オレオレ証明書宣言

-インターネットバンキングの迷路-


最近ヤフオクをちょくちょく利用するようになって、インターネットバンキングの便利さに目覚めました。
真夜中でも休日でも、パソコンでちょいちょいと金額を入力して手続きをすれば、次の営業日にはお金が相手に届きます。
クレジットを使って、引き落とし日まで目の前のおこづかいを使わずに待っている嫌な感じがありません。

しかし、私がインターネットバンキングを使うのには奇妙な制約があります。
口座が妻名義のため、送金したらすぐにインターネットバンキングの使用目的と金額を妻に申告して現金を渡さなければなりません。
最近買ったものといえば「ジープの整備解説書」「ジープの屋根」「隕石」と、妻にしてみれば役に立たないものばかりですから、ウケが悪いのもいたし方ありません。
そこで、自分でインターネットバンキングの口座を持つことを考えました。
と、ここまでは前置きです。

私が既に通帳を持っている銀行で、インターネットバンキングのQ&Aを読んでいたら、こんな一文が載っていました。

Q6   ホームページから資料請求を行おうとすると、「このサイトのセキュリティ証明書には問題があります。(Internet Explorerの場合)」(Netscape Navigatorの場合:「Netscape は、証明書に署名した発行人を認識できません。」)と表示されますが、どうしたらいいのですか?

  これは、SSLに使う電子証明書の発行元が全国労働金庫協会であることによるものです。
したがって、Internet Explorerでは「続行する」、Netscape Navigatorでは「次へ」「次へ」「次へ」「次へ」「完了」「続ける」として電子証明書をインストールしてください。このお手続きは、通信経路を暗号化してお客様の個人情報を保護するために必要ですのでご了承願います。
おおっと。これは「オレオレ証明書」宣言です。

インターネットバンキングなどのセキュリティを必要とする通信を行うときに、「通信を暗号化する」という必要性と「相手がホンモノかどうか確かめる」という必要性があるわけですが、銀行などはその鍵となるデータを「認証局」と呼ばれる会社から買ってきて通信に使うサーバに仕込むわけです。これが証明書です。
ちゃんとした証明書を買ってくれば、パソコンは暗号化通信が必要なときには認証局を手がかりにそれ(その証明書を置いているサーバ、あるいはWebサイト)がホンモノであることを確かめることができます。
ところが、鍵となるデータは自分の会社や、なんとなれば個人でも作ることができます。ニセモノの鍵でも暗号化通信はできますが、ちゃんとした認証局が発行していないものであれば、そのWebサイトがホンモノであるかどうかお客は確かめることはできません。 これが「オレオレ証明書」です。
詳しい説明ははてなキーワードやそのまた出典の高木浩光@自宅の日記を読んでいただければわかる人はわかるでしょう。

この場合は、資料の送付先として自分の住所、氏名、電話番号、生年月日、郵便番号などを入力して、誰がどこに設置したのか保証できないコンピューターに送信しろと言っているわけです。但し暗号化だけはしてやるぞと。

しかしこれは、自分の個人情報をオレオレ詐欺に託すのと同様の行為です。こういうWebサイトはどんな必要性が感じられても相手にしてはいけません。ましてやそんな誰かさんとお金のやりとりをしてはいけません。
世の中にはまだまだセキュリティの器だけ完備していて魂の入っていない会社がたくさんあります。それだけならまだよいのですが、「Internet Explorerでは「続行する」、Netscape Navigatorでは「次へ」「次へ」「次へ」「次へ」「完了」「続ける」として電子証明書をインストールしてください。このお手続きは、通信経路を暗号化してお客様の個人情報を保護するために必要ですのでご了承願います。」などと世間の人に誤った習慣を植え付けようとなさいます。(「問題がある」とInternetExploreが指摘しているのだから、その問題を理解した上で、回避するのが常識。)

ここはたぶん私と取引のあるホンモノの銀行なのです。でもそのセキュリティ意識には目を覆うものがあります。

結局、冒頭のQ&Aにはこういう風に書いてあるべきでしょう。
Q6   ホームページから資料請求を行おうとすると、「このサイトのセキュリティ証明書には問題があります。(Internet Explorerの場合)」と表示されますが、どうしたらいいのですか?

  そういうサイトで個人情報を入力したり、金銭のかかわる取引を行ったりしてはいけません。

私は、何とかしてそおっとこの件について改善してもらえないか、ささやかな苦情をメールで伝えようと「お問い合わせ」のリンクをクリックしてみました。

すると、メールアドレスやメール送信フォームではなくて、銀行名と電話番号と営業時間が書かれた画面が出て来ました。
じゃあ、問題の資料請求フォームからメールを送ってみましょうか。(何でそうなるんじゃ>自分。)

フォームの上に、長々と個人情報の取り扱いについて説明してあり、その次にプライバシーポリシーを提示するページへのリンクがあるようです。

このバナーをクリックしてみたら、・・・リンク切れでした。ポリシーなんてない模様です。

だんだん私は腹が立ってきました。オレオレ証明書を使った送信フォームに、電話番号だけの連絡先、リンク切れのプライバシーポリシー、こんな銀行と私はこれまで取引してきたのかと思えば恐ろしくなります。(ほんとうは、私の取引しているのは中国ろうきんで、やる気のないのは労金連=労働金庫連合会です。)

どうせQ&Aにあるとおり、このフォームは警告が出てうまく送れないはずです。
そのスクリーンショットを撮ってやろうと、私はフォームに自分の住所、氏名、電話番号、生年月日からメールアドレスまできっちり入力して、請求資料の内容に「オレオレ証明書使うなよ。」と明記して送信ボタンを押しました。


あれっ?フォームはあっさり送信されてしまいました。しまったぁぁぁ。


さっそく、Internet Exploreのウィンドウの下のほうに表示されている錠前マークをダブルクリックしたら、
Verisignの正当な証明書が現われました。

あちゃー。やってしもうたー。
オレオレ証明書でないものを、オレオレ証明書であると誹謗するメールを、実名入りで送ってしまいましたよ。私は。

こういうのを分類したら
第七種オレオレ証明書
正規の認証局(中間認証局)から取得した証明書であるが、オレオレ証明書のふりをしているもの。
とでも言うのでしょうか。

たぶんこのサイトは、かつて資料請求フォームだけオレオレ証明書で運用されていた時代があり、不審に感じた利用者の問い合わせが多いためにQ&Aに「オレオレ証明書宣言」を追加したのでしょう。その後、オレオレ詐欺状態が解消したのにQ&Aがメンテナンスされていなかったものと思われます。

このサイトにはもう一つ類似の問題があります。
URLのドメイン名の部分が「rokin.jp」になっていますが、これは汎用.jpドメインで、欲しければ誰でも取得可能なドメイン名です。誰でもこのドメイン名を取得することはできるし、Verisignだってここがrokin.jpであることは証明し得ても労金のサイトであることは証明してくれません。ここはひとつ多少は箔のある(rokinを名称に持つ団体しか取得できない)「rokin.co.jp」か「rokin.or.jp」を使うべきでしょう。
「rokin.or.jp」は「全国労働金庫協会」が取得していますが、「rokin.co.jp」は現在のところなんと空席です。
そして、3日ほどしたら、こんなものが届きました。

私が戯れていたのは、ホンモノの労金のサイトだった模様です。
「なべのさかやき」目次に戻る