パスワードを忘れた? アカウント作成
12311 story

三井住友銀行が顧客あてのメールに電子署名を添付 37

ストーリー by next
フィッシング防止への一歩 部門より

tectaro曰く、"asahi.comの記事によると、三井住友銀行が5月22日より顧客宛の電子メール全てに電子署名をつけるとのこと。 (三井住友銀行のプレスリリース

同行は引き落としの事前通知や現金自動出入機(ATM)での入出金完了のお知らせなど、月平均で300万通のメールを顧客に送っている。5月22日からはそのすべてに、民間認証機関が発行する電子署名をセットで送る。
三井住友銀行のサイト内でも電子署名についてのお知らせを行っている。 タレコミ子としては、あまり理解していない人のために、もう少し「セキュリティ警告が出たメールは信用しないこと」というのを目立つようにした方がいいと思うのだが、諸兄はいかが思われますか? また、これから銀行などのメールについては電子署名が必須になっていくのだろうか?
"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • またSMBCか! (スコア:5, 興味深い)

    by kei100 (5854) on 2006年04月16日 22時20分 (#922618) ホームページ
    やさしいセキュリティ講座 [srad.jp]と言い、ワンタイムパスワード [srad.jp]といい、銀行系のなかで最もITアレゲ層の心を掴むようなサービスが多い気がします。
    まぁ、実際調べて完璧な裏づけが取れてるわけじゃないんですが、そういうイメージを感じるなぁ
    # ちなみに現状UFJ使ってます。

    これも生き残り戦略なのかな・・・
    --
    誰も信じちゃいけない、裏切られるから。
    私を信じないで、貴方を裏切ってしまうから。
    • by Anonymous Coward on 2006年04月17日 0時37分 (#922695)
      先日、所謂Web通帳というのを作ってみました。運用はカードのみ、紙の通帳はなく、代わりにATM手数料無料という代物で、窓口のオバサンに「セキュリティ面が不安なのですが?」と質問したところ(私は情報セキュリティ系の人)、納得のいく回答を頂戴することが出来ました(コレは主観なので判断は個人で行ってくださいね)。セキュリティ面で、社内的な教育、啓蒙が行き届いた、国内有数の企業だと思います。
      # VISA の情報漏洩はやや残念な事件でしたが、SMBC の問題ではないですしね
      親コメント
    • # 同じくUFJ...今は三菱東京UFJ銀行(MUFG)ですが...

      嬉しいんですが、Wanderlust on Meadow with GnuPGなので、よければOpenPGP形式でも署名していただけると嬉しいです。

      # 署名済み公開鍵は支店で直に渡してもらえるとか。
      難しいかなぁ。
      --
      M-FalconSky (暑いか寒い)
      親コメント
      • by Anonymous Coward
        > # 署名済み公開鍵は支店で直に渡してもらえるとか。

        この話聞いて、最初に思ったのは公開鍵の配布をどうするのか、でした。
        現状ではある程度のスキルがないとできないですよね。
        まあ、SMBCですから、わかりやすい解説ページを用意してくれる可能性はあるのですが。
        • Re:またSMBCか! (スコア:2, 参考になる)

          by Anonymous Coward on 2006年04月17日 10時55分 (#922826)
          > まあ、SMBCですから、わかりやすい解説ページを用意してくれる可能性はあるのですが。

          SMBCの場合に限って言えば、S/MIMEなのでWebのSSLと同じく、公開鍵の証明はVerisignなどのCAが行ってくれます。
          メールにはメール自体の署名とともに、CAによって署名された公開鍵が添付されているので、公開鍵の入手経路を心配する必要がありません(ということになっています)。

          このストーリー [srad.jp]同様、銀行に良く似た名前のフィッシングサイトが、正式な証明書をとる可能性はあいかわらず否定できませんが。
          親コメント
  • 電子署名は必須 (スコア:5, 参考になる)

    by Technical Type (3408) on 2006年04月17日 2時56分 (#922734)
    > これから銀行などのメールについては電子署名が必須になっていくのだろうか?

    というか、電子署名無しに正当なメールか、フィッシング詐欺の偽メールかを識別する方法なんて無いでしょう? 今までどこの銀行もやっていなかったのがどうかしてるんじゃないかって気がします。消費者金融の武富士にすら遅れを取る事、約一年半ですね。

    電子署名の無いメールなんて、国会で騒動になった「送金を指示した」と称するガセネタメールと信憑性はの点では全く同じという事ぐらい、いい加減理解して欲しいですね、他の銀行の偉い人たちも。
    • Re:電子署名は必須 (スコア:5, おもしろおかしい)

      by kicchy (4711) on 2006年04月17日 4時26分 (#922743)
      >電子署名の無いメールなんて、国会で騒動になった「送金を指示した」と称するガセネタメールと信憑性の点では
      >全く同じという事ぐらい、いい加減理解して欲しいですね、他の銀行の偉い人たちも。

      それで、今度からは電子署名も印刷したメールで
      国会論争に・・・・・・・

      # 当然署名部分は黒塗りです
      親コメント
    • Re:電子署名は必須 (スコア:4, すばらしい洞察)

      by SteppingWind (2654) on 2006年04月17日 11時12分 (#922837)

      まあ逆に言えば, あのガセネタメールがあったからこそ, 今のタイミングで電子署名付きメールにする意義が有るってことじゃないでしょうか.

      多くの人, 特にビジネスマンにとっては「電子署名? 何それ?」な方が多いでしょうし, そんな時にガセネタメールと本物メールの区別がつくってこととその有用性を説明するには絶好の話題としてセールストークに使えますから.

      親コメント
    • by Anonymous Coward on 2006年04月17日 9時37分 (#922783)
      >電子署名無しに正当なメールか、フィッシング詐欺の偽メールかを識別する方法なんて無いでしょう?

      すごく簡単ですけど。

      あなたの個人情報を要求したり、リンクを押させようとするメールはフィッシング、
      そうでないものは非フィッシング(というかどっちでもいい)。
      親コメント
  • by Anonymous Coward on 2006年04月16日 22時20分 (#922619)
    サーバー証明書やActive Xの証明書がおかしくても「はい」を押してくださいと書いてあれば押しちゃうようでは、いつまでたってもダメでしょう。

    電子署名は古くからあるのに「取得や運用が面倒くさい」と放置プレーされていて、DomainKeysやSender IDが出てからそろそろ運用開始という時点で再度浮上するあたりがなんかグダグダ………

    #昔取得したS/MIME署名の秘密鍵をどこにおいたか忘れた人
  • 自分も個人用で電子署名を使ってメールを送信しているのですが、
    ある日同じ建物内にいる知り合いにメールを送り、
    メールの中身の説明をしに知り合いの部屋に行ったところ、
    電子署名のところで警告が出てました。
    以前にテストとして自分自身にメールを送ったときは特におかしい点が見当たらなかったのですが、
    その知り合いの環境では警告が出ていました。

    調べてみるとメールに改竄のあとが見られるとのことでしたが、
    メールの内容を見るからにはウイルススキャナーのチェック完了の記述以外で送信内容との違いは見つかりませんでした。
    相手がどのソフトを使用していたかまでは覚えていませんがウイルススキャナーによっては、
    こういった現象が発生するようです。
    --
    天琉陳(Teruching)
  • とりあえず、メールアドレスが正統なものかどうかだけで、名前とかはわからなくていいので、個人でも電子署名してほしいです。
    それだけでも偽アドレスなspamの大半と区別できますから。

    http://www.trustlogo.co.jp/
    https://www.justmyshop.com/camp/verisign/
    などで取得できます。
    --
    okome
  • by Anonymous Coward on 2006年04月17日 9時44分 (#922790)
    当然対応できないよね。
    あちらのほうがメールアドレス騙っているのが多いと思うのだけど、
    いまだと無理か。携帯電話側の対応が必要だろうし。
    送付したメールからサイトへ誘導してとかあるのかとか、
    でも一歩間違うとフィッシングサイトだよなと妄想したりとか。
    悩みまくり。

    あとはキャリアからどのくらい協力を得られるのか、とかか。
    しかしながら、キャリアは金融系との融合で各メガバンクへの
    グループ化されつつあるとしたら難しいのかなあ。
  • by Anonymous Coward on 2006年04月16日 22時15分 (#922613)
    でも、無いよりはマシかな…
    フィッシング詐欺の手口も巧妙になってるわけだし。
  • by Anonymous Coward on 2006年04月16日 22時24分 (#922620)
    8割以上のユーザがPC初心者
    そんな小細工をしても分かるわけもなく…
    • Re:無駄 (スコア:5, すばらしい洞察)

      by Anonymous Coward on 2006年04月16日 23時39分 (#922672)
      これから学んでいくんですよ。(SMBCユーザが。)
      それが一番の意義。
      親コメント
    • Re:無駄 (スコア:4, すばらしい洞察)

      by Anonymous Coward on 2006年04月16日 23時13分 (#922664)
      残り2割に対して有効なら、無駄というほどでもないだろう。
      親コメント
      • by Anonymous Coward
        残り2割は、それが何か解ったうえで一々利用しないとかいうパターン。
        乱立してる、例のファイル公開アプリ検出ツールが良い例、
        技術的知識は無い、初心者までが「怖いー」って言って使うことで、
        潜在的に危険な層の意識が無自覚に底上げされるわけ。
        (cookieをスパイウェア扱いするような極端なツールもあるが)

        無知識の8割に届かなくていいや、知識のある2割が使うからと言ってしまうのは、
        それが本当に役に立つ人、多くの人に届くことを放棄しちゃう事に他ならず。
        当該銀行がそのような事を言ったソースはないが、そのようなつもりなら無駄だと敢えて言いたい。

        無駄って言うか、勿体無い、かな。
        • by Anonymous Coward
          いわゆるWinny検出ツールが巷に出回って、マスコミで怖いよーと報道されて、
          脅威を広く知られると言う底上げはされた、ただ、これも必要な半面で、
          ちょっと書いたように極端な方法、実効性のない方法、あるいは逆効果な方法、
          が誤って流布する可能性がある。

          特に、今回の場合には三井住友「だけ」が、やったところで「信頼の置ける金融機関」
          というのは多くの人にとっては三井住友だけじゃないので、本当にそうか?とかすら思いかねない。
          ウイルスの例でいうと、実効性の無い方法や逆効果な方法を「セキュア対策」と
          謳って品揃えを充実させたほうが堅牢な印象を与えかねないし、
          生半可
    • by sarinaga (8464) on 2006年04月17日 0時10分 (#922686)
      分からない人が損をするだけ。分かる人にとっては有意義なのでは?
      親コメント
      • by Anonymous Coward
        理屈ではわからない人でも、無自覚にそれを使う事でわかる人と
        ある程度同じ得をする方法が、元々わかる素養がある人にわかる方法よりも、
        オンラインショップとかネットバンクとか前者でも
        当たり前のように行える現状を踏まえると有意義って事でしょ。
        それが可能かどうか、理想論に過ぎないかは別として。
      • by Anonymous Coward
        > 分からない人が損をするだけ。

        分からない人が損をして、分かる人が得するような措置ですと
        賛否両論あってしかるべきだと思います。

        # 分からないといっても顧客として問題ないわけですから。

        しかし、今回の電子署名の件は、分からない人は通常のままで
        分かる人だけメリットが出るわけですから、一切問題ないですね。
    • by Anonymous Coward
      まぁ安心感と信用で商売されてるわけですから
      効果はともかく、こういう対策をされる銀行さんも
      ありましたね。
      穴のある乱数表とか、手の静脈使ったりとか
      未対応では磁気ストライプを使うICカードとか

      でも、行員に暗証番号を簡単に教えちゃう人も
      いるんですよね。結局ソーシャルエンジニアリングで
      破られちゃう。

      電子署名の普及にはいいでしょうけど、真正性を
      証明するには、たとえばURI入りのメールで
      該当するURIをSSLで踏んで同一の文書が表示されたら
      信じるって、もうちょっとわかりやすく実効的な
      方法があったんじゃないかと。

      とはいえ、SMBCは今一番がんばっているので、
      応援してますよ本当に。

      #客に突っ込まれたときにSMBCの例を出せるし
      • Re:無駄 (スコア:3, すばらしい洞察)

        by Technical Type (3408) on 2006年04月17日 3時39分 (#922741)
        > 真正性を証明するには、たとえばURI入りのメールで該当する
        > URIをSSLで踏んで同一の文書が表示されたら信じるって、

        ラブレターを教室の掲示板に張り出すってのは、小学生でも「ラブレターを出したことをこんな風にしてバラさなくても・・・」と悪い評判になりそうな仕打ちですな。 (笑)

        それから、URI を誤魔化すフィッシング詐欺のメールが圧倒的という現状では、そのアイディアは完全にダメですね。

        親コメント
typodupeerror

私は悩みをリストアップし始めたが、そのあまりの長さにいやけがさし、何も考えないことにした。-- Robert C. Pike

読み込み中...