パスワードを忘れた? アカウント作成
16737 story

オレオレ証明書の警告に「セキュリティ上の問題はございません」と解説する銀行が登場 306

ストーリー by nabeshin
サイトも話題も釣ってください 部門より

Anonymous Coward曰く、

フィッシング詐欺が騒がれるようになって久しいですが、11/17の高木浩光@自宅の日記によると、2つの実在する日本の地方銀行が、「アクセス時に表示される警告メッセージについて」という解説を出しているそうです(武蔵野銀行のもの北越銀行のもの)。解説の内容は、

本サイトにアクセスする際、ブラウザの仕様により次の警告メッセージが表示されますが、セキュリティ上の問題はございませんので、安心して・・・をご利用ください。
というものですが、その警告メッセージというのは、IE7なら「詐欺や・・・情報を盗み取る意図が示唆されている場合があります」というもの。それに対して銀行が次のように解説するという、なんだか凄まじいことになっています。
以下の画面(ページ)が表示されましたら、「このサイトの閲覧を続行する(推奨されません)」を選択(クリック)してください。
IE7.0で本サイトにアクセスされますと、アドレスバーの背景色が赤くなり、「認証エラー」と表示されますが、これは、SSLサーバ証明書をサイトURLベースドメイン(https://www.cns-jp.com/)で取得しているためです。サイト自体はSSL128bitによる暗号化通信を行っておりますので、セキュリティ上の問題はございません。
スラッシュドットでも一昨年に、NTT西日本、問い合わせサイトのSSLが「オレオレ証明書」 と、無料Phishing対策ソフトが登場、しかし問い合せ画面は「オレオレ証明書」というストーリーがありましたが、まさか銀行がこんなことをするようになるとは・・・世も末です。高木さんは2つの銀行に電話したそうで、「とりあえずまずこの誤った説明文を即刻削除するべき」と伝えたそうですが、今も両方とも消えていないようです。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2007年11月28日 13時19分 (#1256793)
    高木センセの当該ページ [takagi-hiromitsu.jp]を見てみましたけど、関大とか山形大のように対策がとられたサイトとや、当該ページがなくなっているサイトまで、あの書き方で晒しつづけるのはどうかと思います。あの書き方だと、問題が今も発生し続けている印象を与えかねません。大学の顧客となりうる高校生に、虚偽の情報を元に避けるよう呼びかけており、風説の流布等で大学側から損害賠償請求されてもおかしくないのではないでしょうか。
    • by Anonymous Coward on 2007年11月28日 14時08分 (#1256856)
      > 高木センセの当該ページを見てみましたけど、

      23日の「追記」分まで読まれました?

      > あの書き方だと、問題が今も発生し続けている印象を与えかねません。

      読んだ上で、今現在どの様な問題があるのか、あるいは、無いのか、
      誤った印象を持つとしたら、それは読者の誤読であり、
      読者以外の責任では無いと思います。

      私は、一度誤った説明をした以上は、(社会的な責任として、)
      説明を「無かったこと」にするのではなく、明確に訂正するべきだと思います。

      > 大学側から損害賠償請求されてもおかしくないのではないでしょうか。

      まだ「事実関係の見解の相違」と言う段階にも至っていないので、おかしいです。

      仮に今後その様な請求が行われるとしても、
      言い掛かり訴訟は珍しいものでもなく、身構えても仕方ありません。
      また、現時点でその様な言い掛かりに及んでいないのに失礼な話ではないでしょうか。
      親コメント
    • by Anonymous Coward on 2007年11月28日 14時08分 (#1256855)
      >関大とか山形大のように対策がとられたサイトとや、当該ページがなくなっているサイト

      対策はとられていないようですが?

      この問題の場合「対策」というのは、過去の告知で「問題ありません」としていた説明は間違いだったと訂正して、正しいことを学生に教えて初めて解決ですからねえ。なにしろ、嘘を教えていたわけだから。無かったことしても解決しないわけで。

      どの大学もまだそれをやっていませんね。まあ永遠にやらないだろうと思いますけど。
      親コメント
    • 書かれた時点では内容が正しかったわけですから、それを状況が変わった後の時点で古い書物に対して内容の齟齬を語るのはどうかと思う。
      親コメント
  • これはもうね (スコア:2, 参考になる)

    by virtual (15806) on 2007年11月28日 17時09分 (#1256990)
    金融庁が全ての銀行に対して自ドメイン名のまともな証明書無しにSSLサイトを運用するべからずというお達しを発しないと駄目なのではないでしょうか?

    金融庁設置法(平成十年法律第百三十号)
    http://www.fsa.go.jp/common/about/settihou/01.pdf [fsa.go.jp]
    (任務)
    第三条 金融庁は、我が国の金融の機能の安定を確保し、預金者、保険契約者、有価証券の投資者その他これら に準ずる者の保護を図るとともに、金融の円滑を図ることを任務とする。

    # .bk.jpとか作ってそれの使用を強制してもいいんじゃないかな、とも思う。
    • 金融庁のお達し (スコア:3, 参考になる)

      by Anonymous Coward on 2007年11月28日 19時11分 (#1257058)
      既に金融庁からお達しが出ているようです。

      中小・地域金融機関向けの総合的な監督指針 [fsa.go.jp]

      Ⅱ-3-5 インターネットバンキング
      (2) セキュリティの確保

      情報セキュリティに関する検討会の検討内容等を踏まえ、体制の構築時及び利用時の各段階におけるリスクを把握した上で、自らの顧客や業務の特性に応じた対策を講じているか。また、個別の対策を場当たり的に講じるのではなく、セキュリティ全体の向上を目指すとともに、リスクの存在を十分に認識・評価した上で対策の要否・種類を決定しているか。

      インターネットバンキングに係る情報セキュリティ全般に関するプログラムを作成し、必要に応じて見直す体制を整えているか。特に、本人認証については、個々の認証方式の各種犯罪手口に対する強度を検証した上で、取引のリスクに見合った適切な認証方式を選択しているか。

      ホームページのリンクに関し、利用者が取引相手を誤認するような構成になっていないか。また、フィッシング詐欺対策については、利用者がアクセスしているサイトが真正なサイトであることの証明を確認できるような措置を講じる等、業務に応じた適切な不正防止策を講じているか。

      (注) 情報の収集に当たっては、金融関係団体や金融情報システムセンターの調査等のほか、情報セキュリティに関する検討会や金融機関防犯連絡協議会における検討結果、金融庁・警察当局から提供された犯罪手口に係る情報などを活用することが考えられる。

      親コメント
  • by Anonymous Coward on 2007年11月28日 12時05分 (#1256736)
    通信路が暗号化されている、くらいの認識しかないってことだね。
    発行元が証明されているとか、中身が改竄されてないことを証明するってところは
    あまり知られてないということ。

    あまり知られてない理由に「重要なファクタについての啓蒙をしてこなかった」というのはあるけどね。
    それをできるのは知ってる我々の役目でもあるということも肝に銘じておかねば。
    • by onoyan (135) on 2007年11月28日 12時21分 (#1256747) ホームページ 日記
      いやあ、利用者はもちろん銀行の中の人も普通は理解して無いんじゃないかなぁ。
      こういうのって、サイト(というかその裏のシステム)を構築したベンダーが
      助言するべきじゃないかと思う。

      その助言が「いや、問題ないっスよ。気にすんなって書いて良いっス」だったら
      目も当てられないけど・・・。
      --

      --- (´-`)。oO(平和な日常は私を鈍くする) ---
      親コメント
    • by Anonymous Coward on 2007年11月28日 12時53分 (#1256774)
      「一般人における」って、まるで自分はわかっているかのようなことをおっしゃいますが、あなた自身も理解していないようですよ?

      > 通信路が暗号化されている、くらいの認識しかないってことだね。

      通信路も正しく暗号化されていないというのが正しい理解です。

      > 発行元が証明されているとか、中身が改竄されてないことを証明するってところは
      > あまり知られてないということ。

      そういう話ではありません。
      親コメント
  • あらら (スコア:1, 参考になる)

    by Anonymous Coward on 2007年11月28日 12時07分 (#1256738)
    さっそく/.-edされてしまう高木せんせ
    • Re:あらら (スコア:3, 参考になる)

      by 127.0.0.1 (33105) on 2007年11月28日 13時56分 (#1256840) 日記
      これから先も、事情を知らない人からスラドでネタになる度に/.edされてると
      言われ続けるんだろうなぁ。

      実はスラドでネタになるならないに関わらず、いつも表示エラーになるんですか、
      これはさくらインターネットのレンタルサーバーの仕様で、一度負荷が高い瞬間があると
      一定期間は503のエラーが出るようになるということらしいです。

      ……ということを毎回説明するのも骨だよね。
      高木センセのサイトにそのことを明記しておいてもらえると分かりやすいと
      思うけども。
      親コメント
typodupeerror

アレゲはアレゲ以上のなにものでもなさげ -- アレゲ研究家

読み込み中...