月19日

2019年02月11日

2018年12月26日

2018年10月31日

2018年06月17日

2018年06月10日

2018年05月19日

2018年05月04日

2018年03月07日

2017年12月29日

2017年10月29日

2017年10月22日

2017年07月22日

2017年06月04日

2017年05月13日

2017年05月05日

2017年04月08日

2017年03月10日

2017年03月05日

2017年02月18日

2017年01月08日

2017年01月04日

2016年12月30日

2016年12月04日

2016年11月29日

2016年11月23日

2016年11月05日

2016年10月25日

2016年10月10日

2016年08月23日

2016年07月23日

2016年07月16日

2016年07月02日

2016年06月12日

2016年06月03日

2016年04月23日

2016年04月06日

2016年03月27日

2016年03月14日

2016年03月06日

2016年02月24日

2016年02月20日

2016年02月11日

2016年02月05日

2016年01月31日

2015年12月12日

2015年12月06日

2015年11月23日

2015年11月21日

2015年11月07日

2015年10月20日

2015年07月02日

2015年06月14日

2015年03月15日

2015年03月10日

2015年03月08日

2015年01月05日

2014年12月27日

2014年11月12日

2014年09月07日

2014年07月18日

2014年04月23日

2014年04月22日

2000|01|
2003|05|06|07|08|09|10|11|12|
2004|01|02|03|04|05|06|07|08|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|12|
2007|01|02|03|04|05|06|07|08|09|10|11|12|
2008|01|02|03|04|05|06|07|08|09|10|11|12|
2009|01|02|03|05|06|07|08|09|10|11|12|
2010|01|02|03|04|05|06|07|08|09|10|11|12|
2011|01|02|03|05|06|07|08|09|10|11|12|
2012|02|03|04|05|06|07|08|09|
2013|01|02|03|04|05|06|07|
2014|01|04|07|09|11|12|
2015|01|03|06|07|10|11|12|
2016|01|02|03|04|06|07|08|10|11|12|
2017|01|02|03|04|05|06|07|10|12|
2018|03|05|06|10|12|
2019|02|03|05|06|07|08|10|
2020|08|09|
2021|07|08|10|12|
2022|01|04|06|12|
2023|03|
2024|03|
<前の日記(2008年06月25日) 次の日記(2008年06月30日)> 最新 編集