三井住友銀行が顧客あてのメールに電子署名を添付 37
ストーリー by next
フィッシング防止への一歩 部門より
フィッシング防止への一歩 部門より
tectaro曰く、"asahi.comの記事によると、三井住友銀行が5月22日より顧客宛の電子メール全てに電子署名をつけるとのこと。 (三井住友銀行のプレスリリース)
同行は引き落としの事前通知や現金自動出入機(ATM)での入出金完了のお知らせなど、月平均で300万通のメールを顧客に送っている。5月22日からはそのすべてに、民間認証機関が発行する電子署名をセットで送る。三井住友銀行のサイト内でも電子署名についてのお知らせを行っている。 タレコミ子としては、あまり理解していない人のために、もう少し「セキュリティ警告が出たメールは信用しないこと」というのを目立つようにした方がいいと思うのだが、諸兄はいかが思われますか? また、これから銀行などのメールについては電子署名が必須になっていくのだろうか?
"
またSMBCか! (スコア:5, 興味深い)
まぁ、実際調べて完璧な裏づけが取れてるわけじゃないんですが、そういうイメージを感じるなぁ
# ちなみに現状UFJ使ってます。
これも生き残り戦略なのかな・・・
洒落で口座作ってみました (スコア:5, 興味深い)
# VISA の情報漏洩はやや残念な事件でしたが、SMBC の問題ではないですしね
Re:またSMBCか! (スコア:2, すばらしい洞察)
嬉しいんですが、Wanderlust on Meadow with GnuPGなので、よければOpenPGP形式でも署名していただけると嬉しいです。
# 署名済み公開鍵は支店で直に渡してもらえるとか。
難しいかなぁ。
M-FalconSky (暑いか寒い)
Re:またSMBCか! (スコア:0)
この話聞いて、最初に思ったのは公開鍵の配布をどうするのか、でした。
現状ではある程度のスキルがないとできないですよね。
まあ、SMBCですから、わかりやすい解説ページを用意してくれる可能性はあるのですが。
Re:またSMBCか! (スコア:2, 参考になる)
SMBCの場合に限って言えば、S/MIMEなのでWebのSSLと同じく、公開鍵の証明はVerisignなどのCAが行ってくれます。
メールにはメール自体の署名とともに、CAによって署名された公開鍵が添付されているので、公開鍵の入手経路を心配する必要がありません(ということになっています)。
このストーリー [srad.jp]同様、銀行に良く似た名前のフィッシングサイトが、正式な証明書をとる可能性はあいかわらず否定できませんが。
電子署名は必須 (スコア:5, 参考になる)
というか、電子署名無しに正当なメールか、フィッシング詐欺の偽メールかを識別する方法なんて無いでしょう? 今までどこの銀行もやっていなかったのがどうかしてるんじゃないかって気がします。消費者金融の武富士にすら遅れを取る事、約一年半ですね。
- 当社のメールの電子証明書について [takefuji.co.jp]
- 武富士、フィッシング詐欺対策としてベリサインのPKIソリューションを採用 [verisign.co.jp]
- フィッシング詐欺対策として企業が負うべき責任 [atmarkit.co.jp]
- 事例●武富士がフィッシング対策を導入 [nikkeibp.co.jp]
電子署名の無いメールなんて、国会で騒動になった「送金を指示した」と称するガセネタメールと信憑性はの点では全く同じという事ぐらい、いい加減理解して欲しいですね、他の銀行の偉い人たちも。Re:電子署名は必須 (スコア:5, おもしろおかしい)
>全く同じという事ぐらい、いい加減理解して欲しいですね、他の銀行の偉い人たちも。
それで、今度からは電子署名も印刷したメールで
国会論争に・・・・・・・
# 当然署名部分は黒塗りです
Re:電子署名は必須 (スコア:4, すばらしい洞察)
まあ逆に言えば, あのガセネタメールがあったからこそ, 今のタイミングで電子署名付きメールにする意義が有るってことじゃないでしょうか.
多くの人, 特にビジネスマンにとっては「電子署名? 何それ?」な方が多いでしょうし, そんな時にガセネタメールと本物メールの区別がつくってこととその有用性を説明するには絶好の話題としてセールストークに使えますから.
Re:電子署名は必須 (スコア:0)
Re:電子署名は必須 (スコア:1, 興味深い)
すごく簡単ですけど。
あなたの個人情報を要求したり、リンクを押させようとするメールはフィッシング、
そうでないものは非フィッシング(というかどっちでもいい)。
一般人が電子署名を理解できるかどうか… (スコア:3, 興味深い)
電子署名は古くからあるのに「取得や運用が面倒くさい」と放置プレーされていて、DomainKeysやSender IDが出てからそろそろ運用開始という時点で再度浮上するあたりがなんかグダグダ………
#昔取得したS/MIME署名の秘密鍵をどこにおいたか忘れた人
Re:一般人が電子署名を理解できるかどうか… (スコア:3, すばらしい洞察)
その実例が増えることは歓迎しても良いんじゃないかな。
国内大手銀行がこぞって採用するくらいでなきゃ実例としてもまだまだ不足だろうけど。
Re:一般人が電子署名を理解できるかどうか… (スコア:3, 興味深い)
http://www.atmarkit.co.jp/fsecurity/special/04smime/smime01.html [atmarkit.co.jp]
(この記事の日付が、ようやく時代が追いついてきたことを物語ってますね‥ ;-)
電子署名が正当なものでない場合メールアプリケーションがどう振舞うべきか、については議論の余地がありますね。
Re:一般人が電子署名を理解できるかどうか… (スコア:2, 参考になる)
ちなみにOutlook Expressの場合 [takagi-hiromitsu.jp]。
Re:一般人が電子署名を理解できるかどうか… (スコア:1)
そういう「黒と赤で危険そうに感じる」メッセージがでるので、(安全のために)S/MIMEで署名したメールにたいして「お前の環境、ウイルスに感染してない?」という、もの凄い返信をもらったことが在ります。
安全のためのものが「ウイルス」とまちがわれるので、それからはS/MIMEつかうのやめました。少し前まではPGPでしたけど、PGPも面倒なのでやめちゃってます。
もうちょっと解りやすいメッセージにしてほしい。
同様のクレームが殺到しないと良いのですが。
Re:一般人が電子署名を理解できるかどうか… (スコア:0)
危険そうに見えなかったら一般人に理解できるかどうかがますます怪しくなると思います。
というか、
> 「お前の環境、ウイルスに感染してない?」という、もの凄い返信をもらったことが在ります。
このメッセージが相手側で出ているということはあなたが正しく署名できていないことを意味するわけですが。
なぜか自分は絶対に感染していないと過剰な自信をお持ちのようですが、本当にウィルスがメールを改竄している可能性すらあります。
> それからはS/MIMEつかうのやめました。
まあなんでもかんでもMicrosoftに責任を押し付けてまともに運用すらできないなら付けないほうがマシですね。
Re:一般人が電子署名を理解できるかどうか… (スコア:0)
# 「添付ファイルが暗号化されたZIP形式のためウイルスチェックができませんでした」
# というメッセージが冒頭に(UTF-8で)書き込まれたメールをときどき見かけるのでAC。
Re:一般人が電子署名を理解できるかどうか… (スコア:3, おもしろおかしい)
だいじょぶ、たぶんもう期限切れてます。
名物に旨いものなし!
拡張子が「p7s」のファイルが添付されています。 (スコア:3, 興味深い)
Re:拡張子が「p7s」のファイルが添付されています。 (スコア:2, 興味深い)
(秀丸メールはもろ見えてましたが)
無料の証明書取得してMacOSX標準のMailで使ってますが、署名されてますってマークが出るだけです。
Re:拡張子が「p7s」のファイルが添付されています。 (スコア:1)
おかげで添付ファイルの有無でソートが使えないので困りもの。
Re:拡張子が「p7s」のファイルが添付されています。 (スコア:1, すばらしい洞察)
逆に、そういう感度のいいユーザが多くなったほうが、セキュリティに
関する投資効果がでてくるでしょうね。
電子署名とウイルススキャナー (スコア:3, 参考になる)
ある日同じ建物内にいる知り合いにメールを送り、
メールの中身の説明をしに知り合いの部屋に行ったところ、
電子署名のところで警告が出てました。
以前にテストとして自分自身にメールを送ったときは特におかしい点が見当たらなかったのですが、
その知り合いの環境では警告が出ていました。
調べてみるとメールに改竄のあとが見られるとのことでしたが、
メールの内容を見るからにはウイルススキャナーのチェック完了の記述以外で送信内容との違いは見つかりませんでした。
相手がどのソフトを使用していたかまでは覚えていませんがウイルススキャナーによっては、
こういった現象が発生するようです。
天琉陳(Teruching)
Re:電子署名とウイルススキャナー (スコア:0)
どう考えてもそのウイルススキャナーがメールを「改竄」したからでしょ。
個人も電子署名すれば? (スコア:2, 参考になる)
それだけでも偽アドレスなspamの大半と区別できますから。
http://www.trustlogo.co.jp/
https://www.justmyshop.com/camp/verisign/
などで取得できます。
okome
携帯電話のメールについて (スコア:1, 興味深い)
あちらのほうがメールアドレス騙っているのが多いと思うのだけど、
いまだと無理か。携帯電話側の対応が必要だろうし。
送付したメールからサイトへ誘導してとかあるのかとか、
でも一歩間違うとフィッシングサイトだよなと妄想したりとか。
悩みまくり。
あとはキャリアからどのくらい協力を得られるのか、とかか。
しかしながら、キャリアは金融系との融合で各メガバンクへの
グループ化されつつあるとしたら難しいのかなあ。
必須とは思わない (スコア:0)
フィッシング詐欺の手口も巧妙になってるわけだし。
無駄 (スコア:0)
そんな小細工をしても分かるわけもなく…
Re:無駄 (スコア:5, すばらしい洞察)
それが一番の意義。
Re:無駄 (スコア:4, すばらしい洞察)
Re:無駄 (スコア:0)
乱立してる、例のファイル公開アプリ検出ツールが良い例、
技術的知識は無い、初心者までが「怖いー」って言って使うことで、
潜在的に危険な層の意識が無自覚に底上げされるわけ。
(cookieをスパイウェア扱いするような極端なツールもあるが)
無知識の8割に届かなくていいや、知識のある2割が使うからと言ってしまうのは、
それが本当に役に立つ人、多くの人に届くことを放棄しちゃう事に他ならず。
当該銀行がそのような事を言ったソースはないが、そのようなつもりなら無駄だと敢えて言いたい。
無駄って言うか、勿体無い、かな。
Re:自己レス (スコア:0)
脅威を広く知られると言う底上げはされた、ただ、これも必要な半面で、
ちょっと書いたように極端な方法、実効性のない方法、あるいは逆効果な方法、
が誤って流布する可能性がある。
特に、今回の場合には三井住友「だけ」が、やったところで「信頼の置ける金融機関」
というのは多くの人にとっては三井住友だけじゃないので、本当にそうか?とかすら思いかねない。
ウイルスの例でいうと、実効性の無い方法や逆効果な方法を「セキュア対策」と
謳って品揃えを充実させたほうが堅牢な印象を与えかねないし、
生半可
Re:無駄 (スコア:1)
Re:無駄 (スコア:0)
ある程度同じ得をする方法が、元々わかる素養がある人にわかる方法よりも、
オンラインショップとかネットバンクとか前者でも
当たり前のように行える現状を踏まえると有意義って事でしょ。
それが可能かどうか、理想論に過ぎないかは別として。
Re:無駄 (スコア:0)
分からない人が損をして、分かる人が得するような措置ですと
賛否両論あってしかるべきだと思います。
# 分からないといっても顧客として問題ないわけですから。
しかし、今回の電子署名の件は、分からない人は通常のままで
分かる人だけメリットが出るわけですから、一切問題ないですね。
Re:無駄 (スコア:0)
効果はともかく、こういう対策をされる銀行さんも
ありましたね。
穴のある乱数表とか、手の静脈使ったりとか
未対応では磁気ストライプを使うICカードとか
でも、行員に暗証番号を簡単に教えちゃう人も
いるんですよね。結局ソーシャルエンジニアリングで
破られちゃう。
電子署名の普及にはいいでしょうけど、真正性を
証明するには、たとえばURI入りのメールで
該当するURIをSSLで踏んで同一の文書が表示されたら
信じるって、もうちょっとわかりやすく実効的な
方法があったんじゃないかと。
とはいえ、SMBCは今一番がんばっているので、
応援してますよ本当に。
#客に突っ込まれたときにSMBCの例を出せるし
Re:無駄 (スコア:3, すばらしい洞察)
> URIをSSLで踏んで同一の文書が表示されたら信じるって、
ラブレターを教室の掲示板に張り出すってのは、小学生でも「ラブレターを出したことをこんな風にしてバラさなくても・・・」と悪い評判になりそうな仕打ちですな。 (笑)
それから、URI を誤魔化すフィッシング詐欺のメールが圧倒的という現状では、そのアイディアは完全にダメですね。