2007年11月17日
■ こんな銀行は嫌だ
「こんな銀行は嫌だ――オレオレ証明書で問題ありませんと言う銀行」……そんな冗談のような話がとうとう現実になってしまった。しかも、Microsoftが対抗策を施した IE 7 に対してさえ言ってのけるという。
この原因は、地方銀行のベンダー丸投げ体質と、劣悪ベンダーが排除されないという組織の構造的欠陥にあると推察する。
【ぶぎんビジネス情報サイト】アクセス時に表示される警告メッセージについて
ぶぎんビジネス情報サイトでは、サイトURL(https://www.bugin.cns-jp.com/)ではなく、ベースドメイン(https://www.cns-jp.com/)でSSLサーバ証明書を取得しております。このため、本サイトにアクセスする際、ブラウザの仕様により次の警告メッセージが表示されますが、セキュリティ上の問題はございませんので、安心してぶぎんビジネス情報サイトをご利用ください。
(略)
左図の画面(ページ)が表示されましたら、「このサイトの閲覧を続行する(推奨されません)」を選択(クリック)してください。ぶぎんビジネス情報サイトのログイン画面に遷移します。
IE7.0で本サイトにアクセスされますと、アドレスバーの背景色が赤くなり、「認証エラー」と表示されますが、これは、SSLサーバ証明書をサイトURLベースドメイン(https://www.cns-jp.com/)で取得しているためです。サイト自体はSSL128bitによる暗号化通信を行っておりますので、セキュリティ上の問題はございません。
武蔵野銀行「【ぶぎんビジネス情報サイト】アクセス時に表示される警告メッセージについて」より
【法人向け情報Web ホクギンeビジネス】アクセス時に表示される警告メッセージについて
法人向け情報Webホクギンeビジネスでは、サイトURL(https://www.hokuetsu.cns-jp.com/)ではなく、ベースドメイン(https://www.cns-jp.com/)でSSLサーバ証明書を取得しております。このため、本サイトにアクセスする際、ブラウザの仕様により次の警告メッセージが表示されますが、セキュリティ上の問題はございませんので、安心して法人向け情報Web ホクギンeビジネスをご利用ください。
(略)
<InternetExplorer7.0をご利用の場合>
以下の画面(ページ)が表示されましたら、「このサイトの閲覧を続行する(推奨されません)」を選択(クリック)してください。法人向け情報Web ホクギンeビジネスのログイン画面に遷移します。
IE7.0で本サイトにアクセスされますと、アドレスバーの背景色が赤くなり、「認証エラー」と表示されますが、これは、SSLサーバ証明書をサイトURLベースドメイン(https://www.cns-jp.com/)で取得しているためです。サイト自体はSSL128bitによる暗号化通信を行っておりますので、セキュリティ上の問題はございません。
北越銀行「【法人向け情報Web ホクギンeビジネス】アクセス時に表示される警告メッセージについて」より
「オレオレ証明書」についておさらいしておくと、こうした警告を「問題ありません」と説明する出鱈目が、3年ほど前に地方自治体を中心に流行しかけたが、「オレオレ証明書」という用語が誕生して、多くの人が「問題ないわけがない」ということを認知するようになった。
- 広島市曰く「警告は出ますがセキュリティ自体には問題ない」, 2005年1月11日の日記
- 小学生にセキュリティ警告を無視させる埼玉県, 2005年1月14日の日記
- 2005年1月15日の日記
11日の日記 に対して、「昨日自分で書いた『オレオレ証明書』という言い方が気に入ってきた」というトラックバック を頂いた。「オレオレ証明書」……ソレダ! 使わせて頂く。
- 日経サイエンスに「オレオレ証明書」, 2005年3月1日
日経サイエンス2005年4月号にナイスな記事が載っていた。
自治体が促進!? ネットの「オレオレ詐欺」
役所が進める電子政府の安全確保が,かえって利用者を危険に追い込む(略)情報セキュリティの技術者たちはこういうニセ証明書を“オレオレ証明書” と呼ぶ。(略)自治体を名乗って「ブラウザーの警告なんか無視してくれ」というのがオレオレ証明書だ。(略)
- 銀行業界が自治体に苦情を申し立てても不思議でない, 2005年3月15日
そもそも、この警告が出たら「いいえ」を押すのが当然の常識として人々にもともと理解されているはずのところが、昨今では、その常識が崩れつつある。その原因は、自治体の電子申請システムだ。自治体の愚かな行いが、銀行に対するphishing攻撃の危険性を増大させている。
そもそもWebのサーバ証明書は、Webというグローバルなアプリケーションドメインに対して設定されたそれ固有のPKIモデルで稼動しているものであり、銀行をはじめとする事業者たちはこれまで、そのモデルのルールに則って証明書を購入し運用してきた。そこへ、後からやってきた役所の連中が、そのモデルのルールを無視し、勝手認証局を立て、「私達も仲間ですよ」と利用者達をたぶらかしている。(ブラウザベンダーに対して「仲間に入れて」とお願いするのではなしに。)
銀行業界は、このような自治体の迷惑行為に対して、やめてもらえないかと、要請してはどうか。
民間企業だったらこんなことはしない。なぜなら、他を見回してみたときにそんなことをやっているところはないと気づくからだ。一般に、誰もやらないことを自分がやろうとするときは、何か間違っているのではないかと疑ってみるのは猿でもすることだ。それなのに、自分だけはそれをやっても許されると思ってしまうのは、役所ならではだろう。
その後、Microsoftがこれに対抗策を打ち出して、Internet Explorer 7 ではより強力なエラー表示が出るように改善された(図3)。
IE 6では、単純な警告ダイアログが出て「はい」か「いいえ」のボタンを押すだけになっており、ひとたび「はい」を押してしまうと、その先では何の異常もなかったかのようにアクセスできてしまうため、意味もわからず「はい」を押してしまう人が続出していた。
これが IE 7では、図3のように、「詐欺や、お使いのコンピュータからサーバーに送信される情報を盗み取る意図が示唆されている場合があります」ときちんと理由を示した警告文に改善されたうえ、「サイトの閲覧を続行しないことを推奨します」とまで書かれている。それでもなお、「このサイトの閲覧を続行する」という選択肢が残されているものの、「(推奨されません)」とまで書かれている。万が一これが続行された場合でも、次の図4のように、続行した先のページでは常時、異常であることを示す表示(アドレスバーが赤くなり、「証明書エラー」と出る)がなされるようになった。
ここまでしつこく異常を伝えるように改善されたのだから、IE 7(とそれが標準搭載されるWindows Vista)が普及するにつれて、このオレオレ証明書問題は自然と解決されていくだろうと思っていた*1。
ところが、実際にIE 7が普及してきた現在、これらに対してさえ、「問題ありません」だとか、「『推奨されません』をクリックしてください」と言う虫*2が沸いてきた。しかも、よりによって銀行がそれを言うのである。
フィッシング詐欺の脅威が迫っている中、「アドレスバーが赤くなって『エラー』と表示されていたら閲覧を中止しなければならない」という鉄則を利用者の常識としなければならないところに、「使ってもいい場合がある」などという嘘*3が吹聴されたら、対策が台無しであり、皆が迷惑する。
銀行に脆弱性があって放置されているとか、銀行が改竄されているとか、そういうのはある意味自業自得なのだから、周りからとやかく言われる筋合いはないと言われるかもしれないが、このような、嘘の説明を言いふらす行為は、他のまじめにやっている銀行が迷惑するだろう。金融庁が指導するか、あるいは、全銀協がこれらの銀行に対して抗議するべき事態と言える。
それにしても、なぜこんなことになってしまっているのか。2つの銀行の説明文を見ると、それらが同一の文章から作られていることがわかる。単にこの2つの銀行が馬鹿だというだけでなく、他に汚染源があると推察される。
そこで、11月2日にこれらの銀行に電話して、問題点を指摘するのと同時に、原因を探るべく取材を試みた。*4
まず、電話すると先方は第一声として、「証明書を買うかどうか検討している最中でして」と言う。話を聞くと、今年の7月に地銀ネットワークサービス株式会社から文書で通達があり、証明書を買えば警告が出なくなるとの説明を受けているという。
「地銀ネットワークサービス株式会社」とは全国地方銀行協会に加盟する全国の地方銀行が株主となって設立された共同事業会社であり、ここが「cns-jp.com」というサイトを運営している。図1、図2のエラー画面が出るWebページは、「www.bugin.cns-jp.com」と「www.hokuetsu.cns-jp.com」であるように、この「cns-jp.com」の配下にある。つまり、共同運営会社がASPサービスとしてこれらのサイトを提供しているわけである。
同じこのASPを使う銀行でも、この警告が出ないところもある。たとえば、沖縄銀行向けの「https://www.okinawa.cns-jp.com/」では警告が出ない。2006月9月12日の日記の記録では、沖縄銀行のこのページも警告が出る状態だったので、その後、沖縄銀行は証明書代金を支払ったのだろう。現在でも、以下の7つの銀行が警告が出る状態のままとなっている。
- https://www.hokkoku.cns-jp.com/
- https://www.hokuriku.cns-jp.com/
- https://www.oitabank.cns-jp.com/
- https://www.hokuetsu.cns-jp.com/
- https://www.iyo.cns-jp.com/
- https://www.shinwabank.cns-jp.com/
- https://www.bugin.cns-jp.com/
なぜこれだけの長期間にわたって、「買うかどうか検討している最中」のままなのか謎であるわけだが、それは理解できなくもない。なぜなら、銀行が証明書を取得するのではないからだ。
沖縄銀行用のサイト「www.okinawa.cns-jp.com」の証明書の発行先を見ると次のようになっている。
CN = www.okinawa.cns-jp.com OU = Operations O = CNS L = Chiyodaku S = Tokyo C = JP
そもそも「CNS」などという名前で証明書が取れること事態も異常(会社の英文名称で取るのが普通)*5だが、「CNS」とは「Chigin Netowrk Service Co., Ltd」のことのようだ。
このように、沖縄銀行が証明書を取得したのではなく、証明書の取得者はASP提供会社である地銀ネットワークサービスになっている。それは当然で、ドメイン名が「cns-jp.com」だからだ。
つまり、証明書の取得にお金が必要というのは、システムの都合であって、銀行が証明書を買うという話ではない。実際、システム設計を変更すれば、各銀行ごとにばらばらに何枚も証明書を買う必要などない。たとえば、次のURLにすれば「www.cns-jp.com」用の証明書1枚で済む。*6
https://www.cns-jp.com/hokkoku/ https://www.cns-jp.com/hokuriku/ https://www.cns-jp.com/oitabank/ https://www.cns-jp.com/hokuetsu/ https://www.cns-jp.com/iyo/ https://www.cns-jp.com/shinwabank/ https://www.cns-jp.com/bugin/
はじめからこのようにしなかったシステムの設計ミスであろう。*7
システムを作った際、SSLのことを何も考えなかった結果だ。そしていざサービスを始めてみると、SSLで警告が出るという苦情が寄せられるようになり、さてどうするかというときに、システムの欠陥を直すのではなしに、証明書を無駄に何枚も買わせて解決しようとしたわけだ。
これはシステムの設計ミスが原因なのだから、その解決に必要な費用はシステム提供者である地銀ネットワークサービスが負担するべきものだろう。それを銀行に支払いを要求しているものだから、各銀行も、意味のわからない料金を払うわけにいかないという状態になっていると思われる。
このことについては、12日に地銀ネットワークサービスにも電話して指摘した。しかし、どうもこの会社には誰もこの件についての責任者がいないようなのだ。電話で用件を伝えようとすると、用件を文書で書いて送れという。なんでわざわざ文書で書かないといけないのかと尋ねると、システムの開発を外部に出しているので、外注先に指摘の文書を見せたいのだという。
つまり、何もかもが業者に丸投げで、自力で考える頭が存在していない。
そうなると、外注の業者が自らの失敗を認めるはずがない。「このままで問題ありません」と回答することになる。「問題ありません」という回答が、地銀ネットワークサービスの案山子を素通りして、各地方銀行に配布される。そして図1と図2のような出鱈目な説明が表に出てくる。
馬鹿ばかりだ。誰一人、責任を持って自力で考えられる人がそこにはいない。これは技術がわからないからとかいった話ではない。他所がどうしているか見て廻れば異常だと感づけることであるし、外注業者を信用してはならないことは当たり前の話だ。
どこの糞業者を使っているのか聞き出したかったが、残念ながら教えてもらえなかった。
ちなみに、この問題は、システムを改修しなくても簡単に解決できる別の方法がある。「ワイルドカード証明書」を使えばよいだけの話だ。ワイルドカード証明書とは、サーバ証明書の発行先のCommon Name(ホスト名)を「*.cns-jp.com」という「*.」を使った名前で登録するもので、これにより、同じドメイン上のどのホストにも正しく適用できるというものだ。
ワイルドカード証明書を導入すれば一瞬で解決するし、沖縄銀行も変な別料金を負担する必要はなかった。外注先業者はそれを知らない無能業者であるか、もしかすると、知らないふりをして、無駄に証明書を買わせ、証明書取得代行の手数料で儲けようと鴨を待ち構えている可能性だってある。
なお、出鱈目な説明を掲示している2つの銀行には以下の点を伝えた。
- 「セキュリティ上の問題がない」というのは嘘偽りである。
- 証明書を買うように言われているのもおかしな話、買うのは地銀ネットワークサービスであり、あなたの銀行ではない。
- 本来、追加の料金負担など必要ない。地銀ネットワークサービスが設計ミスを直すべき話。
- あなた方が地銀ネットワークサービスに抗議するべき話。
- 修正に時間がかかるにしても、とりあえずまず、この誤った説明文を即刻、削除するべき。
- 削除するだけで済まされる話ではない。今まで間違った説明をしていたことを告知し、正しい使い方「赤くなっていたら使用を中止する」を周知するべき。
特に重要なのは、誤った説明を削除するという件だ。北越銀行には11月2日に説明を終え、武蔵野銀行には11月12日に説明を終え、どちらの担当者も意味を理解して納得していたが、どちらの銀行も、今もなおこの出鱈目な説明を利用者に読ませ続けている。
追記
さすがに、IE 7 になってから「問題ありません」と説明するところはほとんど見当たらなくなった。しかし、大学はあいかわらずひどい。こういう大学で教育を受けた卒業生が将来の糞業者になっていくのだろう。高校生諸君はこれらの大学は避けたほうがいい。
- 関西大学, 授業支援システム
SSL対応ページでは証明書のエラーが表示されることがありますが,問題はございません.
2.「このサイトの閲覧を続行する (推奨されません)。」のリンクを選択する.
- 山形大学, 学術情報基盤センター
現在、WebMailに接続すると、”この Web サイトのセキュリティ証明書には問題があります。”というページが表示される、あるいは、”セキュリティの警告”というウィンドウが表示される場合があります。
これは、システム移行にともなう、証明書の手続きが間に合っていないためで、セキュリティ上の問題はありません。
ページが表示された場合は、”このサイトの閲覧を続行する (推奨されません)。 ”をクリックしてください。
- 岐阜大学, 総合情報メディアセンター
URLをクリックして「Web サイトのセキュリティ証明書には問題があります」のページが表示された場合は(学内のサーバですので問題ありませんので),「このサイトの閲覧を続行する (推奨されません)」をクリックしてください。
- 久留米大学, 情報教育センター
Internet Explorer 7をインストール(アップグレード)後、学内ページの一部を開こうとすると、下のエラーが表示されるようになりますが、「このサイトの閲覧を続行する(推奨されません)。」をクリックすると通常の画面が表示されますのでそのままご利用ください。
利用中は下の図のようにURL欄の背景がピンクになり「証明書のエラー」と表示されます。
- 専修大学, Web履修登録
「証明書に関するセキュリティの警告」が表示されますので、「はい」や「このサイトの閲覧を続行する」をクリックしてください。
■ オレオレ証明書の区分 第三版
2005年11月18日の日記「オレオレ証明書の区分 改訂版」を改定する。第六種を変更した。
- 第一種オレオレ証明書
- 不特定多数に利用させることを想定していて、ルート証明書もサーバ証明書もインストールさせるつもりのないもの。
- 第二種オレオレ証明書
- 不特定多数に利用させることを想定していて、ルート証明書かサーバ証明書をインストールするよう促しているが、インストール方法として安全な手段が用意されていないもの。
- 第三種オレオレ証明書
- 不特定多数に利用させることを想定していて、ルート証明書かサーバ証明書をインストールするよう促しており、安全なインストール方法が用意されているもの。
- 第四種オレオレ証明書
- 特定の者だけに利用させることを想定しているもの。
- 第五種オレオレ証明書
- 正規の認証局から取得したサーバ証明書であるが、一部のクライアントでその認証局がルートとして登録されていないもの。
- 第六種オレオレ証明書
- 正規の認証局から取得したサーバ証明書であるが、使い方を誤っているもの。(中間認証局から取得したサーバ証明書なのに、中間認証局の証明書をサーバに設置していないために、クライアントが認証パスを検証できないもの。あるいは、サーバ証明書のホスト名と実際に使用するサーバのホスト名が一致していないものなど。)
*1 この事例は、2006月9月12日の日記「「『サイト名と一致しません』という項目のみの警告であれば問題ありません」?」でも書いていたが、当時はまだ、警告は出るものの、「問題ありません」という説明は存在していなかった。IE 7が普及するにつれておのずと過ちに気づくだろうと思って、指摘の電話はしなかったのだが、いつのまにかこんな事態になっていた。
*2 2005年8月2日の日記「どんなにセキュリティ機能を追加してもそれを設定で殺させる虫が湧いてくる」参照。
*3 今回のケースは、正規の認証局から発行されていて、ホスト名が異なるだけの証明書だから、問題がないと業者は言っているのだろうが、問題ないわけがない。盗聴者は、別のサイト用の正規の証明書を取得して、それを使って盗聴するだろう。そのとき、「赤くなっていても問題ありません」というのでは、盗聴されている状況とそうでない状況とが区別できない。「利用の都度、証明書の発行先を確認してください」という説明なら許されるかといえば、そうでもない。なぜなら、最初のエラーで証明書の発行先を確認しても、次のアクセスで、盗聴者が盗聴者用の証明書を送ってきた場合に、確認できるかが問題となる。これはブラウザの実装しだいであり、再び警告が出るとは限らない。
*4 北越銀行については、2日の時点で担当者と話すことができ、説明を完了した。武蔵野銀行については、2日は担当者から折り返しの電話が来なかったので、12日に再び電話して説明を完了した。
*5 加えて、「OU」が「Operations」というのも馬鹿みたいな名称だ。
*6 本来は、銀行ごとのドメイン名の下にホスト名をDNS登録して、銀行のサーバ証明書を取得した方が良い。つまり、https://www.cns-jp.com/hokuetsu/ とするのではなく、https://cns.hokuetsubank.co.jp/ とするのが望ましい。インターネットバンキングならばそうするべきであることはこれまでも書いてきた(2005年2月20日の日記「フィッシング防止のため地方銀行はこうするべき」参照)。しかし、このASPは単なる情報提供サービスにすぎないことから、インターネットバンキングほどのセキュリティは必要ないという考え方もあり得るのだろう。つまり、各銀行は、この情報サービスが「地銀ネットワークサービス株式会社」の提供であることを利用者に明示して、ドメイン名が cns-jp.com であることを周知して使ってもらうというのは、あり得る選択ではある。その選択がありであるにしても、現在のこのシステムの設計は出鱈目だ。
*7 負荷分散のために銀行ごとにばらばらのホストが必要だったのかというとそうでもない。実際、警告の出るこれら7つの銀行用のサイトは、皆同じ IPアドレスで提供されており、意味もなくバーチャルホストで運営されている。
- はてなブックマークコメント ×39 : 36, 2, 1 (2007-11-18)
- http://www.hatena.ne.jp/ ×95 (2007-11-18)
- http://xn--n8j3a4dxap8m.gaasuu.com/ ×11 (2007-11-18)
- http://xn--n8j3a4dxap8m.gaasuu.com/entry/4240 ×26 (2007-11-18)
- http://fastladder.com/reader/ ×12 (2007-11-18)
- Bloglines ×47 : 5, 2, 2, 2, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1 (2007-11-18)
- はてなRSS ×7 : 1, 1, 1, 1, 1, 1, 1 (2007-11-18)
- del.icio.us ×4 : 1, 1, 1, 1 (2007-11-18)
- グーグル ×230 : 76, 56, 56, 7, 6, 5, 4, 3, 2, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1 (2007-11-18)
- はてなブックマーク ×637 : 300, 133, 94, 14, 12, 12, 10, 9, 7, 5, 5, 4, 3, 3, 2, 2, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1 (2007-11-18)
- http://news.qooqle.jp/ ×4 (2007-11-18)
- yendot.org ×14 : 12, 2 (2007-11-18)
- http://ukai.org/mu/ ×6 (2007-11-18)
- I know アンテナ ×2 : 1, 1 (2007-11-18)
- labs.ceek.jp/hbnews/ ×29 : 17, 12 (2007-11-18)
- http://reader.livedoor.com/reader/ ×220 (2007-11-18)