みずほダイレクトの謎

 ソフトバンク携帯電話のSSL方式変更に伴い、みずほ銀行のモバイルバンキングが一部使えなくなっていましたが、昨日復旧したようです。
 7月3日時点では、みずほダイレクトのトップに以下のように表示されていました。URLは魚拓のものです。

現在、ソフトバンクの携帯電話からアクセスいただいた、みずほダイレクト(モバイルバンキング)の[ネット決済振込サービス]および[Pay-easyペイジー)税金・料金払込みサービス]において、一部のお取引がご利用いただけません。「ご利用の端末のユーザーIDを「ON」に設定し、再度アクセスしてください。」と表示された場合には、パソコンなどでご利用ください。
お客さまには大変ご迷惑をおかけしておりますことをお詫び申しあげます。
(原因につきましては現在調査中です。)

http://megalodon.jp/2011-0703-0032-51/www.mizuhobank.co.jp/direct/index.html

 「ご利用の端末のユーザーIDを「ON」に設定し、再度アクセスしてください。」というエラーメッセージから、私は以下のように推測していました。

  • みずほダイレクトはSSLで運用している
  • ソフトバンク・ケータイのユーザIDを用いた「かんたんログイン」に対応している
  • secure.softbank.ne.jpの廃止に伴い、SSLではユーザIDを取得できなくなったのでシステムが動かなくなった

 このため、次のように対応すると予想していました。ソフトバンク端末の場合にかんたんログインをやめるか、ユーザIDではなく端末製造番号によるかんたんログインに切り替えるか、です。後者は好ましくありませんが、やむを得ずそうするかもしれないと思っていました。
 ところが昨日、いくつかの銀行のモバイルバンキングのURLを確認すると、多くの銀行がsecure.softbank.ne.jp経由のママになっていました(昨日の日記参照)。みずほ銀行も、secure.softbank.ne.jp経由のままです。
 secure.softbank.ne.jpは完全になくなるのではなく、公式サイトの一部(ホワイトリスト)で利用が続くとアナウンスされていましたので、そのこと自体はおかしくありませんが、モバイルバンキングのサイトがそれだったわけですね。
 しかし、ここで1つなぞが産まれました。secure.softbank.ne.jp経由が継続されたのに、どうしてトラブルになったのでしょうか。

 そして、昨日夕方には、みずほ銀行のトラブルは解消されたようです。アナウンスを引用します。

6月30日未明より、ソフトバンクにおけるネットワークの仕様変更にともない、ソフトバンクの携帯電話からアクセスいただいた、みずほダイレクト(モバイルバンキング)の[ネット振込決済サービス]および[Pay-easyペイジー)税金・料金払込みサービス]について、一部のお取引がご利用いただけない事象が発生しておりましたが、現在ご利用可能となっております。

http://www.mizuhobank.co.jp/direct/info/info110705.html

 関係者の皆様はお疲れ様でした。しかし、次に気になる文言が。

また、みずほダイレクト(モバイルバンキング)へのアクセス時に次のメッセージが表示される可能性がありますが、内容につきましては以下をご参照ください。

「このサイトは安全でない可能性があります。よろしいですか?」
→「はい」を選択してお進みください。「いいえ」を選択した場合はサイトへのアクセスが中断されます。
「はい」を選択後、遷移先のサイトのURLをご確認いただき、みずほ銀行のサイトであることをご確認のうえ、みずほダイレクト(モバイルバンキング)のログインを行ってください。
下記のみずほ銀行のURLと異なる表示がされた場合は、お手数ですが[お問い合わせ先] までご連絡ください。
[みずほ銀行のURL]
https://secure.softbank.ne.jp/P221-XXX.jskypl.jp-t.ne.jp
https://p221-XXX.jskypl.jp-t.ne.jp
https://P221-XXX.jskypl.jp-t.ne.jp
(XXXの部分には116〜120のいずれかが表示されます)

http://www.mizuhobank.co.jp/direct/info/info110705.html

 赤字にした部分は、今時それはないだろうと思うわけですが…
 では、やってみようと思い、手元のソフトバンク端末を用いてみずほ銀行のログイン画面を見てみました。Yahoo!ケータイの公式メニューから順にたどってみずほダイレクトのページに進みます。私は口座がないので、入口までです。
 すると、「このサイトは…」というエラーメッセージは出ません。URLを確認すると、「https://secure.softbank.ne.jp/P221…」になっていました。
 ここで、画面からURLを変更し、「secure.softbank.ne.jp/」を削除してEnd-to-EndのSSLにすると、今度は「このサイトは安全でない可能性があります。よろしいですか?」というエラーメッセージが。
 まさかオレオレ証明書を使っているわけもないしと思い、証明書を表示させると、正規の証明書です。エラーの原因はソフトバンクの技術情報ページを見て理由が分かりました。みずほ銀行の使っている証明書は「Verisign Class 3 Primary CA - G3」というタイプですが、これはソフトバンク端末の一部でエラー表示になることが明記されていました。
 つまり、こうでしょう。従来はsecure.softbank.ne.jp経由だったので、secure.softbank.ne.jpが認識する証明書が使えたわけで、「Verisign Class 3 Primary CA - G3」はその1つだったのでしょう。しかし、End-to-EndのSSLに変更すると、この証明書は端末側で認識できなかったのでしょう。

かんたんログインはどうか

 次に、かんたんログインについても調べてみました。
 まず、End-to-Endの接続のまま、かんたんログイン設定の画面に遷移し、契約者番号と暗証番号を空のまま登録ボタンを押してみました。すると、ユーザIDをONにせよというエラーメッセージになります。
 私はここで混乱しました。End-to-EndのSSLではユーザIDは送信されません。このIDはゲートウェイが付与しており、End-to-EndのSSLではゲートウェイはIDの付与(一種の改ざんになる)はできないからです。しかし、エラーメッセージと挙動から判断するに、事前の予想「端末製造番号でかんたんログインを実装」は外れたようです。
 そこで、secure.softbank.ne.jp経由のURLに戻して同じことをすると、今度は契約者番号と暗証番号が間違っている旨のエラーに変わります。やはり、ユーザIDを見ているようです。
 実験はここまでなのですが、以下のような謎が残ります。

  • 「このサイトは安全でない可能性があります。よろしいですか?」が表示されるのはどのようなケースか
  • 上に関連して、End-to-EndのSSLが画面遷移上選択されるケースはあるのか
  • End-to-EndのSSLにおいてはユーザIDは使えないが、そのようなケースは想定されているのか
  • 今までトラブルになっていた原因はなんだったのか

 そして、謎ではありませんが、やはり以下は言っておかなければ。

  • 『「このサイトは安全でない可能性があります。よろしいですか?」→「はい」を選択してお進みください』は、やっぱりまずい

追記1

 正規の証明書を使っているといっても、証明書のエラーメッセージが表示されても良いというわけではありません。本当に正規の証明書を使っているかどうかは、証明書のエラーが表示されないということでしか分からないわけで、その意味で、証明書のエラーメッセージを無視させることはとてもまずいと思います。
 証明書のエラーを無視させるくらいであれば、SSLの利用をやめてしまえばよいのにと思いました。携帯電話の場合、通信路の安全性は比較的高いので、考えられるリスクというのは、モバイルバンキングサイトの偽物を利用させられることです。SSLはそのために役に立つわけですが、この場合は、

  • ケータイの場合アドレスバーがないのでドメインの確認が難しい
  • 頑張ってドメインを確認しても、みずほ銀行であることがとても確認しにくいドメイン名になっている
  • 証明書のエラーを無視させているので、SSLがあてにならない

という理由から、にせものをつかまされるリスクは大きいと思います。みずほ銀行さんは、フィッシングサイトのようなウィルスに関するリリースを出しているわけですから、この問題はもっと切実にとらえる必要があります。
 このため、にせサイトをつかまされない方法をもっと大々的に告知すべきでしょう。一例として、利用者に、公式メニュー→オンラインバンキング→都市銀行みずほ銀行、という安全な経路で遷移し、そのトップページを携帯電話にブックマークしてもらう方法があります。加えて、メールに記載されたURL経由で、サイトを絶対に利用してはならないと注意喚起するべきです。

追記2

 これはみずほ銀行に限らないことですが、secure.softbank.ne.jpを今でも利用しているサイトは、早々に自社ドメインに引っ越すべきだと考えます。現在、攻撃者がsecure.softbank.ne.jp上に罠サイトを設けることはできなくなりましたが、secure.softbank.ne.jpを利用しているサイトに一箇所でもクロスサイト・スクリプティング(XSS)脆弱性があれば、secure.softbank.ne.jpを利用しているサイト全体が影響を受けます。XSS脆弱性の影響範囲は、ドメイン全体だからです。詳細は[PR]に載せた拙著を参照下さい。
 つまり、secure.softbank.ne.jpを使っている限り、サイトの安全性は自社だけでは担保できないことになります。自社がしっかりやっていても、secure.softbank.ne.jpを使っている他社サイトに脆弱性があれば、その影響を受けるのです。担当者の皆様、これを知って不安になりませんか?


[PR]