<前の日記(2004年09月12日) 次の日記(2004年09月19日)> 最新 編集

高木浩光@自宅の日記

目次 はじめに 連絡先:blog@takagi-hiromitsu.jp
訪問者数 本日: 1400   昨日: 2967

2004年09月17日

セキュリティに関わる解説を素人に書かせる銀行たち

三井住友銀行が先月から、「電子メールお知らせサービス」なるものを始めていた。

  • 三井住友銀行、口座の入出金をメールで知らせるサービスを提供開始, INTERNET Watch, 2004年7月9日

    三井住友銀行は9日、同行のダイレクトバンキングサービス「One'sダイレクト」利用者向けに、「電子メールお知らせサービス」を8月23日より提供開始すると発表した。利用料金は、月額105円。

    電子メールお知らせサービスは、One'sダイレクト契約者に対して、振込の入金や口座の引き落としをメールで知らせるサービス。(略) 同行によると、公共料金やクレジットカードなどの口座引落しを事前に知らせるサービスは、邦銀初の試みだという。

フィッシング詐欺に注意が呼びかけられている真っ只中のこのご時世に、そんな紛らわしいサービスを始めるとは、いやはや、どういう神経をしているのだろうか。

一般に「初の試み」などというものは、アイデアが斬新というわけでなしに、単に「やってはいけないことだから誰もそれまでやっていなかった」というオチである可能性がある。

三井住友銀行のこのサービスの解説ページに、どんなメールで通知が来るのか、「電子メールのサンプル」が掲示されている。こんな感じだ。

どうだろうかこの文面。フィッシングの詐欺メールと区別できるだろうか。

あるいは、口座引落し予告のメールの方はどうだろうか。

知らないところから引き落とすと書かれていたら、どうだろうか。慌ててログインしようとして、偽メール、偽サイトでないかの確認をうっかり怠ってしまいやしないだろうか。

銀行がメールを送ってくるというのは、これまで、自分が操作したタイミングでという場合がほとんどだった*1。少なくとも三井住友銀行では、メールで何かが送られてくることはなかった。だから、三井住友銀行を名乗り、ログインを促すメールがきたら、「あれ?」と思うことができた。これまでは。

こういう通知サービスが常態化していくと、人々はフィッシング詐欺に騙されやすくなっていくだろう。

そもそも、電子メールなどという信用性ゼロのメディアを使って、こういう連絡をしてはいけない。こういうサービスが必要なら、これまでに書いたように、メールに電子署名をするべきである。

三井住友銀行の説明には電子署名の解説はないので、署名なしなのだろう。それどころか、メールのサンプルの説明には、どのメールアドレスから送られてくるかの説明すらない。素人が書いているのか。

ちなみに、みずほ銀行では、きちんとこういう説明がなされている。

「みずほ銀行」の名前をかたり、「口座パスワード確認」という件名でインターネットバンキングのパスワードを知らせる内容の迷惑メールが送信されている事実を確認しております。 (略)

当行においては、フィッシング詐欺の事実は確認されておりませんが、当行のホームページURLや、当行からお送りする電子メールの主な送信元アドレス(差出人、From)は以下のとおりです。(略)

当行の主なホームページURL・電子メール送信元アドレスはこちら

「みずほ銀行」の名 前をかたった迷惑メール・詐欺メールについて, みずほ銀行, 2004年9月7日

さすが、既に事件が起きたところは説明をしている。

三井住友銀行の「電子メールお知らせサービス」の「よくある質問」ページには、「Q12:電子メールお知らせサービスを利用する上で注意しなければならないことはありますか?」という項目があるが、次のことが書かれているだけで、フィッシング詐欺への注意は書かれていない。

A12: 以下の注意点をご理解いただいた上でご利用ください。

  • インターネット等の通信手段の特性により、電子メールに遅延が発生した場合、また、インターネット経路上で消失・二重送信が(略)
  • 口座引落しの事前お知らせにおいて、引落日当日、残高不足・預金取引停止等の理由により引落しができなかった場合(略)
  • 振込入金のお知らせにおいて、振込依頼人から振込の「取消」「変更」「組戻し」があった場合(略)

Q12:電子メールお知らせサービスを利用する上で注意しなければならないことはありますか?, 三井住友銀行

かと思えば、その一方で、インターネットバンキング全体のQ & Aの方に、次の注意書きがある。おそらく別々の人によって書かれたのだろう。

ところが、ここには間違ったことが書かれている。

A4: One'sダイレクトのログイン画面で、ブラウザのアドレスバーに表示されているURLのサーバ名をご確認ください。

One'sダイレクトのサーバ名(赤文字部分)は以下の3通りあります。

(略)

(1)ブラウザのアドレスバーで直接確認する。

ここまではよい。その次はこうなっている。

(2)サーバの証明書で確認する。

それはサーバ証明書ではない。クリックせよという「トラストマーク」はログイン画面にあるが、このマークは、単に以下のURLへのリンクになっているだけだ。どこからでもリンクできる。

https://digitalid.verisign.com/vsj/7a8b412e80baafb4cf2d10988a2da06e

マークのクリック先に書かれたサーバ名と、ログイン画面のアドレスバーのサーバ名が一致しているだけでは、本物の証明にはならない。サーバ名が「上記サーバ名」と一致することを(記憶を頼りに)確認するのであれば、アドレスバーだけ見ればよいのだから、マークをクリックする意味がない。マークをクリックする意味があるとしたら、発行先の組織名を見ることだが、それならば、ブラウザの錠アイコンをクリックして確認するべきである。このマークは単なる飾りだ*2。しかも、マークをクリックした先のアドレスバーが「https://digitalid.verisign.com/……」になっていることも確認しないと意味がない。詐欺師が同じ画面を作ることだってできるからだ。

こんないいかげんな解説では、マークをクリックして見さえすれば本物と信じてよいと勘違いする消費者が続出するだろう。

ちなみに、新生銀行は次のように説明している。

  • 安全なお取引のために, 新生銀行

    4.当行ウェブサイトの安全性の確認方法

    個人情報などのご入力の際、以下の方法で当行ウェブサイトの安全性をご確認いただけます。

    • 当該ページのURLが「https://・・・」となっていることをご確認ください。
      (通常、暗号化通信が適用されたページの場合、URLがhttpsから始まります。)
    • 当該ページの下にベリサインの鍵マークがあることをご確認ください。この鍵マークをダブルクリックすることにより、ベリサインの証明書をご確認いただくことができます。この証明書は、このウェブサイトの運営主体である当行の実在性を証明し、ウェブサーバーとブラウザー間の通信がSSL暗号化通信によって保護されていることを証明します。 (略)
    • URLをご確認いただき、当行の公式ホームページであることをご確認ください。
      当行のURLは以下の通りです。

「ベリサインの鍵マーク」って何だ?

もっとわけがわからないのは、

URLが「https://・・・」となっていることをご確認ください

というが、新生銀行のログイン画面はアドレスバーを消しているんだけど。

これのどこを確認するんだ? 解説を書いた人は自分でやってみたんか? やってみればおかしいと気付くだろうに。

本業の人にチェックさせるくらいのことができないのだろうか。

*1 イーバンクについては現在問い合わせ中。

*2 証明書の取り消しがなされていないかをリアルタイムに確認できるという意義だけはあるが。

本日のTrackBacks(全1件) [TrackBack URL: http://takagi-hiromitsu.jp/diary/tb.rb/20040917]
検索

<前の日記(2004年09月12日) 次の日記(2004年09月19日)> 最新 編集

最近のタイトル

2024年03月23日

2024年03月19日

2024年03月16日

2024年03月13日

2024年03月11日

2023年03月27日

2022年12月30日

2022年12月25日

2022年06月09日

2022年04月01日

2022年01月19日

2021年12月26日

2021年10月06日

2021年08月23日

2021年07月12日

2020年09月14日

2020年08月01日

2019年10月05日

2019年08月03日

2019年07月08日

2019年06月25日

2019年06月09日

2019年05月19日

2019年05月12日

2019年03月19日

2019年03月16日

2019年03月09日

2019年03月07日

2019年02月19日

2019年02月11日

2018年12月26日

2018年10月31日

2018年06月17日

2018年06月10日

2018年05月19日

2018年05月04日

2018年03月07日

2017年12月29日

2017年10月29日

2017年10月22日

2017年07月22日

2017年06月04日

2017年05月13日

2017年05月05日

2017年04月08日

2017年03月10日

2017年03月05日

2017年02月18日

2017年01月08日

2017年01月04日

2016年12月30日

2016年12月04日

2016年11月29日

2016年11月23日

2016年11月05日

2016年10月25日

2016年10月10日

2016年08月23日

2016年07月23日

2016年07月16日

2016年07月02日

2016年06月12日

2016年06月03日

2016年04月23日

2016年04月06日

2016年03月27日

2016年03月14日

2016年03月06日

2016年02月24日

2016年02月20日

2016年02月11日

2016年02月05日

2016年01月31日

2015年12月12日

2015年12月06日

2015年11月23日

2015年11月21日

2015年11月07日

2015年10月20日

2015年07月02日

2015年06月14日

2015年03月15日

2015年03月10日

2015年03月08日

2015年01月05日

2014年12月27日

2014年11月12日

2014年09月07日

2014年07月18日

2014年04月23日

2014年04月22日

2000|01|
2003|05|06|07|08|09|10|11|12|
2004|01|02|03|04|05|06|07|08|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|12|
2007|01|02|03|04|05|06|07|08|09|10|11|12|
2008|01|02|03|04|05|06|07|08|09|10|11|12|
2009|01|02|03|05|06|07|08|09|10|11|12|
2010|01|02|03|04|05|06|07|08|09|10|11|12|
2011|01|02|03|05|06|07|08|09|10|11|12|
2012|02|03|04|05|06|07|08|09|
2013|01|02|03|04|05|06|07|
2014|01|04|07|09|11|12|
2015|01|03|06|07|10|11|12|
2016|01|02|03|04|06|07|08|10|11|12|
2017|01|02|03|04|05|06|07|10|12|
2018|03|05|06|10|12|
2019|02|03|05|06|07|08|10|
2020|08|09|
2021|07|08|10|12|
2022|01|04|06|12|
2023|03|
2024|03|
<前の日記(2004年09月12日) 次の日記(2004年09月19日)> 最新 編集