パスワードを忘れた? アカウント作成
344234 story
セキュリティ

みずほ銀行曰く「安全でない可能性があります。よろしいですか?」と出たら「はい」を選択して進め 60

ストーリー by reo
ゼロ年代の遺物 部門より

ある Anonymous Coward 曰く、

/.J 記事 にもあったように先月末にソフトバンクモバイルのガラケー Web ブラウザで https 接続する際の仕様変更が行われたが、それに伴いみずほ銀行のネットバンキングサービスを提供するガラケーサイトで、6 月 30 日未明からソフトバンクモバイル端末から利用できなくなる不具合が生じていた。その後「現在ご利用可能となっております」という発表が、7 月 5 日に出た (みずほ銀行からの告知) 。

その発表によると、ソフトバンクモバイル端末からアクセスすると「このサイトは安全でない可能性があります。よろしいですか?」というメッセージが表示される可能性があり、それに対して「はい」を選択するよう指示している。「はい」を選択したあと、遷移先の URL を確認して、みずほ銀行のサイトであるかどうかを確認するように求めている。

URL を確認せよというのだが、これを確認したところで何の意味もないことは言うまでもない。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • しかも (スコア:3, 興味深い)

    by Anonymous Coward on 2011年07月13日 12時06分 (#1985976)
    みずほ銀行は結局secure.softbank.ne.jpを使い続けているので、そもそもこの案内は不要で、他の(まともにSSLを運用している)サイトに迷惑をかけているだけという。
  • by rin_penguin (9144) on 2011年07月13日 13時00分 (#1986013)

    ockeghem(徳丸浩)の日記 [hatena.ne.jp]によれば、根本的にはみずほが
    採用しているSSL証明書を一部のSBM端末が処理できないことが原因の
    ようです。

    ・あらゆる端末で処理できるような証明書を採用しないみずほが悪い
    ・処理できない証明書があるSBM端末が悪い

    のどちらかに収束するとは思うのですが、ぶっちゃけ au や docomo で
    同じことが起きていないのであれば、secure.softbank.ne.jp で proxy を
    かますことを前提に端末に仕込むルート証明書をケチった SBM の負けの
    ような気がします。

    • by Anonymous Coward on 2011年07月13日 14時53分 (#1986095)

      http://creation.mb.softbank.jp/web/web_ssl.html [softbank.jp]

      下記7社18種類のCAが発行したサーバ証明書に対応しています。

      って書いてあるけれど、全機種で対応しているのは4つしかなくて、みずほのルート"Verisign Class 3 Primary CA - G3"は14個ある「一部機種のみ対応」のやつなんですよね?ウェブサイトで頓珍漢なことを言い出した時点でみずほの擁護はしづらいけれども、純技術的な側面からは、みずほの運が悪かった&SBMはもうちょっとがんばりましょう、ってのが正当な評価かと。

      そもそも、ソフトバンクはグループ系列に証明書販売が入っているんだから、ルート証明の取捨選択で不公正な競争ができそうな気がしてなんとなくすっきりしない件ではある。特に銀行なんかはちょっとくらい値段が高くても客の利便性が最優先だろうし、今回みたいなサブマリン的仕様変更があった日には…。

      親コメント
    • by Anonymous Coward

      ・ブラウザアップデートで対応できる端末をリリースしなかったガラキャリと端末メーカーのクズ共も悪い
      も追加で。

      • by Anonymous Coward

        前に何かの証明書が期限切れになったときは
        携帯のアップデートで対応できていたと思いますが。

        つまりSBがみずほの証明書に対応する気がないだけかと。
        (古い端末だから見限っているのか)

  • 銀行のモラル (スコア:3, すばらしい洞察)

    by Anonymous Coward on 2011年07月13日 13時05分 (#1986016)

    オレオレ詐欺の、「オレ」を信用してください。
    ちゃんと「オレ」名前も確認してね。

    って言ってるようなもんですよね。
    まともな銀行のする事じゃないと思います。

  • 本当によろしいですか?→[はい] いいえ
    後悔しませんね?→[はい] いいえ

    --
    一人以外は全員敗者
    それでもあきらめるより熱くなれ
  • Verisign曰く、 (スコア:3, おもしろおかしい)

    by Emc2 (14960) on 2011年07月13日 15時47分 (#1986115) 日記

    ノ::::゙、 ヽヽヽヽ ゙、
    ヘ:::::::::;;: -‐''''""( )1
     ゙、::::::::-‐''""" ̄"'i
      :V;;||:::: '~ニ=ッ, r='|
      i!f !:::::      ゙、i
      i!ゝ!::::     ‐/リ
      i::/:、 :::、  /''ii'V
      ̄ハ:::::\ "''il|バ''

     ほかに することは ないのですか?

    --
    RYZEN始めました
  • 格別に (スコア:2, 興味深い)

    by Anonymous Coward on 2011年07月13日 12時42分 (#1986006)

    大手都市銀行の中で、システム周りが弱いイメージがあります。
    このレベルの人材なら、納得も行きますが。

    • Re:格別に (スコア:4, 興味深い)

      by Anonymous Coward on 2011年07月13日 13時40分 (#1986044)
      弱いというか、システムに資金を投じたくないというスタンスです。
      近年に各行、年末年始を長くとり大型アップデートをした年がありましたが、
      あれは光回線にも対応した大幅なアップデートでありました。
      あのとき、みずほ銀は平年並みの営業をしておりました。
      当然アップデートをしなかったからできたのですが、おかげでラインはいまだにISDN(但し何ラインもの複合)のままです。
      ちなみにアップデートしなかった理由はそんな金使いたくねえって理由です。
      当然OSも古いままなのですが、今までBUGFIXを積み重ねたので信頼性が高い、などとは言い難いです。
      でも本当の問題はその古いシステムを手がけた人たちが、すでに他社へ流出してしまってるところなんですがね。
      親コメント
      • by Anonymous Coward

        これが実行できるかな?
        第4回 今度こそリスク取り大胆な刷新と統合を [nikkeibp.co.jp]」

         その際は老朽化したシステムを思い切って全面刷新することが肝要だ。本誌が2011年4月28日号「動かないコンピュータ」で指摘したように、20年以上前に構築したシステムを使い続け、刷新を怠ったことが3月のシステム障害の根本的な原因であるからだ。

        • by Anonymous Coward

          wikipediaの「みずほ銀行の合併処理」 [wikipedia.org]の「システム統合」の項目をみると
          まるで2004年にシステム統合の問題は解決しているかのような書き方だけど、やっぱり未だにそんな状況なんだね。
          枯れたシステムの堅牢さは否定しないけど、弊害のほうが多くなってきてるのに使い続けて、切り替えや統合のタイミング逃して残るのは厄介だけなのにね。

    • by shesee (27226) on 2011年07月13日 12時46分 (#1986007) 日記
      いまだに完全統合できていない東京三菱もどうかと思いますが、みずぽはなんだかいつもgdgdですな
      親コメント
    • by atdp117 (41595) on 2011年07月13日 14時47分 (#1986092)
      ここのネットバンクの乱数表って、6桁の数字がカードに書いてあって、認証時に 「x桁目の数字とy桁目の数字を入力」なんだよね。
      確率論上問題ないかもしれないけど、カード盗み見られたときに暗記される可能性が高くてセキュリティ的にはどうかと思いました(そもそも人の目にさらされるような所に置くなって話ではありますが、他行と比較した話ということで)。
      親コメント
      • by Anonymous Coward
        ユーザー番号を入力して、登録されていない端末であれば、合言葉を入力、そしてパスワードと言う流れだったと思いますが、合言葉やパスワードの初回登録時の話?一回登録してしまえば、ログインしない限り、変更はできなかったような。

        カードを盗み見されたところで、登録されていない端末であれば合言葉を知る必要がありますし、登録されていてもパスワードを知る必要があります。さらに、合言葉やパスワードを数回間違えると、ネットバンクのアカウントを停止され、ネットを介しない方法でアカウントのリセットを申請する必要があります。

        利用者としては、利用者からは分かりにくい問題や、利用者から見て他行の方が優れている部分を指摘してもらえると助かります。
        • 自分が使っているJNBだと、5年ほど前に乱数表からトークン形式のワンタイムパスワード [japannetbank.co.jp]に切り替わっていて、ログインは口座番号とパスワード、重要な操作(振込みとか)はワンタイムパスワードが必要、という流れになっていますね。
          パスワードと物理的なトークン生成機両方が流失しない限り、そうそう簡単には突破されないつくりになっています。

          そういうのと比べると、パスワードにしろ合言葉にしろ乱数表にしろ、盗み見られて暗記されてしまうだけで突破されてしまうのは脆弱という気がします。

          # とはいえ、これはネット専業銀行だからの話で、そこまでやってる銀行はそうそう無い気がしますが・・・。
          # 実際私が給与関係で使ってる地銀なんかは、ネットバンクといってもパスワードが二種類必要なぐらいで、あまり厳重とは言えません。

          • by Anonymous Coward on 2011年07月13日 18時51分 (#1986184)
            書いてから気づきましたが、みずほ銀行も2008年からトークン形式のワンタイムパスワードが選択できる [mizuhobank.co.jp]ようになっているんですね。
            デフォルトで全員適用として欲しいところではありますが、コスト的な問題があるのでそこまでは仕方ないかな?
            親コメント
            • by Anonymous Coward

              これって難しい問題ですよね。

              パソコンにアンチウイルスソフトを入れるとか、十分に複雑なパスワードを作り厳重に管理するなどの
              適切な対応をしてれば、まあ許容できるくらいには安全にできるし、万が一の事態でも損害は金で補償
              すればいいレベル。

              たしかにワンタイムパスワードが技術的には遙かに安全なのは認めるけれど、それでもトークンを盗まれ
              たら終わり。それは普通はあり得ないようなミスだけど、生年月日や電話番号みたいなへぼなパスワードを
              使ったり、ウイルス感染してるのに気づかずに機密情報をダダ漏れにしてるような人ならあり得ない話でもない。

              むしろそういうユーザを教育する方が、よほど効果的ではなかろうか。
              #たとえば「安全でない可能性があります。よろしいですか?」と出たら「いいえ」を選択しなさいとか…… orz

  • by Anonymous Coward on 2011年07月13日 12時30分 (#1985991)

    やっぱりサービス停止?

    • by rin_penguin (9144) on 2011年07月13日 13時52分 (#1986052)

      すぐにできることがあるとしたら、「SBM向けのみサービス停止」でしょうかね。
      みずほはVeriSignが発行した真正の証明書を使用しているにも関わらず、それを
      処理できない一部SBM端末で問題が発生しているわけですから。

      で、SBM端末でも(もちろん他の端末やPCのWebブラウザでも)処理できる証明書に
      切り替えてからサービス再開、と。

      SBM側のヘタレ仕様変更のためにそんな対応を強いられるのも気の毒に思えますが。

      親コメント
      • by Anonymous Coward on 2011年07月13日 15時37分 (#1986111)

        みずほ側が証明書を入換えるんじゃなくて、「お前の責任だから端末アップデートしてルート証明書を入れろ」とみずほからソフトバンクに強くお願いするのもありなんじゃないですかね。
        みずほグループといえばソフトバンクに大金を貸してたと思いますので、それくらいは出来るんじゃないでしょうか。

        親コメント
        • >「お前の責任だから端末アップデートしてルート証明書を入れろ」

          本筋はそうでしょうね。
          でも、すぐにはできない。
          できないからユーザにこういうお願いをせざるを得なくて、結果として
          このストーリーで書かれているように「ネットの安全性を損なう行い」
          「まともな銀行のすることじゃない」「大手都市銀行の中でもシステム
          周りが弱い」という評価を下される。

          みずほの自衛策としては、貧乏くじを引かされたと諦めてサービスを
          閉じるしかないでしょう。

          親コメント
          • by rin_penguin (9144) on 2011年07月13日 16時33分 (#1986136)

            ちょっと訂正。

            みずほの自衛策としては、対象の端末に対して「お使いの端末では通信の
            安全性を確保できないため本サービスをご利用いただけません」とお断りする
            べきでした。それでユーザが離れていったとしても、貧乏くじを引かされたと
            諦めるしかないでしょう。

            親コメント
        • by Anonymous Coward

          更に言えば、危険性の確認をして、それでも良いと思うユーザーには自己責任で利便性を与えるってのもアリだと思うんだよね。
          その場合はの対応は、今回の様になると思うんだ。

          • by Anonymous Coward

            なりません。
            「安全ではない可能性があります」と出たら絶対に「はい」を押すな
            とアナウンスするのが正しい対応です。

            危険を理解した上で自己責任で使いたいと考える利用者は、説明などなくても警告を無視できます。
            無視できないのは、何がどう危険かを理解できていない証拠であり、そんな利用者を不用意に危険に晒してはならないのです。

    • ツイッターで禿につぶやいておけばいいんじゃね?
      親コメント
    • by Anonymous Coward

      それって、どこの巫女テスター?

      #日本の経営患部の元だと、その行動こそが最も正しい選択となることがあるのだよ。

  • by Anonymous Coward on 2011年07月13日 12時33分 (#1985997)
    ドコモのガラケ持ちなので、
    i-modeブラウザだとそもそもアドレス表示されないから、
    「URL を確認して」というのが違和感ありますね。
    ソフトバンクのガラケだと表示されるんでしょうかね?

    i-modeブラウザでも数クリックすれば、
    URL表示することはできますが、
    標準で見えないURLを表示させる操作なんて、
    一般人にとっては一般的な確認操作からかなり逸脱してそうです。

    # 一般人でもそんな面倒な操作はしたくない。
    # そもそも証明書がらみの不備を許容って時点で不適切ですが。
  • by Anonymous Coward on 2011年07月13日 12時54分 (#1986012)

    「利用に関連して生じた責任、負担、損害及び損失について、一切責任を負わないものとします。」とか。

    公序良俗に反するから無効とされる部分もあるんだろうけど、サービス提供側もマックス言うだけは言っと
    くみたいな。

    • ブラウザから利用する某F社のディスク管理ツールも似たような警告が毎回出されて、無視して進んでます。
      (じゃないとツールが使えない)
      イイカゲンちゃんとしたものを作ってくれよと思うのに、バージョン上がっても毎回おんなじ警告出てるし。

      銀行取引でこんな警告出されたら、それはもう使いたくなくなるけど。
      だからといって他の銀行サービスに乗り換えるのも色んな手続きが派生してしまいめんどくさいからユーザはこのままでも使うだろうと、みずほ様はご判断なされているのでしょうか。

      親コメント
      • by Anonymous Coward on 2011年07月13日 13時13分 (#1986022)
        今みずほ様に残っている顧客は、三月の長期間に及ぶシステムトラブルに耐えぬいた猛者ですから、この程度では動じないでしょう。
        親コメント
      • by Anonymous Coward
        完全に valid な証明書をディスク管理ツールが発行できたとしたら、 その管理ツールに自分のホスト名は slashdot.jp だと教えてあげれば slashdot.jp の 本物の証明書を勝手に発行できてしまいますよね。 ってことで、validな証明書が発行できたら駄目なんではないかと。
      • by Anonymous Coward

        イイカゲンちゃんとしたものを作ってくれよと思うのに、バージョン上がっても毎回おんなじ警告出てるし。

        オフトピの部分に反応するのもなんだけど、バグがないことは保証できないし、偶発的な不具合により発生した損害を補償したくないなら、その手の警告を出すのは当然ではないかと。

        nemui4さんのようにライセンスの片隅に書いておけば納得するようなユーザばかりなら良いんですけどね。

        #みずほの件だと、みずほの指示に従い警告を無視した場合において発生した損害を補償してくれるのかどうかが謎。

        • みずほ様は補償したくないでしょうから、警告出してるんでしょうね。
          もううちは安全では無いから使うなとか言えるわけも無いし、しょうがないから使ってください、なんかあっても補償できませんけどってな感じ?

          親コメント
          • by Anonymous Coward
            みずほがどんな警告を出してるというんでしょうね。
    • by Anonymous Coward

      警告を読まない、読んでも意味を理解できない人にとってはそうなんでしょうね。
      そしてみずほのような無責任な企業がそういう人を増やしていくのでしょうね。

    • by Anonymous Coward

      みずほが自滅するだけならどうでもいいんですが、「証明書のエラーなんて無視してもかまわない程度のものなんだ」と利用者に思わせる要素が増えればまともにSSLを運用している世界中のWebサイトに迷惑が掛かるんですよ。
      契約さえしていなければ世界中が迷惑を被ろうと一向に構わんというのは資本主義国家の私企業の態度としては模範的かもしれませんが、銀行くらい公共性を求められるサービスとしてはいかがなものですかね。

typodupeerror

私は悩みをリストアップし始めたが、そのあまりの長さにいやけがさし、何も考えないことにした。-- Robert C. Pike

読み込み中...