>稜山泊フォーラム> ご意見番>公共機関への提案>0812140

新生銀行の姿勢についてご意見いたします!
(セキュリティの感覚がおかしいです)


 迷惑メールに苦慮し、大変なメールアドレス変更を実施している。 140件を越える登録の全てを変更する作業に掛かっているからです。 口座を持つ新生銀行は早々と変更していました。 ところが、未だメールが来るので調べてみると、新生銀行の対応の酷さが見えてきた。
 あるとき、新生銀行からのダイレクトルールがHTMLメールに変更となった。 何の予告も説明も無しにでした。 早々にHTMLメールの危険性を説明し、TEXTメールへの変更を要望したが、『できません』の一言で終わり。
 そうやって、止む無く見れないHTMLに甘受していました。 ところが知らない間にTEXTメールを受信できるようになっています。 強い要望に対して、『できません』と言っていたのです。一報するのが筋ではないでしょうか。 それ以降の対応も不適切だと思います。
 セキュリティが異常に高い(と新生銀行が考えている)部分と、そうやってセキュリティに関して顧客軽視の部分が見受けられます。 是非、改善することをお勧めします。
 ここでは、HTMLメールの怖さを含めて説明します。 新生銀行だけでなく、セキュリティにまじめに取組もうとしている企業、個人は、是非、参考にして頂きたいと思います。

 なお、本来なら、本ページの内容は新生銀行に通知され、適切な対応をお願いすべきです。 しかし、ネットを重視した銀行ではあるのですが、メールでの問い合わせ・通知を受ける姿勢には消極的の様です。 新生銀行のページをいろいろと調べましたが、メールでの問合せ先は分かりません。
 若し、調査不足が原因でしたら、その責めには責任を負うつもりですが、情報開示の問題は残ります。 そういう状況ですので、本件は当面一般情報開示のみとします。 つまり、新生銀行には新生銀行の事情により積極的な伝達ができないという状況です。

【新生銀行に対応して頂きたいこと】
 1.テキストメールへの変更が可能なことをもっと知らしめる仕組みを考えて下さい。
 2.セキュリティキーボードを使わない為の操作を強要しないで下さい。
 3.顧客の事も考えてセキュリティ対策を実施して下さい。
 4.お客からの要望(連絡)にはきちんと回答下さい。
 5.2006年からの対応に対して反省して、仕組み作りをして下さい。


 <目次>
1.HTMLメールの危険性を認識していますか
2.無理やりHTMLを送りつけてきて、危険性を説明しても無視をした
3.改善はしたのだけど
4.パスワードの厳しさとのバランスがおかしい

1.HTMLメールの危険性を認識していますか

 危険なHTMLメールを体験してみてください

 次の資格に囲まれた部分は、私が新生銀行に成りすました、成りすましメールとなっています。 勿論危険ではありません。先ずは、リンクをクリックしてみてください。


2008年12月12日号


ごあいさつ 代表執行役社長

 この度、当行のホームページをリニューアル致しました。 是非、ご覧になってください。次のリンクをクリックすると開きます。
新生銀行のホームページ http://www.shinseibank.com/


注)このメール部分は、危険性を説明するために、提案先のHPデータ、及び、一般公開ページのurlを使用しています。 流用、複写などは固くお断り致します。
All Rights Reserved,Copyright Ryozanpaku Forum

 「http://www.shinseibank.com/」の部分をクリックするとみずほ銀行にリンクすることが分かります。 ここに記載のurlは、確かに新生銀行のものですが、リンク先はみずほ銀行という訳です。
テキストメールだと、この部分がすぐ分かります。

(HTMLメールだと)
 新生銀行のホームページ http://www.shinseibank.com/
(テキストメールだと)
 新生銀行のホームページ <a href="http://www.mizuhobank.co.jp/"> http://www.shinseibank.com/ </a><br>
と見えるからです。これが、テキストメールの威力なのです。
 安全の為に、みずほ銀行を例にすると危険性は分からないかもしれません。 危険な例を2例説明します。

(1) ワンクリック詐欺に誘導する例
 リンク先に次のアドレスを記載している場合が一つの例です。
www1.av-emaki.net/info/?me=yH7zP67Hq7H**************
 urlの「me=」より右の部分が私のメールアドレスをコード化した内容となっています。 コードはご覧のとおり修正していますが、実際に私が受信したメールに記載されていたurlです。 このアドレスをクリックして開いた場合、ページ管理者は、私のメールアドレスの持った人が開いたと分かるのです。 そうして、クリックしたので入会したと主張し、そのメールアドレスに請求書を送りつけてきます。
 上記の例で、実験してみました。 99,040円という中途半端な金額の請求メールが届くようになりました。 結局、1ヶ月に渡って、148通以上のメールが届きました。
(そういうときは、慌てずに無視してください。 被害がなければ、警察も相手にしてくれません。 ただ、耐え忍んでください。)

(2) ウィルス感染の危険性
 前項の例に合わせて、簡単に説明します。
www1.av-emaki.net/info/virus.msi
 こんなに簡単なことはありえませんが、リンク先が実行形式のプログラムだとするとそのプログラムが動作してしまいます。 こういうことが悪意を持って実施される場合は、殆どがウィルスメールです。


 上記の例は、一般のホームページでも起きえます。 しかし、普通にホームページを開くときは、目的を持って開くので、そういうページに行く可能性は少ないです。 ホームページで悪用されるのは、随分前に話題になった騙して開かせるホームページです。 広告のメールに似せて作られたメールのリンクで悪質なホームページに誘導される場合です。 これは特殊な例で、個人宛に届くメールだからこそHTMLがより危険となるのです。

2.無理やりHTMLを送りつけてきて、危険性を説明しても無視をした

 新生銀行との付き合いは、2002年5月に始まります。 店舗もありますが、インターネットを重視したという営業の仕方に興味を持ちました。 さらに、今は随分と縮小しましたが、振込み手数料無料のサービス精神には感嘆でした。
 合わせて、メールマガジンのサービスも始まりました。大体、週に1〜2回の配信でした。 ところが、2006年5月16日から一部のメールがHTMLメールとなりました。 下記の例を見てわかる通り、テキストで閲覧するとまったく意味が理解できません。 ここで問題なのは、予告も問合せもなかった点です。 100を越えるサービスを受けていますが、通知無くHTMLに変更した企業はありません。
 そこで、配信方法をテキストメールに変えようと新生銀行のページを探しました。 しかし、変更の方法が説明されていません。 仕方なく、電話で上記のHTMLメールの問題点を説明し、テキストへの変更を求めました。 その時の回答は、『できません』の一言です。 少々古い話なので、危険性に対する回答は覚えていませんが、その時点で改善されていないのですから、無視されたと思います。
 そういう状況で、受信を中止しようかと考えてながら、だらだらと受信を続けていました。 2007年7月12日のことです。本文は、HTMLで読めませんが、タイトルで重要性に気付き内容を調査しました。 その結果で私がどう対応したか、またそのメールがどう見えたかを説明します。 以下のメール文をご覧下さい。実際に私が届いたメールに返信したメール文です。

 ここで注目して頂きたいことを説明します。
(1)HTMLメールの本文は、見えない人がいること。
(2)元のメールがセキュティに関する重要なメールであること。
(3)テキストメールへの変更可能となったことが、HTMLで通知されていること。
(4)変更できないといっているのに回答が無かったこと。
 メール本文では分かりませんが、1年以上経った現時点でも回答が来ていません。


Date: Sat, 14 Jul 2007 16:27:40 +0900
Subject: Re: 【新生銀行 重要なお知らせ】偽のウェブサイト(フィッシングサイト)へ誘導するフィッシングメールにご注意ください

ご担当殿

 この様な重要な内容を、当方が拒絶しているHTMLメールで送っても
内容は分かりません。
それともHTMLを受けたくない客は、客ではないとでも。
当方がHTMLメールを拒絶しているのは、HTMLメールにセキュリティ上の
問題があるからです。にも係わらず、この様なセキュリティ対策の内容を
HTMLメールで送るとは、貴行の姿勢も問題と言わざるを得ません。
是非改善下さい。

 ここまで書いた後、気になって下記データを良く見ると
>TEXT/HTML形式の変更
という部分が見れます。以前より要望を出していて、改善されたとの
通知はありませんでした。さらに、下記の様にテキストで見て崩れた
内容では、変更方法が分かりません。
ログインしてメールの変更を見ましたが、テキストメールへの
変更設定はありません。
とことん煩わされます。

以上

新生銀行 さんは書きましたThu, 12 Jul 2007 21:43:46 +0900 (JST)
>【新生銀行 重要なお知らせ】 偽のウェブサイト(フィッシングサイト)へ誘導するフィッシングメールにご注意くださいEnglish follows Japanese
>2007年7月12日号偽のウェブサイト(フィッシングサイト)へ誘導する
>フィッシングメールにご注意くださいお客さま各位平素より新生銀行を、ご利用いただきまして誠にありがとうございます。さて、平 成19年7月11日夕刻より、偽のウェブサイト(フィッシングサイト)へ誘導するためのフィッシングメール(英語)が発信されていること が判明いたしました。フィッシングメールの件名はいくつか存在し、典型的な例は下記となっております。(下記以外も存在する可 能性がありますのでご注意ください。)Regular verification of Internet Bank Accounts!We regret to inform you!You access has been limited!Shinsei Bank Account notification XXSuspend your account!security notification shinseibank member! 等これら のフィッシングメールは、偽の「新生パワーダイレクト」サイトへ誘導し、お客さまの口座番号や暗証番号などの個人情報を不正に 入手するためのもので、リンク先のサイトは、新生銀行のロゴマークを使い、きわめて精巧に当行の英語のログインサイトを模倣し たものです。このようなフィッシングメールは、新生銀行とは一切関係がございません。また、新生銀行では、口座番号や暗証番 号等、重要なお客さま情報をEメールで直接お尋ねすることはございません。万が一このようなメールを受信されましても、メール に記載されているリンク等からは絶対にアクセスしないでください。また多くのフィッシングメールは、メールアドレスを無作為に生 成して送信する仕組みになっており、今回発生したフィッシングメールについても当行の口座をお持ちかどうかに関りなく、無差別 に送信されていることを確認しております。このようなEメールが届きましたら、絶対にその指示に従うことなく、直ちにEメールを削 除してください。万が一、このフィッシングサイトからログインされてしまったお客さまがいらっしゃいましたら、直ちに4桁の暗証番号 の変更手続きなどを承りますので、速やかに、新生パワーコール(0120-456-007)までご連絡ください。ご不明な点がございました ら、新生パワーコールまでご連絡ください。口座をお持ちの方:0120-456-007口座をお持ちでない方:0120-456-860新生銀行の Webサイトであることのご確認方法はこちらをご覧ください。新生銀行のWebサイトであることのご確認方法はこちらをご覧くださ い。Warning: Please be careful of Phishing e-mails!!Fraudulent e-mails in English have been reported since 11th of July 2007.Subjects of these emails have been confirmed as below, but there may be more.Regular verification of Internet Bank Accounts!We regret to inform you!You access has been limited!Shinsei Bank Account notification XXSuspend your account! security notification shinseibank member! Etc.These e-mails guide you to a Phishing site of Shinsei PowerDirect login site in English, and capture customer's account number, PIN and PowerDirect password.Shinsei Bank never sends emails to ask you for or notify you of your PIN or password, and these sort of e-mails are NOT related to Shinsei Bank.If you receive a suspicious email never access the URL and open the given site, or enter your credentials such as your PIN in a fictitious site but delete the e-mail immediately.It has been confirmed that most of these Phishing e-mail addresses were created randomly and sent to anyone by a spam operation, regardless of Shinsei Bank's account holder or not.Please call Shinsei PowerCall (0120-456-007) immediately if you received these kind of fraudulent emails.If you have accidentally accessed to this Phishing site, please call Shinsei PowerCall 0120-456-007immediately, that will help you to change your PIN number.Account holder:0120-456-007Non-account holder:0120-456-860Please click here how to verify a site's legitimacy if it is Shinsei Bank's Website.Please click here how to verify a site's legitimacy if it is Shinsei Bank's Website.安全なお取引のために金融 機関を装った電子メール詐欺等には十分ご注意ください配信停止はこちらからメールアドレス、TEXT/HTML形式の変更、配信停 止|Click here to unsubscribe from this e-mail magazine service.ご注意事項当行ウェブサイトの安全性の確認方法をご覧の 上、金融機関を装った電子メール詐欺等には十分ご注意ください。Shinsei Bank Limited. All Rights Reserved.

 回答はありませんでしたが、テキストメールへの変更ができなかった理由は本日知りました。 登録のメールアドレスは変更していたのですが、何故か古いアドレスに送ってくるのです。 調べたら、メールマガジンは、契約者宛ではなく、別に一般の人として登録されたものだったのです。 だから、契約者の登録を調べても出てこなかったのです。
 後で調べたら、元々の重要なお知らせは、私が上記メールで問合せた2日後にテキストメールで届いていました。 契約者宛には、別途送ったという訳です。 しかし、重要なお知らせなのに、契約者には、一般の人より4日も後に通知したのでしょうか。 どう見ても、私の指摘を受けて別途通知したとしか思えません。

3.改善はしたのだけど

 前項の内容を見ると、お知らせは無かったかもしれないのですが、改善されたことは分かります。 しかし、改善したことの周知は依然していません。というより、後退したようです。 上記の通り、2006年5月16日の時点では、HTMLメールの本文にテキストメールへの変更を説明していた様です。 ところが、現在のメールでは説明していません。
 以下の新生銀行からの案内を見てください。 細かな説明は不要だと思います。

本日(2008年12月14日)に受信したHTMLの画面
(解析して表示した画面のコピーです。画面上では、テキストメールへの変更は説明していません。)


現在の新生銀行のホームページでお知らせしている画面
(14行目にテキストメールへの変更方法が説明されています。)


4.パスワードの厳しさとのバランスがおかしい

 私は、新生銀行は、セキュリティに対して真剣には取組んでいると思います。 しかし、責任逃れの気持ちを非常に強く感じます。 企業のセキュリティの仕組みを公表するわけにはいかないので、詳細は説明しません。 しかし、他の銀行でも実施しているセキュリティキーボードの採用は、どこでも実施している内容なので説明します。 その使用方法と比較すると、責任逃れの気持ちが顕著に現れています
 セキュリティキーボードとは、画面に表示されたキーボードのことです。 PCに接続されたキーボードを使用せずに、画面に表示されたキーボードで入力する仕組みです。 この方法が普及したのは、ネットカフェが流行ってきたからでした。 ネットカフェのPCは、誰でも使うことから、キーボードの操作を記録する悪意のソフトが組み込まれることがあります。 そういうPCで銀行取引をすれば、口座番号とパスワードが盗まれるという訳です。
 新生銀行では、そういう用途の契約者を保護する為に、そのままではセキュリティキーボードを使用しないとパスワードは入力できません。 一見して契約者を保護している様に見えます。 しかし、取引の為にバスワードを入力する画面は、いくつもあります。 その度にセキュリティキーボードを使用させられては溜まりません。
 そもそも、口座取引をネットカフェで実施すること事態がおかしいのです。 まともな人なら、そんな覗き見されるような場所では取引をしません。 若しいるとすれば、最近問題となっているおれおれ詐欺の犯人です。 どこからアクセスしているか知られない為にネットカフェを使用しているのです。 そうです、新生銀行はまともな契約者に不便を与えながら、おれおれ詐欺の犯人を保護しているのです。
 ちょっと脱線しました。
 そういう観点では、新生銀行はセキュリティに真剣に取組んでいるように見えます。 しかし、その保護の対象は何でしょうか。 そうです。口座取引そのものに対しては真剣に取組んでいるのです。 しかし、上記の様に顧客側での危険性については、全く考慮していないのです。 つまり、責任をとらされる口座取引は、顧客に不便を掛けても良い。 しかし、責任を負わない顧客側の問題には目をつぶっている。 それが、新生銀行に見られるセキュリティに対する姿勢の問題なのです。

 因みに、セキュリティキーボードの使用について要望を伝えたことがあります。 他行と同じ様に必要な人のみが設定して使用する様に改善して欲しいと。 やはり、回答はそっけなく、『できません』の一言でした。
 私は、若し、どうしても必要と考えるなら、個人毎に設定をしていちいち操作をしなくても良い様にすべきだと思います。 だって、5つの銀行とオンラインバンキングをしています。 他にも、カード会社のHPを含めて100以上のパスワードを入れるページを利用しています。 その中で、セキュリティキーボードを強要しているのは、新生銀行だけなのです。
 それが、強力に契約者を守るなら意味があると思いますが、私はそう思いません。 それによって、危険なネットカフェでの操作を誘導しているとは考えないのでしょうか。

著作権とリンクについて個人情報とセキュリティについて /All Rights Reserved,Copyright Ryozanpaku Forum 2008-