さて、まずは試していただこう。このリンクである。開いたページの右メニューにインターネットバンキングのログインボタンがある。これを押してみてくれ。
ポップアップ(別ウィンドウ)で、インターネットバンクへの
を入力する画面になる。このページで
平気に、
ログインIDと
パスワードを入力する気になれるか?僕は
嫌だね。
このポップアップ画面、
-
URL表示が無く、
-
右クリックも効かない
-
ステータスバーも無く鍵マークも確認できない
※ Windows XPならばステータスバーに鍵マークが出て、証明書も確認できるが、それ以前のOSでは鍵マークは出ない。この金融機関、社内では鍵マークの出ないWindows 2000を使用している、なんてことあったりして・・・?
というとんでもないページである。
かつて、何処の銀行のサイトでも、Webブラウザのアドレス欄を表示しない設定が流行っていた時期があった。しかし、フィッシングという悪意の技が流行だしてから、多くの銀行がWebブラウザのアドレス欄を表示し、利用者にURLを確認させ始めた。
東京三菱はは案外対応が遅かった。なぜ対応しないのか一利用者として電話したこともある。電話に出た人は、フィッシングについての知識も無い様で全く要領を得ない、駄目駄目な説明ではあった。しかも部署が異なるから・・・などと責任逃れの、言い訳もした。が、今は旧東京三菱のサイトでもWebブラウザのアドレス欄を表示し、利用者がURLを確認出来るようになっている。
利用者が「本当にこの銀行のサイトなの?」ということが確認できないのが問題。
アドレスを表示しない、から、本当にこのポップアップ画面がこの銀行のサイトなのかを確認できない。更に右クリックを禁止しているから、ページのプロパティも表示できない。これで
-
プロパティからURLを確認する事も出来ず
-
HTTPS通信をしているかどうか(ユーザのIDトパスワードが保護されているか)も不明である。
とんでもないページである。利用者のDNSキャッシュやhostsファイル書換えなどで、悪意のサイトに誘導されたりしていても利用者は確認の仕様が無い。
最近のフィッシングは、偽装したコンテンツを掲げるサイトではなく、本当のサイトの内容をリダイレクト表示した悪意のサイトに移行してきている。この時に「本当のサイトなのか、悪意のサイトなのかを確認するには、ポップアップページを右クリックして、
-
プロパティからURLを確認する
-
HTTPS通信をしているかどうか(ユーザのIDトパスワードが保護されているか)を確認する
-
サイトの証明書を確認する
というぐらいはしてみたい。
いくらこのサイトがNetizenを利用していても、ユーザが明示起動しなければならないし、この起動時のActiveX警告を信用するかどうかもユーザ次第なのである。悪意のサイトならば、ポップアップするログイン画面だけでなく、このポップアップを起動するリンクページから偽装するだろう。そのページにあるNetizen(のふりをしているActiveX)が偽装ポップアップをフィッシングとして警告するとは思えない。Netizonのふりをした悪意のActiveXという可能性もある。ActiveXインストール時に必ずアプリケーションの証明書を確認したい。
だから、ActiveXインストール時のアプリケーションの証明書を確認するだけでなく、このNetizonを起動するページがhttpsであるこも望みたい。SSLの暗号化ということではなく、認証局発行の証明書を確認できるHTTPSのページでないと、怖くて起動できない。当たり前に、ログインIDとパスワードを入力するページでNetizonを起動しても、偽装サイトとの区別が出来ない。(下手な偽装サイトならば警告が出るのだろうが、まともな偽装サイトならば、ポップアップを起動するHTTPのページから偽装し、Netizonモドキの悪意のActiveXを起動するから警告が出ない。)
-
証明書の確認できるHTTPSのページで、
-
ActiveXの証明書を確認した上でNetizonを起動し、
-
その後、HTTPSの確認できるログイン画面に遷移(ポップアップ)する
ならば、Netizonも役に立つ。
この金融機関は、Netizon起動時にActiveXの証明書が確認できるから、
-
Netizonの起動できるページがHTTPであってもかまわない
-
ログインポップアップがアドレス表示しなくてもかまわない
-
ログインポップアップページで右クリックできなくて、ページアドレスやSSL証明書が確認できなくてもかまわない
と考えているようだ。
※ 電話でオペレータに説明を求めたら、「仕組みは判らないけれどNetizonだから大丈夫」と言っていた。
※ それにしては、
このページでNetizon起動ボタンとログインボタンが離れているようだけれどね。必ずNetizon起動を推奨するならばもっと近づけるべきでは?隣どおしでも「利用者の自由選択権」は侵害しないよね。
金融機関はURLを隠して「Netizonを使用しているから、自分のサイトは安全だ!」というのではなく、フィッシングされ難いサイトである事がどうかをユーザ自信に確認させる事が大事である。
Webページの担当部署も阿呆だが、その担当部署だけでなく、Webページ担当部署が所属するこの企業のITグループも阿呆だ。自分の勤める会社のWEBページを利用者の立場という視点で操作したことがないのだろう。
※ ログインポップアップを起動するリンクページでNetizonを起動せずにログインポップアップを起動すると、このログインポップアップが偽装という可能性があることをオペレータも認めた。だからログインポップアップを起動するリンクページでログインポップアップを起動する前にNetizonを起動すればいいという。それにしては、URLの確認しようがないログインポップアップページにもNetizonの起動ボタンがあるのだが、これは一体どういうわけだ?
URLの確認出来ない偽装の可能性のあるページのNetizonを、君は平気で起動出来るか?
※ こいつもActiveXだぜ!
他の金融機関はどうか、気になるよね
天災が利用している金融機関はすべて大丈夫であった。
-
みずほ
-
シティバンク
-
e-バンク
-
ジャパンネットバンク
-
東京三菱UFJ(旧東京三菱)
-
東京三菱UFJ(旧UFJ)
-
三井住友
-
りそな
-
郵政公社
-
UCカード
-
三菱UFJ証券
-
マネックス証券
いずれも、
-
URL表示があり、
-
右クリックも効き、
-
プロパティからURLを確認でき
-
ユーザのIDトパスワードが保護するHTTPS通信の確認もでき、
-
サイトの証明書も確認できた
セゾンカードはログイン後SSL通信するという説明があるが、その説明でも述べているように、あくまでもログイン後なので、ログインIDとパスワードは
クリアテキストでインターネット上を流れる。
※ Etherealでキャプチャしてみればすぐ判る。この実験はログイン失敗でも出来るので、セゾンの会員で無くでも可能だ。
SMBC、月額105円の利用料金はケチだな。JNBはただでワンタイムパスワードを提供しているぞ!
カッコいい、RSAキーなんだな。
初出 Aug 05 2006
最終更新日 Aug 05 2006