高木浩光＠自宅の日記

2007年12月15日

■ 日立の銀行用ソフトウェアキーボードが利用者の危険を増大させている

Internet Explorerの独自機能である「スクリプトによる貼り付け処理」が危険なものであることは、いろいろな場面で何度も言い続けてきた。

Internet Explorerの「スクリプトによる貼り付け処理」機能の能力を検証する, 2001年11月5日

この問題は、Internet Explorer 7 と Windows Vista においてようやくそれなりに一応の解決がなされた。2006年5月13日の日記に書いていたように、「スクリプトによる貼り付け処理の許可」のデフォルト設定は、「ダイアログを表示する」に変更されているのである。

当時、「こんな解決方法じゃ、設定を元に戻させる糞サイトが登場して元の木阿弥にされてしまう」との心配が頭をよぎったが、その懸念が早くも現実のものとなっていた。それも、よりによって、銀行の手によってである。

図1は、西日本シティ銀行による「ソフトウェアキーボード」の解説である。（「セキュリティキーボード」と呼ぶ銀行もある。）

図1: 西日本シティ銀行「ソフトウェアキーボードとは」

ソフトウェアキーボードのボタン押下時にブラウザの設定により下記のダイアログが表示される場合があります。ダイアログの表示は下記の設定により回避が可能です。

【回避方法】

「ツール」→「インターネットオプション」→「セキュリティ」→「セキュリティのカスタマイズ」→「レベルのカスタマイズ」→「スクリプトの貼り付け処理の許可」を有効に設定することにより表示を抑止できます。

キーロガー対策のために「ソフトウェアキーボード」を使えと言いながら、クリップボードの盗聴を万人に許可する設定にせよ……というのである。

キーロガー対策として「ソフトウェアキーボード」を導入する銀行は多いが、これが役に立たないものであること（キーロガーを仕掛けられるという状況の前提では、他のもっと効果的で簡単なマルウェアを仕掛けることも可能である）は、Web技術者なら誰でも知っているだろう（関連記事）。一部の銀行はそれを承知でこれを導入しているようで、これは「対策してます」というポーズなんだという話がある。ある銀行の担当者は講演で、「これによりセキュリティ意識の必要性に気付いていただけるというメリットがある」という趣旨のことを話しており、なるほどそれ自体を非難することはできないだろう*1。

だが、「スクリプトによる貼り付け処理」のセキュリティ設定をデフォルトより危険な設定に変更させてしまうのでは、こんなものは有害なだけである。本末転倒も甚だしい。

検索して調べてみると、他にも同様の指示を出している銀行が何か所も見つかる。

図2: 泉州銀行「IE7.0とWindows Vistaの制限事項」

ソフトウェアキーボードのボタン押下時にクリップボードへのアクセス許可ダイアログが表示されます。（略）「スクリプトの貼り付け処理の許可」を有効に設定してご利用ください。

図3: 肥後銀行「Internet Explorer 7.0 ご利用時の注意」

＜事象２＞ソフトウェアキーボードを押した際に、「クリップボードへのアクセス許可」のダイアログが表示される。

＜対　応＞（略）以下のようにブラウザの設定を変更すると、次回よりダイアログが表示されません。

・「F10キー押下」-「ツール」-「インターネットオプション」-「セキュリティ」-「レベルのカスタマイズ」-「スクリプトの貼り付け処理の許可」を有効に設定

図4: 北洋銀行「推奨ＯＳ／ブラウザ」

＜Internet Explorer 7.0をご利用の場合＞

・ソフトウェアキーボードのボタン押下時に、「このWebページがクリップボードへアクセスするのを許可しますか？」というメッセージが表示される場合があります。この場合、「アクセスを許可する」をその都度選択してご利用いただくか、ブラウザの設定を以下のとおり変更してご利用ください。

＜ブラウザの設定＞

「ツール」→「インターネットオプション」→「セキュリティ」→「レベルのカスタマイズ」→「スクリプトの貼り付け処理の許可」を有効に設定してください。

これらの銀行がどんなシステムを使っているのか、ログイン画面に行って見ると、それぞれ次の特徴があり、共通点があった。

西日本シティ銀行, bb1.finemax.net, アドレスバー隠蔽, 「右クリックは禁止です。」
泉州銀行, www2.ib-center.gr.jp, 「右クリックは禁止です。」
肥後銀行, www2.ib-center.gr.jp, アドレスバー隠蔽, 「右クリックは禁止です。」
北洋銀行, bb1.finemax.net, 「右クリックは禁止です。」

「finemax.net」も「ib-center.gr.jp」も日立製作所金融システム事業部が提供しているサービスらしい。*2

そもそも、技術的に言って、「ソフトウェアキーボード」機能を実現するために「スクリプトによる貼り付け処理」は必要なのか？

「ソフトウェアキーボード」は（役に立たないのに）たくさんの銀行が導入しているので、各行で、「スクリプトによる貼り付け処理」を「ダイアログを表示する」に設定（IE 7およびWindows Vistaのデフォルト設定）しているとどうなるか調べてみた。（Googleで「銀行」で検索したときの出現順。）

イーバンク銀行, ダイアログは出ない
みずほ銀行, ダイアログは出ない
三菱東京UFJ銀行, ソフトウェアキーボードを採用していない
三井住友銀行, ダイアログは出ない
新生銀行, ダイアログは出ない
りそな銀行(anser.or.jp), ダイアログは出ない
ジャパンネット銀行, ソフトウェアキーボードを採用していない
東京スター銀行, ソフトウェアキーボードを採用していない
ソニー銀行, ダイアログは出ない
セブン銀行, ダイアログは出ない
ゆうちょ銀行, ダイアログは出ない
スルガ銀行, ダイアログは出ない
横浜銀行 (finemax.net), ダイアログが出る
関西アーバン銀行 (anser.or.jp), ダイアログは出ない
東京都民銀行 (anser.or.jp), ダイアログは出ない
京都銀行 (anser.or.jp), ダイアログは出ない
住友信託銀行, ソフトウェアキーボードを採用していない
中央三井信託銀行, ダイアログは出ない
千葉銀行 (finemax.net), ダイアログが出る

つまり、「スクリプトによる貼り付け処理」を使っているのは、日立のシステムだけだ。

技術的に直せるものなのに、どうして直さないのか？直しもしないで、ユーザのセキュリティ設定を劣化させてお茶を濁そうとしているのは、誰の責任なのか？

設定変更の指示を書いているのは、銀行が独自に書いたものだろうか？いや、そうではなさそうだ。というのも、上の図1～4に挙げた各銀行の説明をよく読むと特徴的な文がある。

「スクリプトの貼り付け処理の許可」を有効に設定してください。

実はInternet Explorerに「スクリプトの貼り付け処理の許可」などという設定項目は存在しない。正しくは「スクリプトによる貼り付け」だ。

つまり、どこかの誰かが各銀行に例文を配布したために、それを真に受けてコピーしてしまった銀行があったということだ。

汚染源はどこなのか？普通に憶測すれば「FINEMAX」の運営主体である日立製作所だろう。

いいかげんこんなことが続くようなら、安全なインターネットバンキングサイトの作り方にそろそろこれを加えないといけないのではなかろうか。

「例えば、FINEMAXを避ける。」

また、ユーザの立場での注意点はこうだと言える。例えば、「右クリックは禁止です」などと不遜なエラーを出すシステムを採用している銀行、それらを避ける。

■ オレオレ警告を無視せよと指示する金融機関が他にも

「オレオレ証明書で問題ありませんと言う銀行」について11月17日の日記で2つの銀行を挙げたが、他にもやっているところがあるとの指摘が見つかった。

オレオレ証明書宣言 -インターネットバンキングの迷路-, なべのさかやき, 2006年8月21日

私が既に通帳を持っている銀行で、インターネットバンキングのＱ＆Ａを読んでいたら、こんな一文が載っていました。

（略）

たぶんこのサイトは、かつて資料請求フォームだけオレオレ証明書で運用されていた時代があり、不審に感じた利用者の問い合わせが多いためにＱ＆Ａに「オレオレ証明書宣言」を追加したのでしょう。その後、オレオレ詐欺状態が解消したのにＱ＆Ａがメンテナンスされていなかったものと思われます。

検索してみたところ、現在もそれが掲載されていた。

図5: ろうきんインターネットバンキング「Q & A お申し込み」

Ｑ6 ホームページから資料請求を行おうとすると、「このサイトのセキュリティ証明書には問題があります。（Internet Explorerの場合）」（Netscape Navigatorの場合：「Netscape は、証明書に署名した発行人を認識できません。」）と表示されますが、どうしたらいいのですか？これは、ＳＳＬに使う電子証明書の発行元が全国労働金庫協会であることによるものです。

したがって、Internet Explorerでは「続行する」、Netscape Navigatorでは「次へ」「次へ」「次へ」「次へ」「完了」「続ける」として電子証明書をインストールしてください。このお手続きは、通信経路を暗号化してお客様の個人情報を保護するために必要ですのでご了承願います。

その「資料請求」のページは、現在ではたしかに正常なサーバ証明書で運営されているようだ。しかし、サーバ側が正常になったからといって、この誤った説明を放置していてよいことにはならない。

なぜなら、ユーザ側でこの警告が出ることはいつでも起き得るからである。つまり、まさに盗聴されているときにその警告が出るのであり、それを見分けるための警告なのだから、「続行する」だの、「次へ」「次へ」「次へ」「次へ」「完了」「続ける」だのと出鱈目な嘘を教えてはいけない。

実際に、この誤った解説を真に受けて操作した利用者が、外出先などでインターネットバンキングを利用したとき、警告を無視して操作して被害が出たら、その責任をとるつもりなのか？

なお、11月17日の日記で挙げた2つの銀行は、現在もなお虚偽の説明を訂正していないばかりか、削除すらしていない。

関連：

オレオレ警告の無視が危険なこれだけの理由, 2007年11月25日の日記

*1 もし、「ソフトウェアキーボードでスパイウェア対策は万全です」などと宣伝している銀行があれば、それは事実に反するので非難されてしかるべき（2005年10月17日の日記、2006年10月21日の日記参照）だが、たとえば西日本シティ銀行の説明では、「キーボードからの入力情報を盗み取るタイプのスパイウェアよりパスワードなどの入力情報を守ることができます」とか、「ソフトウェアキーボードのご利用により、安全が保証されるものではありません」などと、それなりに慎重な説明がなされている。

*2 「finemax」で検索してみると悪い評判が見られる。

本日のTrackBacks(全6件) [TrackBack URL: http://takagi-hiromitsu.jp/diary/tb.rb/20071215]

本日のリンク元

https://duckduckgo.com/ ×6 (2017-12-15)
https://www.bing.com/ ×20 (2016-07-27)
https://www.google.co.jp ×52 (2015-08-21)
はてなブックマークコメント ×52 : 28, 16, 6, 1, 1 (2011-06-23)
http://s.luna.tv/search.aspx?q=ソフトウェアキーボード&st=10&d=&s=0&clie... ×4 (2011-02-08)
http://klab.klab.org/trac/general/wiki/AboutSecretman ×4 (2010-01-28)
http://klab.klab.org:88/trac/general/wiki/AboutSecretman ×4 (2010-01-21)
はてなブックマークコメント [6819037/高木浩光＠自宅の日記 - 日立の銀行用ソフトウェアキーボードが利用者の危険を増大させている] ×14 (2009-01-02)
はてなダイアリー [wnao 20071222] ×2 : 1, 1 (2008-12-22)
mew5.com ×157 : 141, 5, 3, 2, 2, 1, 1, 1, 1 (2008-12-06)
http://s.luna.tv/search.aspx?q=UFJ銀行　ソフトウェアキーボード&d=&s=0&gl=j... ×4 (2008-11-08)
http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q111... ×5 (2008-10-17)
RinRin王国 ×885 : 830, 21, 15, 14, 3, 1, 1 (2008-08-18)
ココログ [stressfulangel cocolog] ×35 : 19, 12, 3, 1 (2008-08-05)
http://blog.proj.jp/ituki/200712.html ×13 (2008-04-18)
http://takabsd.jp/d/?date=20090729 ×24 (2008-03-25)
jcom.home.ne.jp [sarasiru] ×2132 : 1626, 442, 54, 4, 3, 2, 1 (2008-03-02)
はてなダイアリー [JavaBlack 20071023] ×4 (2008-02-03)
http://clip.nifty.com/entry/c10d876f6250ad8aede7f3e161499c47... ×7 (2008-01-10)
セキュリティホールmemo ×1068 : 933, 117, 16, 1, 1 (2008-01-02)
はてなダイアリー [johzan] ×3 : 1, 1, 1 (2007-12-30)
http://techwiki.itfor.local/wiki/ ×4 (2007-12-26)
http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q111... ×26 (2007-12-25)
http://sns.is.hitachi-sk.co.jp/?m=pc&a=page_fh_diary&target_... ×4 (2007-12-20)
http://sns.is.hitachi-sk.co.jp/?m=pc&a=page_fh_diary&target_... ×5 (2007-12-20)
http://blog.proj.jp/ituki/ ×6 (2007-12-19)
livedoor Blog [hiko_alan] ×4 (2007-12-19)
http://blog.proj.jp/ituki/20071219.html ×11 (2007-12-19)
http://sns.is.hitachi-sk.co.jp/?m=pc&a=page_fh_diary&target_... ×15 (2007-12-19)
http://sns.is.hitachi-sk.co.jp/?m=pc&a=page_fh_diary&target_... ×35 (2007-12-19)
はてなブックマークコメント [6819037] ×25 (2007-12-17)
http://collbo.itg.hitachi.co.jp/Portal/portal/action/Plain/p... ×9 (2007-12-17)
http://158.214.169.22/xoops/modules/popnupblog/ ×4 (2007-12-17)
http://www.sside.net/2007/12/post_294.html ×9 (2007-12-17)
http://blog.so-net.ne.jp/asthenosphere/2007-12-17 ×14 (2007-12-17)
はてなダイアリー [f-star 20071216] ×8 : 5, 3 (2007-12-17)

検索

ソフトウェアキーボード ×202 / キーワード不明 ×106 / ソフトウェアキーボードセキュリティ ×53 / finemax.net ×43 / スクリプトによる貼り付け処理の許可有効に ×42 / finemax ×39 / ソフトウェアキーボード作り方 ×36 / FINEMAX ×31 / finemax 評判 ×30 / スクリプトによる貼り付け処理の許可 ×22 / 日立キーボード ×19 / ソフトウエアキーボード ×16 / 日立 finemax ×13 / ソフトウェアキーボード銀行 ×13 / 高木浩光日立 ×13 / ソフトウェアキーボード ×12 / 銀行ソフトウェアキーボード ×11 / 銀行用キーボード ×11 / bb1.finemax.net ×11 / 日立 FINEMAX ×10 / finemax 日立 ×10 / ソフトキーボードセキュリティ ×10 / 金融機関キーボード ×9 / 銀行のキーボード ×9 / 銀行キーボード ×9 / スクリプトによる貼り付け処理 ×8 / 金融キーボード ×8 / anser.or.jp ×8 / 新生銀行危険 ×8 / ソフトウェアキーボード使えない ×8 / セキュリティソフトウェアキーボード ×7 / ソフトウェアキーボード危険 ×7 / 銀行ソフトキーボード ×6 / ソフトウェアキーボードが使えない ×5 / キーボード日立 ×5 / セキュリティキーボード ×5 / finemax 銀行 ×5 / 高木ソフトウェアキーボード ×5 / 金融キーボード ×5 / hitachi キーボード ×5 / ソフトウェアキーボードキーロガー ×5 / ソフトウェアキーボード vista ×5 / ソフトウェアキーボードセキュリティー ×4 / ソフトキーボード銀行 ×4 / ソフトウェアキーボード安全 ×4 / 自宅銀行ソフトウェア ×4 / ソフトウェアキーボード日立 ×4 / ib-center.gr.jp ×4 / ソフトウェアキーボード三菱東京 ×4 / ソフトウェアキーボードクリップボード ×4 / ソフトウェアキーボード安全性 ×4 / ソフトウエアキーボード使えない ×4 / vista ソフトウェアキーボード ×4 / ブラウザソフトウェアキーボード ×4 / ソフトウェアキーボード安全か ×4 / ソフトウェアキーボード貼り付け ×4 / finemax 横浜銀行 ×4 / 肥後銀行 ×4 / finemax ie7 設定 ×4 / 高木日立 ×4 / finemax 高木 ×3 / 金融用キーボード ×3 / ＦＩＮＥＭＡＸ ×3 / ソフトウェアキーボードとは ×3 / ソフトウェアキーボード表示されない ×3 / セキュリティキーボード危険 ×3 / 銀行ソフトウェア ×3 / 日立ＦＩＮＥＭＡＸ ×3 / 銀行用キーボード ×3 / 日立ソフトウェアキーボード ×3 / finemax -hiromitsu.jp ×3 / 千葉銀行 FINEMAX ×3 / ソフトウェアキーボード銀行安全 ×3 / ://takagi-hiromitsu.jp/diary/ finemax ×3 / FINEMAX 千葉銀行 ×3 / ソフトウェアキーボード xp ×3 / ソフトウェアキーボードメリット ×3 / 新生銀行ソフトウェアキーボード ×3 / キーボード次へ ×3 / キーボードの解説 ×3 / Vista ソフトウェアキーボード ×3 / ソフトウェアキーボードエラー ×3 / 高木浩光ソフトウェアキーボード ×3 / 銀行日立 finemax ×3 / スクリプトによる貼り付け処理の許可デフォルト ×3 / 日立の銀行用ソフトウェアキーボードが利用者の危険を増大させている ×3 / インターネットバンキングソフトウェアキーボード ×3 / FINEMAX 右クリック ×3 / スクリプトによる貼り付け処理の許可危険 ×3 / 三井住友銀行ソフトウェアキーボード ×3 / 銀行用のソフト ×3 / 千葉銀行日立 ×3 / ソフトウェアキーボードアクセス許可 ×3 / キーボード金融 ×3 / 日立のキーボード ×3 / キーボード金融機関 ×3 / スクリプトの貼り付け処理の許可 ×3 / Finemax ×3 / スクリプトによる貼り付け処理の許可とは ×3 / 西日本シティ銀行日立 ×2 / 銀行ソフトウウェアキーボード ×2 / 三井住友ソフトウェアキーボード ×2 / ソフトキーボード使えない ×2 / ソフトウェアキーボード役に立たない ×2 / ソフトウェアキーボードネットバンク ×2 / 日立 ×2 / Finemax 右クリック ×2 / FINEMAX 高木 ×2 / スクリプトによる貼り付け処理の許可ダイアログ ×2 / クリップボードアクセス許可 ×2 / クリップボードにアクセスする許可ますか西日本シティ銀行 ×2 / ソフトウェアキーボードは安全か？ ×2 / 日立高木 ×2 / 日立の銀行用ソフトウェアキーボード ×2 / 銀行危険 ×2 / 北洋銀行日立 ×2 / 新生銀行 FINEMAX ×2 / .finemax.net ×2 / IE8 ソフトウェアキーボード表示されない ×2 / 北洋銀行高木 ×2 / ib-center.gr.jp -hiromitsu.jp ×2 / ゆうちょ銀行高木 ×2 / UFJ この Web サイトのセキュリティ証明書には問題があります。 ×2 / ソフトウエアキーボードクリップボード ×2 / スクリプトによる貼り付け処理とは ×2 / Finemax 評判 ×2 / 証明書 vista 高木 ×2 / ソフトキーボードブラウザ ×2 / 高木浩光キーボード ×2 / FINEMAX 日立 ×2 / 三菱東京ＵＦＪこの Web サイトのセキュリティ証明書には問題があります。 ×2 / ANSER 三井住友 ×2 / 右クリックは禁止です ×2 / ソフトウエアキイボード使えない ×2 / 日立 Finemax ×2 / ソフトウェアキーボード windows ×2 / ソフトウエアキーボード高木 ×2 / ソフトウェアキーボード必須 ×2 / 日立インターネットバンキング高木 ×2 / クリップボードへアクセスするのを許可しますか ×2 / 新生銀行警告 ×2 / finemax net ×2 / Internet Explorerの「スクリプトによる貼り付け処理」機能の能力を検証する ×2 / finemax.net 警告銀行 ×2 / ソフトウェアキーボード高木浩光 ×2 / ソフトウェアキーボードアクセス許可 ×2 / 東京都民銀行インターネットバンキング日立 ×2 / ソフトウェア・キーボード ×2 / キーボード ×2 / ソニー銀行ソフトウェアキーボード ×2 / 署名 -hiromitsu.jp ×2 / "finemax.net" ×2 / ソフトウェアキーボード三井住友 ×2 / 西日本シティ銀行の悪評 ×2 / bb1 finemax net ×2 / FINEMAX スクリプト ×2 / インターネットバンキング vista finemax ×2 / キーボード銀行 ×2 / 高木ソフトウェア ×2 / スルガ銀行危険 ×2 / ソフトウェアキーボードが開かない ×2 / ソニー銀行 IE9 ソフトウェアキーボードが出力されない ×2 / FINEMAX 電子証明書 ×2 / スクリプト貼り付け日立 ×2 / ソフトウェアキーボード webページ ×2 / ソフトウエアキーボード高木日立 ×2 / vista 貼り付け有効 ×2 / 銀行 ×2 / WEB ソフトウェアキーボード作り方 ×2 / 高木浩光セブンネット ×2 / 高木 Finemax ×2 / ソフトウェアキーボードが使えなくなった ×2 / ソフトウエアキーボード -hiromitsu.jp ×2 / ソフトウェアキーボード状況 ×2 / ソフトウェアキーボードセキュリティ ×2 / スルガ銀行 FINEMAX ×2 / オレオレ証明書日立 ×2 / 日立finemax ×2 / ソフトウェアキーボードクリップボードセキュリティ ×2 / ソフトウェアキーボード開かない ×2 / ソフトウェアキーボード出てこない ×2 / 高木スクリプト ×2 / ソフトウェアキーボードは安全か ×2 / 銀行キーボード高木浩光 ×2 / スクリーンキーボードはキーロガー対策 ×2 / 高木浩光右クリック ×2 / 日立オレオレ証明書 ×2 / 朝倉涼子 jpg -フィギュア ×2 / FINEMAX 右クリック禁止 ×2 / "スクリプトの貼り付け処理の許可" ×2 / 日立製作所 FINEMAX ×2 / FINEMAX 高木浩光 ×2 / ジャパンネット銀行ソフトウェアキーボード ×2 / ソフトウェアキーボード高木 ×2 / 高木浩光こんな銀行 ×2 / 新生銀行スクリプト ×2 / 北洋銀行ソフトウェアキーボード ×2 / スクリプトによる貼り付け ×2 / -hiromitsu.jp バンキング ×2 / オレオレ証明書 -hiromitsu.jp ×2 / 銀行専用キーボード ×2 / スクリプトによる貼り付けによる許可 ×2

2007年12月15日

■ 日立の銀行用ソフトウェアキーボードが利用者の危険を増大させている

■ オレオレ警告を無視せよと指示する金融機関が他にも

最近のタイトル