パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

オレオレ証明書の警告に「セキュリティ上の問題はございません」と解説する銀行が登場」記事へのコメント

  • by Anonymous Coward
    通信路が暗号化されている、くらいの認識しかないってことだね。
    発行元が証明されているとか、中身が改竄されてないことを証明するってところは
    あまり知られてないということ。

    あまり知られてない理由に「重要なファクタについての啓蒙をしてこなかった」というのはあるけどね。
    それをできるのは知ってる我々の役目でもあるということも肝に銘じておかねば。
    • いやあ、利用者はもちろん銀行の中の人も普通は理解して無いんじゃないかなぁ。
      こういうのって、サイト(というかその裏のシステム)を構築したベンダーが
      助言するべきじゃないかと思う。

      その助言が「いや、問題ないっスよ。気にすんなって書いて良いっス」だったら
      目も当てられないけど・・・。
      --

      --- (´-`)。oO(平和な日常は私を鈍くする) ---
      • サイト(というかその裏のシステム)を構築したベンダーも理解してないんじゃ・・・なわけないない
        • by Anonymous Coward on 2007年11月28日 12時56分 (#1256776)
          理解していながら危険なサイトを構築し
          危険な操作を案内しているとしたら、
          無知よりなお救われない気がしますが。
          親コメント
          • 「武蔵野銀行、インターネットバンキング環境にフィッシング対策ソリューションを導入」 [atmarkit.co.jp]
            っていう記事を見つけたんだけど、記事によると、武蔵野銀行の顧客が自分のPCにPhishWallなる
            ソフトを入れるとブラウザのツールバーに緑色の信号が表示され一目で安全であることが証明されるそうな。

            武蔵野銀行は自分ところがフィッシング対策をきちんとやってると勘違いしてるんだろうなあ。
            なんか悪いベンダーとつきあってるんだと思う。
            親コメント
            • 自己レスですが、
              高木氏は、PhishWallなどのフィッシング対策ソフトの問題点も指摘 [takagi-hiromitsu.jp]されてます。
              要約すると、
              ・金融庁の監督指針に、「フィッシング詐欺対策については、利用者がアクセスしているサイトが真正なサイトであることの証明を確認できるような措置を講じる」ことが示された。これを受けて多くの金融機関がフィッシング対策システムを導入した。

              ・適切なSSL証明書を導入するよりはるかに高額なフィッシング対策システムを導入した地方銀行のほとんどが、適切な証明書を使わずに(オレオレ証明書に日立やNTTのを使ってる所が多いようです。)対策システムを入れたことで満足してしまっいてる。

              ・フィッシング対策ソフトを入れてネットバンクを利用した場合、顧客のブラウザには緑シグナルが点灯して取引の安全性が証明されるはずであるが、いくつかの金融機関では緑シグナルが点灯しない。にもかかわらずそのままの運用が続けられていて、誰も気にしていない。
              というものです。

              金融庁が、これこれのベンダーのシステムを使ってさえいれば監査が通るよ、という見解を出していて、ほとんどの金融機関はフィッシング対策のことをまじめに考えずに監査のことだけ考えてるんだろうなあ。
              親コメント
          • by Anonymous Coward on 2007年11月28日 18時25分 (#1257037)
            理解していながらやっている悪人は、圧力があればすぐにでも正しい道に戻れるので
            自分では善いことをしているつもりの無知の方がずっと救われない、
            と親鸞上人はおっしゃいました。
            親コメント

アレゲはアレゲを呼ぶ -- ある傍観者

処理中...