みずほ銀行曰く「安全でない可能性があります。よろしいですか?」と出たら「はい」を選択して進め 60
ストーリー by reo
ゼロ年代の遺物 部門より
ゼロ年代の遺物 部門より
ある Anonymous Coward 曰く、
/.J 記事 にもあったように先月末にソフトバンクモバイルのガラケー Web ブラウザで https 接続する際の仕様変更が行われたが、それに伴いみずほ銀行のネットバンキングサービスを提供するガラケーサイトで、6 月 30 日未明からソフトバンクモバイル端末から利用できなくなる不具合が生じていた。その後「現在ご利用可能となっております」という発表が、7 月 5 日に出た (みずほ銀行からの告知) 。
その発表によると、ソフトバンクモバイル端末からアクセスすると「このサイトは安全でない可能性があります。よろしいですか?」というメッセージが表示される可能性があり、それに対して「はい」を選択するよう指示している。「はい」を選択したあと、遷移先の URL を確認して、みずほ銀行のサイトであるかどうかを確認するように求めている。
URL を確認せよというのだが、これを確認したところで何の意味もないことは言うまでもない。
しかも (スコア:3, 興味深い)
一部の証明書を処理できない端末 (スコア:3, 参考になる)
ockeghem(徳丸浩)の日記 [hatena.ne.jp]によれば、根本的にはみずほが
採用しているSSL証明書を一部のSBM端末が処理できないことが原因の
ようです。
・あらゆる端末で処理できるような証明書を採用しないみずほが悪い
・処理できない証明書があるSBM端末が悪い
のどちらかに収束するとは思うのですが、ぶっちゃけ au や docomo で
同じことが起きていないのであれば、secure.softbank.ne.jp で proxy を
かますことを前提に端末に仕込むルート証明書をケチった SBM の負けの
ような気がします。
Re:一部の証明書を処理できない端末 (スコア:2, 興味深い)
http://creation.mb.softbank.jp/web/web_ssl.html [softbank.jp]
って書いてあるけれど、全機種で対応しているのは4つしかなくて、みずほのルート"Verisign Class 3 Primary CA - G3"は14個ある「一部機種のみ対応」のやつなんですよね?ウェブサイトで頓珍漢なことを言い出した時点でみずほの擁護はしづらいけれども、純技術的な側面からは、みずほの運が悪かった&SBMはもうちょっとがんばりましょう、ってのが正当な評価かと。
そもそも、ソフトバンクはグループ系列に証明書販売が入っているんだから、ルート証明の取捨選択で不公正な競争ができそうな気がしてなんとなくすっきりしない件ではある。特に銀行なんかはちょっとくらい値段が高くても客の利便性が最優先だろうし、今回みたいなサブマリン的仕様変更があった日には…。
Re: (スコア:0)
・ブラウザアップデートで対応できる端末をリリースしなかったガラキャリと端末メーカーのクズ共も悪い
も追加で。
Re: (スコア:0)
前に何かの証明書が期限切れになったときは
携帯のアップデートで対応できていたと思いますが。
つまりSBがみずほの証明書に対応する気がないだけかと。
(古い端末だから見限っているのか)
銀行のモラル (スコア:3, すばらしい洞察)
オレオレ詐欺の、「オレ」を信用してください。
ちゃんと「オレ」名前も確認してね。
って言ってるようなもんですよね。
まともな銀行のする事じゃないと思います。
Re:銀行のモラル (スコア:2, 参考になる)
こんなアドレスでは「オレ」にすら見えないんですけどね。
よろしいですか?→[はい] いいえ (スコア:3, おもしろおかしい)
本当によろしいですか?→[はい] いいえ
後悔しませんね?→[はい] いいえ
一人以外は全員敗者
それでもあきらめるより熱くなれ
Re:よろしいですか?→[はい] いいえ (スコア:2, おもしろおかしい)
ψアレゲな事を真面目にやることこそアレゲだと思う。
Re:よろしいですか?→[はい] いいえ (スコア:1)
消すと戻せないよ?いいの? → [はい] いいえ
消すと戻せないよ?いいの? → [はい] いいえ
消すと戻せないよ?いいの? → [はい] いいえ
#もう戻せないかんな! → [OK] を期待したけど出なかった。
ドラクエメソッド (スコア:0)
そんなこと言わずに な、な? →[はい] いいえ
Re:よろしいですか?→[はい] イエス (スコア:0)
T/O
Re: (スコア:0)
よろしいですか?→[はい] キャンセル料100円
ってのを fj.jokes 辺りで見た気がする
Verisign曰く、 (スコア:3, おもしろおかしい)
ノ::::゙、 ヽヽヽヽ ゙、
ヘ:::::::::;;: -‐''''""( )1
゙、::::::::-‐''""" ̄"'i
:V;;||:::: '~ニ=ッ, r='|
i!f !::::: ゙、i
i!ゝ!:::: ‐/リ
i::/:、 :::、 /''ii'V
 ̄ハ:::::\ "''il|バ''
ほかに することは ないのですか?
RYZEN始めました
格別に (スコア:2, 興味深い)
大手都市銀行の中で、システム周りが弱いイメージがあります。
このレベルの人材なら、納得も行きますが。
Re:格別に (スコア:4, 興味深い)
近年に各行、年末年始を長くとり大型アップデートをした年がありましたが、
あれは光回線にも対応した大幅なアップデートでありました。
あのとき、みずほ銀は平年並みの営業をしておりました。
当然アップデートをしなかったからできたのですが、おかげでラインはいまだにISDN(但し何ラインもの複合)のままです。
ちなみにアップデートしなかった理由はそんな金使いたくねえって理由です。
当然OSも古いままなのですが、今までBUGFIXを積み重ねたので信頼性が高い、などとは言い難いです。
でも本当の問題はその古いシステムを手がけた人たちが、すでに他社へ流出してしまってるところなんですがね。
Re: (スコア:0)
これが実行できるかな?
「第4回 今度こそリスク取り大胆な刷新と統合を [nikkeibp.co.jp]」
Re: (スコア:0)
wikipediaの「みずほ銀行の合併処理」 [wikipedia.org]の「システム統合」の項目をみると
まるで2004年にシステム統合の問題は解決しているかのような書き方だけど、やっぱり未だにそんな状況なんだね。
枯れたシステムの堅牢さは否定しないけど、弊害のほうが多くなってきてるのに使い続けて、切り替えや統合のタイミング逃して残るのは厄介だけなのにね。
Re: (スコア:0)
モデせずにオフトピになんて出来ないよ
Re: (スコア:0)
つまり「-モデしてくれ」ってことではないかと。
Re:格別に (スコア:1)
Re:格別に (スコア:1)
確率論上問題ないかもしれないけど、カード盗み見られたときに暗記される可能性が高くてセキュリティ的にはどうかと思いました(そもそも人の目にさらされるような所に置くなって話ではありますが、他行と比較した話ということで)。
Re: (スコア:0)
カードを盗み見されたところで、登録されていない端末であれば合言葉を知る必要がありますし、登録されていてもパスワードを知る必要があります。さらに、合言葉やパスワードを数回間違えると、ネットバンクのアカウントを停止され、ネットを介しない方法でアカウントのリセットを申請する必要があります。
利用者としては、利用者からは分かりにくい問題や、利用者から見て他行の方が優れている部分を指摘してもらえると助かります。
ワンタイムパスワードとか (スコア:0)
自分が使っているJNBだと、5年ほど前に乱数表からトークン形式のワンタイムパスワード [japannetbank.co.jp]に切り替わっていて、ログインは口座番号とパスワード、重要な操作(振込みとか)はワンタイムパスワードが必要、という流れになっていますね。
パスワードと物理的なトークン生成機両方が流失しない限り、そうそう簡単には突破されないつくりになっています。
そういうのと比べると、パスワードにしろ合言葉にしろ乱数表にしろ、盗み見られて暗記されてしまうだけで突破されてしまうのは脆弱という気がします。
# とはいえ、これはネット専業銀行だからの話で、そこまでやってる銀行はそうそう無い気がしますが・・・。
# 実際私が給与関係で使ってる地銀なんかは、ネットバンクといってもパスワードが二種類必要なぐらいで、あまり厳重とは言えません。
Re:ワンタイムパスワードとか (スコア:1, 参考になる)
デフォルトで全員適用として欲しいところではありますが、コスト的な問題があるのでそこまでは仕方ないかな?
Re: (スコア:0)
これって難しい問題ですよね。
パソコンにアンチウイルスソフトを入れるとか、十分に複雑なパスワードを作り厳重に管理するなどの
適切な対応をしてれば、まあ許容できるくらいには安全にできるし、万が一の事態でも損害は金で補償
すればいいレベル。
たしかにワンタイムパスワードが技術的には遙かに安全なのは認めるけれど、それでもトークンを盗まれ
たら終わり。それは普通はあり得ないようなミスだけど、生年月日や電話番号みたいなへぼなパスワードを
使ったり、ウイルス感染してるのに気づかずに機密情報をダダ漏れにしてるような人ならあり得ない話でもない。
むしろそういうユーザを教育する方が、よほど効果的ではなかろうか。
#たとえば「安全でない可能性があります。よろしいですか?」と出たら「いいえ」を選択しなさいとか…… orz
本来はどうすべき? (スコア:1, 興味深い)
やっぱりサービス停止?
Re:本来はどうすべき? (スコア:2, 興味深い)
すぐにできることがあるとしたら、「SBM向けのみサービス停止」でしょうかね。
みずほはVeriSignが発行した真正の証明書を使用しているにも関わらず、それを
処理できない一部SBM端末で問題が発生しているわけですから。
で、SBM端末でも(もちろん他の端末やPCのWebブラウザでも)処理できる証明書に
切り替えてからサービス再開、と。
SBM側のヘタレ仕様変更のためにそんな対応を強いられるのも気の毒に思えますが。
Re:本来はどうすべき? (スコア:1, 興味深い)
みずほ側が証明書を入換えるんじゃなくて、「お前の責任だから端末アップデートしてルート証明書を入れろ」とみずほからソフトバンクに強くお願いするのもありなんじゃないですかね。
みずほグループといえばソフトバンクに大金を貸してたと思いますので、それくらいは出来るんじゃないでしょうか。
Re:本来はどうすべき? (スコア:1)
>「お前の責任だから端末アップデートしてルート証明書を入れろ」
本筋はそうでしょうね。
でも、すぐにはできない。
できないからユーザにこういうお願いをせざるを得なくて、結果として
このストーリーで書かれているように「ネットの安全性を損なう行い」
「まともな銀行のすることじゃない」「大手都市銀行の中でもシステム
周りが弱い」という評価を下される。
みずほの自衛策としては、貧乏くじを引かされたと諦めてサービスを
閉じるしかないでしょう。
Re:本来はどうすべき? (スコア:2, 参考になる)
ちょっと訂正。
みずほの自衛策としては、対象の端末に対して「お使いの端末では通信の
安全性を確保できないため本サービスをご利用いただけません」とお断りする
べきでした。それでユーザが離れていったとしても、貧乏くじを引かされたと
諦めるしかないでしょう。
Re: (スコア:0)
更に言えば、危険性の確認をして、それでも良いと思うユーザーには自己責任で利便性を与えるってのもアリだと思うんだよね。
その場合はの対応は、今回の様になると思うんだ。
Re: (スコア:0)
なりません。
「安全ではない可能性があります」と出たら絶対に「はい」を押すな
とアナウンスするのが正しい対応です。
危険を理解した上で自己責任で使いたいと考える利用者は、説明などなくても警告を無視できます。
無視できないのは、何がどう危険かを理解できていない証拠であり、そんな利用者を不用意に危険に晒してはならないのです。
Re:本来はどうすべき? (スコア:1)
Re: (スコア:0)
それって、どこの巫女テスター?
#日本の経営患部の元だと、その行動こそが最も正しい選択となることがあるのだよ。
ソフトバンクのガラケってアドレス表示される? (スコア:1, 参考になる)
i-modeブラウザだとそもそもアドレス表示されないから、
「URL を確認して」というのが違和感ありますね。
ソフトバンクのガラケだと表示されるんでしょうかね?
i-modeブラウザでも数クリックすれば、
URL表示することはできますが、
標準で見えないURLを表示させる操作なんて、
一般人にとっては一般的な確認操作からかなり逸脱してそうです。
# 一般人でもそんな面倒な操作はしたくない。
# そもそも証明書がらみの不備を許容って時点で不適切ですが。
Re:ソフトバンクのガラケってアドレス表示される? (スコア:2, 参考になる)
そのページをブックマークに登録しようとすると
URLが表示されます。(921SHでも同様だったはず)
あと、ページを表示した状態でURL入力を選択すると
現在のページのURLがデフォルトで表示されます。
「ページのURLを表示させる」っていうメニューは無いですね。
Re:ソフトバンクのガラケってアドレス表示される? (スコア:1, 参考になる)
機種によっては「便利機能」>「プロパティ表示」>「ページ情報」なるメニューがある
auとSOFTBANK携帯でのURL表示法
http://okwave.jp/qa/q5189050.html [okwave.jp]
あと、ページを表示した状態でURL入力を選択すると 現在のページのURLがデフォルトで表示されます。
これで確認すると危ないのは・・・auだっけ。
警告ってそういうもんでは? (スコア:1, 興味深い)
「利用に関連して生じた責任、負担、損害及び損失について、一切責任を負わないものとします。」とか。
公序良俗に反するから無効とされる部分もあるんだろうけど、サービス提供側もマックス言うだけは言っと
くみたいな。
Re:警告ってそういうもんでは? (スコア:1)
ブラウザから利用する某F社のディスク管理ツールも似たような警告が毎回出されて、無視して進んでます。
(じゃないとツールが使えない)
イイカゲンちゃんとしたものを作ってくれよと思うのに、バージョン上がっても毎回おんなじ警告出てるし。
銀行取引でこんな警告出されたら、それはもう使いたくなくなるけど。
だからといって他の銀行サービスに乗り換えるのも色んな手続きが派生してしまいめんどくさいからユーザはこのままでも使うだろうと、みずほ様はご判断なされているのでしょうか。
Re:警告ってそういうもんでは? (スコア:1, おもしろおかしい)
Re:警告ってそういうもんでは? (スコア:1)
猛者たちは、すでにそのトラブル対応で燃え尽きたりしていないでしょうか。
Re: (スコア:0)
Re: (スコア:0)
Re: (スコア:0)
オフトピの部分に反応するのもなんだけど、バグがないことは保証できないし、偶発的な不具合により発生した損害を補償したくないなら、その手の警告を出すのは当然ではないかと。
nemui4さんのようにライセンスの片隅に書いておけば納得するようなユーザばかりなら良いんですけどね。
#みずほの件だと、みずほの指示に従い警告を無視した場合において発生した損害を補償してくれるのかどうかが謎。
Re:警告ってそういうもんでは? (スコア:1)
みずほ様は補償したくないでしょうから、警告出してるんでしょうね。
もううちは安全では無いから使うなとか言えるわけも無いし、しょうがないから使ってください、なんかあっても補償できませんけどってな感じ?
Re: (スコア:0)
Re: (スコア:0)
警告を読まない、読んでも意味を理解できない人にとってはそうなんでしょうね。
そしてみずほのような無責任な企業がそういう人を増やしていくのでしょうね。
Re: (スコア:0)
みずほが自滅するだけならどうでもいいんですが、「証明書のエラーなんて無視してもかまわない程度のものなんだ」と利用者に思わせる要素が増えればまともにSSLを運用している世界中のWebサイトに迷惑が掛かるんですよ。
契約さえしていなければ世界中が迷惑を被ろうと一向に構わんというのは資本主義国家の私企業の態度としては模範的かもしれませんが、銀行くらい公共性を求められるサービスとしてはいかがなものですかね。
みずほ銀行を選んでる時点で (スコア:0)