NTTデータ(本社:東京都江東区)が地方銀行などに提供しているネットバンキングサービス「ANSER-WEB」のサーバー証明書が、26日午前9時過ぎに有効期限切れになり、27日朝方まで約20時間にわたってログイン時にセキュリティ警告が表示される状態が続いていた。
それ自体は大した問題ではなかったのだが、このトラブルに対する銀行の対応にはセキュリティ上の見逃せない問題が指摘される。セキュリティをもっとも重視すべき銀行のサイトの多くが、ユーザーのセキュリティスキルを下げる働きをしているという現実である。
■フィッシングサイトと見紛う不十分なアナウンス
同サービスを利用する多くの銀行がホームページに何も告知を出さない中、一部の銀行が26日夕方までに断り書きを掲載した。たとえば次のようなものである。
『インターネットバンキングのログインボタンをクリックすると、セキュリティ警告画面が表示される場合がありますが、その画面の「続行しますか?」に対して「はい」のボタンをクリックして、ログインをお願いします』。
この文言は、フィッシングサイトを彷彿とさせる。「有効期限切れの警告」との但し書きや、実際の警告画面の画像を掲載しているところもあったが、それでもまだ不十分だ。調査した中では唯一、北海道銀行が有効期限切れであることを断った上で、証明書を表示して発行先が「www2.paweb.anser.or.jp」になっていることを確認するようアドバイスしていた。
ログイン先が、自行とは異なる別のドメインにある以上、自行のサイト上で必要十分な安全確認の方法を伝えるべきであり、不十分なアナウンスは、先日の最高裁判所のフィンガープリントの案内と同様(下記関連記事参照)、そのままフィッシングに悪用される恐れすらある。
■URLを見せない悪質なネットバンキング
いくつかのサイトをチェックする過程で、URLを見せない悪質なネットバンキングに複数遭遇した。ログインページへのジャンプは、JavaScriptで行うため、事前にジャンプ先のURLが確認できない。うち2か所は、ジャンプ先のログイン画面からアドレスバーまで消すという念の入れよう。自行のネットバンキングの正規サイトが「anser.or.jp」という見慣れないドメインにあることをアピールしなければいけないところなのに、どうしてURLを見せないのだろうか。
URLの隠蔽は、偽サイトを構築する時以外には何のメリットもないということに、担当者は気付いてほしい。そのネットバンキングは怪しいサイトと瓜二つである。
(2007/01/29 ネットセキュリティニュース)
【関連記事:ネットセキュリティニュース】
・最高裁が警告~裁判所かたる架空請求メール、騙しの小道具に「finger print」(2007/01/11)
・サーバー証明書を持つフィッシングサイト出現:「錠マーク」過信は禁物(2006/02/16)
・総務省、サイトの安心・安全性を示す実証実験サイトで「オレオレ証明書」(2006/03/30)
【関連記事:ネットセキュリティニュースコラム】
・もう騙されない!~フィッシングサイトの見分け方【初級編】
・もう騙されない!~フィッシングサイトの見分け方【上級編】