■ 地方銀行のEV SSL対応はどうなったか

2005年2月20日の日記で「フィッシング防止のため地方銀行はこうするべき」ということを書いた。つまり、インターネットバンキングのログイン画面のページで、ちゃんと銀行のドメイン名を使用するべきだという話だった。たとえば、NTTデータの「ANSER WEB」を利用してインターネットバンキングのサービスを提供している小さな銀行らは、anser.or.jp というドメイン名のURLのページ上にログイン画面があるため、一般の利用者達にとって、本物と見分けるのが簡単ではなかろうという話だった。

そして今年の4月、次のニュースが出た。

• インターネットバンキングサービスのフィッシング対策を強化！ 〜「EV SSL証明書」と「フィッシングサイト閉鎖サービス」を導入〜, NTTデータ, 2008年4月22日,

  NTTデータでは、こうした状況を踏まえ、サイトの信頼性を確認するための「EV SSL証明書」および「フィッシングサイト閉鎖サービス」を約80の金融機関にご利用いただいているANSER-WEB（アカウントアクセス）ならびに ANSER-WEB（アカウントアクセス）コーポレートエディションに導入し、フィッシング対策の強化を図ってまいります。

  （中略）

  日本ベリサイン株式会社の「ベリサイン グローバル・サーバID EV」は、Internet Explorer7を利用する場合、ソフトのダウンロードを要することなく、正当なサイトであればアドレスバーが緑色表示になり、サイト運営者も表示することができるため、利用者が視覚的にサイトの正当性を確認できる点がメリットと考え、導入を決定しました。

ドメイン名はどうなったのだろうと、地方銀行のいくつかを見に行ってみたところ、なんと、下の図のように、「NTT DATA CORPORATION」と表示されていた。

図1: 運営者が「NTT DATA CORPORATION」と表示された銀行

図2: 緑色部分をクリックしてEV SSL証明書の発行先を確認した様子（Firefox 3の場合）

これにはいささかがっかりした。しかし、まあ、それでもいいかと思うようになった。ANSER WEBを利用している金融機関は80にものぼるというし、それがこの1つのEV SSL採用で、80もの金融機関が対応済みとなるのであれば。NTTデータは著名な会社であるし、銀行のサービスがNTTデータによって運用管理されているであろうことは、多くの人々にとって想像に及ぶものであろう。

この場合、重要なのは、各銀行が利用者に対して「NTTデータに委託している」事実を正直に説明できるかどうかとなる。

いくつかの銀行を見てまわったところ、EV SSL導入を知らせるページが用意されていて、銀行によっては、「当行のインターネットバンキングはNTTデータ社のシステムを利用していることから、組織名には同社の名称が表示されます」といった説明をしているところもあった。銀行によっては「NTT DATA CORPORATION」と表示される理由を説明していないところもある。おかしなプライドがそれを許さないのか、あるいは、単に説明する必要性に気付いていないのか。後者であれば、その銀行の担当者自身、安全にWebを使うことのできない人だろう。

• 十八銀行：お知らせ ＥＶ ＳＳＬサーバー証明書の採用について, 十八銀行

  (2) SSL暗号化通信を表す鍵マークと共に、ウェブサイトを運営している組織名(※)（NTT DATA CORPRATION [JP]）とEV SSLサーバー証明書を発行した認証局（VeriSign によって識別）が表示されますので、それぞれを確認してください。

  (※) 当行のインターネットバンキングはNTTデータ社のシステムを利用していることから、組織名には同社の名称が表示されます。

このことをもっとちゃんと明記するべきだ。ANSERのログイン画面にジャンプする直前の、銀行自身のWebページに書いておくのがよいだろう。

ちなみに、かつて「cyber-biz.ne.jp」という怪しげなドメインにログイン画面を構えていた銀行もたくさんあったが、今ではそのほとんどが銀行自身のドメイン名の上に移転したようだ。（移転といっても、IPアドレスは替わらず同じサーバが使われていると思われる。）

そのうちのいくつかの銀行が、EV SSLを採用したようで、それらではちゃんと銀行の社名が緑色表示されるようになっている。

図3: 運営者として銀行自身の社名が表示される例

■ 「EV SSL対応」と謳われているのにFirefox 3やOpera 9.5では緑にならない銀行

スルガ銀行も、cyber-biz.ne.jp からの移転組で、「EV SSL対応」と謳っている。

• インターネットバンキングの被害防止対策　EV SSL証明書, スルガ銀行

たしかに、Windows VisataのInternet Explorer 7でアクセスすると、EV SSLの緑表示で銀行の社名が表示される（図4）。

図4: Windows VistaのIE 7での表示

ところが、Firefox 3で見ると、図5のように、通常のSSLサイトとして表示されてしまう。同様に、Opera 9.5でも、図6のように、通常のSSLサイトとして表示されてしまう。

図5: Firefox 3での表示

図6: Opera 9.5での表示

また、Windows XP Service Pack 3 のInternet Explorer 7（EV SSL対応のはずだが）で表示したときも、通常のSSLサイトとして表示されてしまう。しかし、Windows Updateの追加インストールで「ルート証明書の更新プログラム」を導入すると、Windows Vistaの場合と同様にEV SSLに対応した緑表示となる。このことは、スルガ銀行のEV SSL証明書の説明ページにも次のように書かれている。

ルート証明書の更新プログラムについて

WindowsXPをご利用のお客さまは、自動的にアドレスバーが緑色にならないため、下記の手順でWindows Updateの作業をしてください。

1. WindowsXPのInternet Explorer 7を使用していることを確認
2. ブラウザメニューの「ツール」を選択
3. 「Windows Update」をクリックし、Windows Updateのページにアクセス
4. 「カスタム」をクリックし、インストール
5. 「追加選択（ソフトウェア）」をクリック
6. 「ルート証明書の更新プログラム」にチェックし、最新のルート証明書をインストール

ルート証明書の更新プログラムが0件の場合は、すでに最新のルート証明書がインストールされています。

インターネットバンキングの被害防止対策　EV SSL証明書, スルガ銀行

どうやら、「EV SSL対応」といっても（しかも同じVeriSign社発行のものであっても）、少なくとも2つのタイプがあるようなので注意が必要そうだ。

スルガ銀行は、なぜわざわざこのような不利なEV SSLを採用したのだろうか。

「スルガ銀行 EV SSL」でググってみたところ、@ITの次の記事が出てきた。

• スルガ銀行、フィッシング詐欺対策として携帯電話対応EV SSL証明書を採用, ＠IT情報マネジメント, 2007年11月8日

  グローバル・サーバID EV for Mobileを導入したサイトにユーザーがアクセスすると、ブラウザのアドレスバーが緑色になり、安全なサイトであることが一目で判別可能になる。同証明書はさらに、PCからのアクセスだけではなく、SSL対応携帯電話からアクセスした際も同じようにサイトの安全性を判別できる。

この記事は間違っている。携帯電話のWebブラウザでEV SSL対応のものはまだ存在しないのだから、「携帯電話からアクセスした際も同じように」「ブラウザのアドレスバーが緑色になり、安全なサイトであることが一目で判別可能になる」などということはない。

なぜこんなおかしな記事が出てしまうかというと、ベリサインの「グローバル・サーバID EV for Mobile」という商品がどういうものなのかわかりにくいためだ。これがどういうものなのかは、ベリサインのFAQを読むとわかる。

• サーバID - グローバル・サーバID EV for Mobile よくある質問, 日本ベリサイン

  Q.グローバル・サーバID EVとグローバル・サーバID EV for Mobileの最も大きな違いは何ですか？

  A: グローバル・サーバID EVは、Windows Vistaに加えて、Windows XPに搭載されたInternet Explorerでもブラウザのアドレスバーを緑色にすることが可能ですが、その一方で、一部の携帯電話端末ではSSL通信ができないということを確認しています。 グローバル・サーバID EV for Mobileでは、SSL通信に対応するほぼすべての携帯電話端末でSSL通信ができるようになります。

つまり、通常のEV SSLでは、携帯電話の少なくない機種で、そもそもSSL接続が正常にできなくなる（オレオレ証明書状態になる）ため、携帯電話で正常に接続できるような特別なEV SSL（CAの認証パスを工夫したもの）を用意したというのが「グローバル・サーバID EV for Mobile」のようだ。「for Mobile」といっても、現在の携帯電話でEV SSLとして意味をなすわけではない。

@ITの記事が参考にしたと思われるベリサインのプレスリリースは、嘘は書かれていないものの、デメリットの存在が非常にわかりにくく書かれているため、@ITの記者は間違えてしまったのだろう。

デメリットは、Windows XPのユーザは「ルート証明書の更新プログラム」を導入しないとEV SSLが有効にならない点とされているが、どうやら他にも、Firefox 3やOpera 9.5でもEV SSLが有効にならないようだ。

ベリサインの用途別の選び方の説明（下の方）には、「現在はPCのみだが、将来的には携帯電話からのアクセスにも対応させる場合」には「グローバル・サーバID EV for Mobile」がよいと勧められている。しかし、これから携帯電話向けサイトを構築するなら、そもそも同一のサーバ証明書を使う必要がない。PC向けサイトでは普通のEV SSLを使用し、ケータイ向けサイトでは別サーバで普通のSSL証明書をもう一枚用意すればよい。

サイトが小規模の場合には別サーバにできない事情があるかもしれないが、複数台のサーバを要する規模のサイトでは、PC向けとケータイ向けはサーバを別にした方がよい。今後もこの種の不都合が出てくるだろう。2048ビットRSAへの対応やSHA-2への対応でも、PCでは先行して進むのに対し、ケータイでは古い機種が残るため遅れると思われる。

スルガ銀行は、EV SSLの説明で、「パソコンだけではなく、携帯電話でも」と先進性を誇っているようだが、単にシステムの都合上そうせざるを得なかったという話で、PC向けとケータイ向けを分離したシステム構成に変更しなかったおかげで、せっかくのEV SSLの有効性を一部のブラウザに限定してしまっている*1わけで、ちっとも先進的でない。

フィッシング詐欺の被害予防に

被害が深刻化しているフィッシング詐欺対策として、EV SSL証明書、「グローバル・サーバID EV for Mobile」（携帯電話併用）を採用し、パソコンだけではなく、近年利用が増加している携帯電話でも、お客さまに安心・安全にご利用いただける環境をご提供します。

インターネットバンキングの被害防止対策　EV SSL証明書, スルガ銀行