von_yosukeyanの日記: 新銀行東京(8)
誤解されるとアレなのだが、新銀行東京のシステムは日立製作所のパッケージを使用しているとは言え、日立の関与度はパッケージ提供に止まり、実際のシステム戦略の立案や実装、運用などはNTTコミュニケーションズが担当している。新銀行東京の行員H氏がひたすらNTTコミュニケーションズ側のと述べていた点はこれに尽きる
新銀行が採用するNEXTBASEは、元々日立がNTTデータの開発した地銀向けの標準勘定系パッケージBeSTAのライセンスを受け、BeSTAに日立が開発した銀行業務システムをパッケージ化したものである。日立は、NEXTBASE以外にもいくつかの銀行向けパッケージを開発しており、その中でもNEXTBASEは比較的小規模な地銀や第二地銀向けに提供されているパッケージである
NTT系の銀行系システムはNTTデータがかなり強い勢力を持っているものの、NTTコミュニケーションズは自前のパッケージを保有していない。そこで、NEXTBASEのライセンスを受けてNTTコミュニケーションズはコールセンター業務やCTIシステム、セーフティパスによるゲートシステムなどのフロント系運用業務を行っており、新銀行東京はNTTコミュニケーションズに全面的に委託しているという関係になっている
しかし、一義的には預金者は新銀行との間で預金約款による契約を結んでいる関係であり、パスワード方式によるインターネットバンキングの問題は完全に新銀行側の問題である。一方で、セーフティパス方式によるインターネットバンキングは、セーフティパスの利用関係は銀行ではなくNTTコミュニケーションズと預金者との利用契約関係であり、セーフティパスのソフトウェアの問題は直接は銀行側には責任がないという立場になっている。このあたりの責任分担は、預金約款の条項を読んでみても不明確な点が多い
■「最高のセキュリティ」を提供しているNTTコミュニケーションズ
ところで、gtk氏のコメントにもあるように、5月25日にNTTコミュニケーションズから一斉メールで「[セーフティパス]【臨時】高機能版セーフティパスソフト利用における諸事象の解消方法」と題するメールが送信された。gtk氏がリンクされているページの題とかなり違うのだが、実際にはこのような題で送信されている
引用すると次のような文面である
高機能版セーフティパス利用ソフト(Ver.S1.000)をご利用のお客様の一部に、
一般のwebページにアクセスした際、ブラウザ(Internet Explorer)の画面
右下表示(ステータスバーの表示)が通常の「インターネット」でなく
「イントラネット」と表示される事象が発生しています。この事象は、一般の家庭内インターネット接続環境において、WindowsPC・
Internet Explorerの組み合わせで生じます。この場合、一般のwebページ(インターネット)閲覧時に、当該PCに設定
されたイントラネット用のセキュリティレベルが適用されることとなり、
その設定によっては、一部のwebサービスが利用できなくなることがあります。誠にお手数ではございますが、この事象は以下の手順により解消していただく
よう、お願い致します。★現在ご利用中のセーフティパス利用ソフトのバージョン確認はこちら
http://www.safety-pass.com/support/version.html----------------------------------
対象:一般のwebページ(インターネット)閲覧時にInternet Explorerの画面
右下表示が「イントラネット」となる事象1)Internet Explorerを起動する。
2)〔ツール〕→〔インターネットオプション〕→〔セキュリティ〕タブで、
「イントラネット」アイコンを選択する。
3)「サイト」ボタンをクリックし、「プロキシサーバを使用しないサイトを
すべて含める」のチェックを外す。
----------------------------------なお、上記手順によらず自動的にこの事象を解消する、自動アップデート
ファイル(※)を6月1日より提供予定です。
いい加減、こういったユーザーを危険に晒す対処療法的インチキ手法でバグの解決を図ろうとするNTTコミュニケーションズの姿勢にはうんざりするが、別の観点から見てもこのようなメールによる告知には問題がある
第一に、セキュリティに関する重大な告知をメールだけで行おうとすることだ。大半の金融機関は、フィッシング詐欺対策に取引の約定内容や操作に関する重大な告知をメール本文に書くというやり方は取っていない。メールの送信元などいくらでも偽造可能であるし、本当にそのメールが取引金融機関から送信されたものなのか確認のしようがない。せめて、告知内容をサイトに掲載するなどの方法によって対処すべきであろう
第二に、メールの送信元ドメインが通常に利用可能なサイトと異なる点だ。このメールの送信元アドレスは、info@com-id.comとなっているが、これはセーフティパスのセキュアログインサイトのドメインで、セーフティパスを使用しない場合のサービスサイトのドメインはwww.safety-pass.comとなっており統一性がない。かつて、漏れはりそな銀行のサービスドメインの数が多すぎる問題を指摘したが、新銀行の場合には、直接にwww.safety-pass.comまたはcom-id.comにアクセスするのではなく、新銀行のドメインであるsgt.jpから、パスワード方式でログインした場合にはwww2.ib-center.gr.jpに、セーフティパス方式でログインした場合にはcom-id.comにアクセスする。これは多すぎる
しかも、新銀行はインターネットバンキングの(ポップアップで開く)ログイン画面において、アドレスバーを表示しないように設定しているし、証明書を確認できないような隠蔽を行っているので、仮にこの送信元アドレスを信用するとしても利用者が知らないアドレス・知りようもないアドレスから送信されたメールということになる。このようなものを信用しろ、という方が間違っているし適切ではないことは言うまでもない
さらにメール末尾に記載されたNTTコミュニケーションズの問い合わせ用のメールフォームには、https://www.safety-pass.com/contacts/ というアドレスを使っているのだから呆れる
三番目に、このメールに限らないのだがNTTコミュニケーションズの利用者向け告知メールの末尾には.Com-IDと呼ばれるセーフティパスの利用者IDが常に記載されている。これは、ICカード固有のIDナンバーのようで、NTTコミュニケーションズに問い合わせを行った際には、このID番号を元に、名前、住所、氏名、電話番号、生年月日で本人確認を行うし、EdyIDと同じようにカードそのものの裏側にID番号が記載されている。こういった重要な情報をメールに記載して送信するという神経自体が異様に思える。必要性もないのに、一斉メールでこういった情報を記載して送信することは即座にやめるべきだ
こういった、普通に利用していて多々の問題が散見されるNTTコミュニケーションズに業務を完全委託している新銀行の姿勢は問題がある。新銀行自体が、こういった問題を認識できる検証体制を金融機関として持っていないようだし、そもそもそのような最低限の能力を持った人間すら銀行には存在しないようである。例えば、セキュリティについてと題する新銀行の記述内容には次のような記載がある(強調部は漏れによる)
インターネットバンキングでは、国際標準とされる128ビットSSL暗号化通信方式を採用しています。これにより、インターネットの盗聴、改ざん、システムへの不正侵入を防止し、お取り引きの安全性を確保しています。
取り返しのつかない問題が発生したとき、この銀行はなおも最高度のセキュリティを提供していたと主張するのだろうか? それとも、被害者面をして責任はないと強弁するのだろうか
新銀行東京(8) More ログイン