パスワードを忘れた? アカウント作成
12614530 story
Chrome

金融機関が利用を推奨するセキュリティソフトでまたもやWebブラウザとの非互換性問題 45

ストーリー by hylom
開発側も大変だ 部門より
あるAnonymous Coward 曰く、

インターネットバンキングを安全に利用するために三菱東京UFJ銀行など複数の金融機関が利用を推奨しているセキュリティツール「Rapport」だが、このソフトがChrome 47.0.2526.73をクラッシュさせるため、Chromeは問題のDLLをブロックリストに追加した(chromiumプロジェクトのIssueトラッカー)。

このようなWebブラウザと深く連動するソフトはセキュリティが向上する一方、一般的な総合セキュリティソフトウェアと同様にWebブラウザのラピッドリリースに対応できず問題が起こることも多々ある。過去にはゆうちょ銀行などが採用している同様のセキュリティソフト「PhishWall」でも2014年8月にFirefoxのUI変更によるトラブルが多数報告されたほか(MozilaZine.jpフォーラム)、ノートンがFirefox 41への更新を見送るよう告知したこともあった。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • ダブルスタンダード (スコア:3, すばらしい洞察)

    by Anonymous Coward on 2015年12月11日 22時29分 (#2933437)

    フィッシング詐欺に注意、と言いながら、ネットバンキングのサイトの証明書はSHA-2に対応していないところが多い。

    • by Anonymous Coward

      ひどいのは、新しいOSなんか出る前にアプリやサービスの確認のためベータプログラムなどあるのに、
      銀行とか大企業って「検証終わるまでアップデートするな」で済ますんだよね。何のためのベータだよと。
      実際にリリースされた後に検証するとか、遅すぎ。

      • by Anonymous Coward

        計画通りに事が運べば自分が優秀だったからと言い、そうでなければ全て他人が悪いからと言う、サウイフモノニ ワタシハナリタイ

  • 互換性 (スコア:2, 参考になる)

    by Anonymous Coward on 2015年12月11日 22時45分 (#2933441)

    就職して驚いたのは、業務用のソフトウェアというのはサービスパックはおろか、セキュリティパッチですら「動作保証外」にする業者があるということ。
    どんどんバージョンアップするChromeやFirefoxとは相性が悪いと思います。
    そしてWin10も……。

    • by Anonymous Coward

      簡単に言うと、上位幹部層が「安い汎用機/オフコン」という感覚なんですよ。
      契約しなくても自分らの決めた環境下で永久にパッチを出してくれるというね。
      ♯そんなモンはねえ

    • by Anonymous Coward

      >そしてWin10も……。
      お約束だからな「せっかく用意してるんだからLTSB使ってやれよ!」と書いとこう。

      • by Anonymous Coward

        オプションで別途金が必要、ってだけで会社は忌避してますけどね。

    • by Anonymous Coward

      どっちが正しいとかと言うより、契約の問題ですよね?

      契約時に「何年保守する」ってあればやんないといけないし、
      as-isだったら「勝手にパッチ当てれば?」だし。

      痛い目に遭って初めて、発注側も、受注側も成長するもんです。
      とかいってみる。

    • by Anonymous Coward

      他の人も書いているけどそれは契約の問題です。
      パッチ当てで問題が起きるかどうか、起きた時にどれくらいの工数がかかるかは未知なので、
      基本的には作った当時の環境での動作保証しか出来ません。x年保証とかやると金額を大幅に上げざるを得ないです。
      普通は年ごとの保守契約を結んで保守工数内で対応、もしくは毎年新バージョンを買ってもらうということになります。

    • by Anonymous Coward

      動作環境の継続確認のお仕事として受注できるのなら喜んで対応しますよ。
      でも通常のサポート契約もしらんぷりなら、動作環境は納品時の環境のみで当たり前。

  • by Anonymous Coward on 2015年12月11日 18時19分 (#2933310)

    心配ならネットバンク使わなきゃいい
    銀行に行ってATM操作して振り込みやらしたらいい
    ATMでのスキミングが心配なら窓口でやればいい

    不便?手数料?
    しらんがな

    このソフト入れたら安全って訳でもない
    入れないよりは安心できるだけ

    • by Anonymous Coward

      ブラウザでの口座アクセスを廃止して専用のアプリケーションを用意すればいい
      そもそも絶対的なセキュリティが求められる物事にリスクの高いブラウザを採用するのが間違い。

      • by Anonymous Coward on 2015年12月12日 15時34分 (#2933714)

        一度スマホ用のワンタイムパスワードアプリのApp Store [apple.com]なりGoogle Play [google.com]なりの評価を見てから話をすることをお勧めします。

        来年からOTP必須になるけど使用を躊躇するほどのレベルのものしか作れない人たちに何を期待するやら。

        親コメント
        • by Anonymous Coward

          なんで三菱東京UFJ銀行はrooted不可にしたんだ?
          無駄に検出の実装が厳しいのがむかつく。あの手この手で偽装してもすべて看破されてあきらめた。

      • by Anonymous Coward

        専用ソフトを作るより安いという触れ込みだったのかもしれないが、こうなると専用ソフトを作った方が安そうな気がするね。
        主要なOS(Windows、Mac、iPhone、Android)の主要なバージョンにのみ対応すればいいだけの話。

      • by Anonymous Coward

        専用アプリケーションの開発を考えるなら、それはつまりコストを度外視しているということで、
        それなら専用アプリケーションだけでなく専用OSと専用マシンを開発し専用回線に専用プロトコルで接続するのが、
        一番安全で、他のベンダの都合に左右されない一番安定した手段だろう。

        まあそんなの当然コストに見合わないし、専用アプリケーションなんて理想論に過ぎない。
        コストを考慮して選んだ妥協案に対して、理想論を振りかざして「間違い」などと断じても意味がないよね。

        • 専用アプリケーションの開発を考えるなら、それはつまりコストを度外視しているということで、
          それなら専用アプリケーションだけでなく専用OSと専用マシンを開発し専用回線に専用プロトコルで接続するのが、
          一番安全で、他のベンダの都合に左右されない一番安定した手段だろう。

          まあそんなの当然コストに見合わないし、専用アプリケーションなんて理想論に過ぎない。
          コストを考慮して選んだ妥協案に対して、理想論を振りかざして「間違い」などと断じても意味がないよね。

          いや、明確に 「間違い」 だと断言できます。

          フィッシングやMITBを防ぐための専用プラグインなんていうのは、性質上ブラウザのアップデートや他のセキュリティソフトなどと競合して不具合が発生することは必至です。それに、MITBに対する不正振込に対する完全な対策とはならず、マルウェア製作者とのいたちごっこになるだけです。「専用アプリ」を使ったとしても、マルウェアが Administrator / root 権限を得てしまえば同じことです。

          正解は、みずほ銀行のように 「メッセージ認証コード(MAC)」を生成する物理トークンを用いた「トランザクション認証」を導入 [security.srad.jp] することでしょう。

          これは、広義に解釈すると、「専用マシン」で「専用アプリケーション」を動かしており、物理トークンとブラウザ間は、振込先口座番号(トークンのテンキーに入力)や、それをもとに生成された暗号学的に安全なメッセージ認証コード(ブラウザにユーザーが入力)を、手動入力でデータをやり取りするという「専用回線に専用プロトコル」で通信をおこなっています。

          現実的なコストで、あなたのいうところの「理想論」を実現することができるのです。

          このトランザクション認証は、専用トークンに間違って詐欺師の口座番号を入力しない限り、パソコンがどんなマルウェアに感染してMITBされていても、ユーザーフィッシング詐欺サイトにアクセスしていても、不正振込を防ぐことができるので、技術的に完璧に近いやり方です。

          三菱東京UFJ銀行はトランザクション認証をやらずに、大切な資産を守る対策(はじめてのセキュリティ) [bk.mufg.jp]によると、

          1. インターネットバンキング専用のウィルス対策ソフト「Rapport(ラポート)」
          2. ワンタイムパスワード(アプリまたはカード)をご利用
          3. クラウドダイレクトからログイン

          と複数の対策を併用しようとしています。

          全部、詐欺師といたちごっこになる不完全な対策で、3つ全部やったとしても安全にはならなりません(例えば、ワンタイムパスワードは中継型フィッシングを防げない)。

          また、来年6月12日からはワンタイムパスワードが必須になりますが、トランザクション認証対応のトークンを配布しながら、ワンタイムパスワード機能しか利用しない(脆弱) [bk.mufg.jp] など、理解に苦しむやり方なのです。

          顧客に手間をかけさせるだけで、不正送金を完全に防ぐことのできない不完全な対策を複数併用するというのは、どう考えても合理的でない行動です。「コストを考慮して選んだ妥協案」なんていうものではなく、

          • 三菱東京UFJ銀行の組織に欠陥があり、まともなセキュリティ知識を持った人物に発言権・決定権がない。
          • セキュリティ担当者が、変なセキュリティ対策製品を売り込む営業マンに騙されている。
          • セキュリティ担当者が、変なセキュリティ対策製品を売り込む営業マンからなんらかの便宜をはかってもらうなどして、不完全なセキュリティ対策を推し進めた。

          といった状況にあるのではないでしょうか。

          現に、みずほ銀行のトランザクション認証では不正振込は発生していないようですが、三菱東京UFJ銀行は、フィッシング詐欺やらマルウェアなどの不正振込が続出しており、対策が適切でなかったことを証明しています。

          親コメント
          • by Anonymous Coward

            このトランザクション認証の端末って、PCを使わず残高の確認とかもできるの?
            セキュリティリスクと言っても不正な振込だけじゃなくて残高の盗み読むとかもある。
            そのリンク先でひろみちゅ先生が言っている通り、口座番号をそもそも間違って教えられた場合にリスクがあるし、
            専用端末だけで相手先の口座番号の確認からのすべての手続きが完結しないのであれば、
            「理想論」が達成されているようには見えないけど……。

            三菱東京UFJ銀行の体制が疑わしいのはわかったけど、
            それならなおのこと専用アプリを開発すれば改善されるというものではないと思う。

            • by Anonymous Coward

              箪笥預金最強!まで読んだ。

              そもそも口座番号を間違って教えられたって、ネットに限らんような。
              銀行間ネットワークの話でもあるわけで、アプリなんて末端部分の話だけで解決するわけでもない。
              こういう面でもシステム開発に銀の弾丸はない。

              因みにみずほのトランザクション認証は振り込み等のトランザクションに対してのみ。

            • by Anonymous Coward

              > このトランザクション認証の端末って、PCを使わず残高の確認とかもできるの?
              技術的には可能だろうけど実装はされてないだろうなぁ…7セグ液晶では微妙すぎる。
              まぁ「広義に解釈すると」って書かてている通り、送金限定の効果と考えればよろしい。
              > 口座番号をそもそも間違って教えられた場合にリスクがある
              鍵交換と同じ種類の脆弱性ですね。そこら辺を掘り下げるのは銀行屋の範疇じゃない。
              汚染状態のPCで口座番号を掴んでしまう状態なら誤解しやすい口座名で突破されますから、
              「取引先の正しい名称」が得られなければ振込先が端末に表示されても意味がないです。
              口座名が専用端末に表示される方が攻撃は難しくなりますが、それだけでは防御できません。

              完全じゃないから無意味というとこの世の全てがだいたい無意味になってしまいますし、
              実行可能性とコストを考えたらトランザクション認証は有効化したほうが良いと思います。

          • by Anonymous Coward

            トランザクション認証は通信情報(口座情報)の改ざん保護が目的ですよね。
            クライアントサイドのプラットフォーム次第で使うかどうかではなく導入すべき物だと思います。

            その上で
              アプリにしてブラウザの変化から隔離する
              ブラウザにしてブラウザの変化に追従する
            を条件によって選択ではないでしょうかね。

            まあどちらにせよ、プラットフォームの変化を無視するスタイルはダメだよ、と言えますけどね。

            • by Anonymous Coward

              正直TPMなりスマートカード使うなり、ハードウエア認証のほうが楽だと思います...

        • by Anonymous Coward on 2015年12月11日 21時51分 (#2933416)
          専用アプリ作るほうがコスト下がるよ。
          一般向けで、それなりの信頼性が必要になるものを WEBでやると専用アプリと比べて検証コストが10倍や20倍じゃきかないうえに、アプリ提供側の想定に関係なくそれが数ヶ月に一回って頻度でやってくる。

          実際に、半年分の検証コストで、専用アプリの開発と検証やれちゃうんだよ。

          WEBアプリの維持するか、専用アプリに移行するかって試算出したら、だいたい2年で 1/10 くらいまでコスト下がっちゃうんだよ。
          Macをサポート環境に入れるとかいうところでさえ 1/5 ぐらいで維持できる。

          今年だけでも、WEBから専用アプリへの移行2つやったし、一方は1年で1/10まで下がってるよ。
          親コメント
          • by Anonymous Coward

            確か半年に1回程度大きな変更があるので、専用アプリを作っても大差ないような気がする
            まさか、LTSB版を使わないと保証しませんなんてふざけたことは言わねえよな

            • by Anonymous Coward

              IEはwindows10で塩漬け状態なのでホットフィックスの検証だけすればよいのでは?
              IEが死んでEDGEオンリーになった時が怖いけれどきっと大丈夫。

          • by Anonymous Coward

            確かにブラウザ環境は変化が激しすぎなところは有りますね。
            それを思えば専用アプリのほうがテストも楽かも。

            • by Anonymous Coward

              あと、Webアプリと違って自前の専用アプリでなら、中途半端に動くのを抑制できる。
              中途半端に動くってのが一番危ないから。

        • by Anonymous Coward

          理想論だってなんだって、こんなところで
          雑談にマジレスするのと同じ程度には
          意味あんじゃねーの

      • by Anonymous Coward

        それなんてOINK

      • by Anonymous Coward

        同じ金融業でも株やFX界隈だと小さな会社でもブラウザの他に専用アプリ用意してくれていて
        この差はナンなんだろう

        • by Anonymous Coward

          生き馬の目を抜く証券屋と護送船団の銀行の差なんじゃないの

    • by Anonymous Coward

      家の鍵をかけたからって安全って訳でもないと思うが。
      かけないよりは安心できるだけ

    • by Anonymous Coward

      なにが言いたいのか、本気で解説希望...

    • by Anonymous Coward

      極論バカって賢いつもりなのかな・・・

  • by Anonymous Coward on 2015年12月11日 18時36分 (#2933321)

    問題ない
    マカーはSafariでも使ってろ

    • by Anonymous Coward

      Win10&Edge以降もわざわざ互換性維持のために残されてる位ですしね…。

    • by Anonymous Coward

      ところがどっこい、RapportはWebブラウザーへの影響だけではないようで。
      Emacsが激重になる [security.srad.jp]なんて疑いもあります。
      えっ?メモ帳使ってろって?

    • by Anonymous Coward

      いやほんと、ブラウザを広範なアプリのブラットフォームにすることを目指しておきながら、勝手にアップデート&平気で仕様変更とか、GoogleやFirefoxは何考えてるのか理解不能。

  • by Anonymous Coward on 2015年12月11日 21時08分 (#2933388)

    システム巻き込んで死ぬ(再起不能にする)nProtectに比べれば可愛いものさHAHAHA

    • by Anonymous Coward

      別の銀行で配布されたnProtect NetizenにWindowsごと吹き飛ばされた経験(Win起動途中にブルースクリーンで死ぬ)があるから、メインバンクを三菱UFJに切り替えた後もこの手のソフトインストールしようという気になれない。

      ログインのたびにインストールするようにうるさいけど。

      • by Anonymous Coward

        nProtect Netizen、あまりに悪評が多かったからか(親コメのようにPC壊れたって話も少なからずあるらしい)名前変えてやり直しをはかってる模様 [www.saat.jp]
        会社も違うみたいだからnProtect側が売り飛ばしたとかそんな感じなんだろうけど、わざわざ名前を変えるあたりなんだかなぁと思う

  • by Anonymous Coward on 2015年12月11日 23時36分 (#2933463)

    俺は使ってないけど

  • by Anonymous Coward on 2015年12月12日 3時52分 (#2933512)

    flashの月次致命的脆弱性もそうですが、
    通信を信用して価値を預けるのは、理論的に
    無理とか、コストが思ったより高くなる
    とか?
    世界中にビザンチン将軍が居る訳ですよね?

typodupeerror

日本発のオープンソースソフトウェアは42件 -- ある官僚

読み込み中...