パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

オレオレ証明書の警告に「セキュリティ上の問題はございません」と解説する銀行が登場」記事へのコメント

  • これはもうね (スコア:2, 参考になる)

    by virtual (15806) on 2007年11月28日 17時09分 (#1256990)
    金融庁が全ての銀行に対して自ドメイン名のまともな証明書無しにSSLサイトを運用するべからずというお達しを発しないと駄目なのではないでしょうか?

    金融庁設置法(平成十年法律第百三十号)
    http://www.fsa.go.jp/common/about/settihou/01.pdf [fsa.go.jp]
    (任務)
    第三条 金融庁は、我が国の金融の機能の安定を確保し、預金者、保険契約者、有価証券の投資者その他これら に準ずる者の保護を図るとともに、金融の円滑を図ることを任務とする。

    # .bk.jpとか作ってそれの使用を強制してもいいんじゃないかな、とも思う。
    • 金融庁のお達し (スコア:3, 参考になる)

      by Anonymous Coward on 2007年11月28日 19時11分 (#1257058)
      既に金融庁からお達しが出ているようです。

      中小・地域金融機関向けの総合的な監督指針 [fsa.go.jp]

      Ⅱ-3-5 インターネットバンキング
      (2) セキュリティの確保

      情報セキュリティに関する検討会の検討内容等を踏まえ、体制の構築時及び利用時の各段階におけるリスクを把握した上で、自らの顧客や業務の特性に応じた対策を講じているか。また、個別の対策を場当たり的に講じるのではなく、セキュリティ全体の向上を目指すとともに、リスクの存在を十分に認識・評価した上で対策の要否・種類を決定しているか。

      インターネットバンキングに係る情報セキュリティ全般に関するプログラムを作成し、必要に応じて見直す体制を整えているか。特に、本人認証については、個々の認証方式の各種犯罪手口に対する強度を検証した上で、取引のリスクに見合った適切な認証方式を選択しているか。

      ホームページのリンクに関し、利用者が取引相手を誤認するような構成になっていないか。また、フィッシング詐欺対策については、利用者がアクセスしているサイトが真正なサイトであることの証明を確認できるような措置を講じる等、業務に応じた適切な不正防止策を講じているか。

      (注) 情報の収集に当たっては、金融関係団体や金融情報システムセンターの調査等のほか、情報セキュリティに関する検討会や金融機関防犯連絡協議会における検討結果、金融庁・警察当局から提供された犯罪手口に係る情報などを活用することが考えられる。

      親コメント
      • by virtual (15806) on 2007年11月28日 19時36分 (#1257070)
        >既に金融庁からお達しが出ているようです。

        おーっ!素晴らしい。
        これが出ていてセキュリティの確保が実現されていない銀行があるということは金融庁の監督不行き届きということですね。つーか、10月に出たところなんですね。これから監督するということなのかな。
        親コメント
      • by Anonymous Coward
        総務省とか見てると、ふつーのオレオレ証明書に切替えれば OK ってことになりそうですが……
        • by Anonymous Coward on 2007年12月01日 18時53分 (#1258563)
          総務省CAは、ちゃんと WebTrust for CA の監査を通って、Windows のルート証明書セットに入れてもらうことに成功していますよ?2006年夏の話です。銀行もそれをやるの?お金の無駄だよ。
          親コメント
    • by Anonymous Coward on 2007年11月28日 23時16分 (#1257160)
      ># .bk.jpとか作ってそれの使用を強制してもいいんじゃないかな、とも思う。

      逆に危険だと思いますよ。

      .bk.jp とか .bank だから銀行だ、と思って安心して利用してしまう。

      しかし、セキュリティーホールを突いて偽装したサイトだったり、あるいは根本的にDNSを偽装したりして .bank ドメインなのにフィッシングサイト、という状態は作れてしまうわけです。

      その結果、真正な銀行サイトだと先入観で思いこみ、証明書の確認などせず疑いもせず、フィッシングに引っかかる恐れが高まります。

      必ず証明書確認するという文化があれば、適してる考え方だと思うんですけどね…。
      わかりやすいフールプルーフがあると人は怠けるんですよ。
      親コメント
    • by Anonymous Coward
      F-secureの偉い人がどうせなら.bankつくれってどっかで言ってた。

未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー

処理中...