銀行推奨のフィッシング・不正送金対策

この記事はセキュリティの考え方で賛否あると思うので、次の一文を読んで考え方が合わないなと思ったら読むのを止めて欲しい。

最近目に余るなと思うのが日本の多くの銀行が採用しているというか利用者に勧めているフィッシング対策、不正送金対策。やりたいこと自体は解らなくもないが、銀行の自己満足のためだけに利用者のPCに「セキュリティソフトと称する怪しげな何か」をインストールさせてPCのセキュリティをわけのわからない状態にするというもの。

どれくらい「怪しげな何か」に汚染されているのか調べてみた。
以下は主に都銀と地方銀行など、金融機関コード1000番以下の銀行( & ゆうちょ銀行)の怪しい「セキュリティソフト」の採用状況。花スタンプがあるところは怪しいソフトを「採用していないと思われる」ところ。見落としてたらスンマセン。

0001 みずほ銀行RapportLINK
0005 三菱東京UFJ銀行RapportLINK
0009 三井住友銀行PhishWallプレミアムLINK
0010 りそな銀行SaAT NetizenLINK
0017 埼玉りそな銀行SaAT NetizenLINK
0033 ジャパンネット銀行よくがまんしましたLINK
0034 セブン銀行よくがまんしましたLINK
0035 ソニー銀行よくがまんしましたLINK
0036 楽天銀行よくがまんしましたLINK
0038 住信SBIネット銀行PhishWallプレミアムLINK
0039 じぶん銀行よくがまんしましたLINK
0040 イオン銀行SaAT NetizenLINK
0041 大和ネクスト銀行よくがまんしましたLINK
0116 北海道銀行PhishWallプレミアムLINK
0117 青森銀行SaAT NetizenLINK
0118 みちのく銀行PhishWallプレミアムLINK
0119 秋田銀行SaAT NetizenLINK
0120 北都銀行PhishWallプレミアムLINK
0121 荘内銀行PhishWallプレミアムLINK
0122 山形銀行PhishWallプレミアムLINK
0123 岩手銀行SaAT NetizenLINK
0124 東北銀行よくがまんしましたでも説明不足LINK
0125 七十七銀行SaAT NetizenLINK
0126 東邦銀行PhishWallプレミアムLINK
0128 群馬銀行SaAT NetizenLINK
0129 足利銀行SaAT NetizenLINK
0130 常陽銀行SaAT NetizenLINK
0131 筑波銀行SaAT NetizenLINK
0133 武蔵野銀行PhishWallプレミアムLINK
0134 千葉銀行PhishWallプレミアムLINK
0135 千葉興業銀行SaAT NetizenLINK
0137 東京都民銀行PhishWallプレミアムLINK
0138 横浜銀行PhishWallプレミアムLINK
0140 第四銀行RapportLINK
0141 北越銀行SaAT NetizenLINK
0142 山梨中央銀行PhishWallプレミアムLINK
0143 八十二銀行RapportLINK
0144 北陸銀行PhishWallプレミアムLINK
0145 富山銀行PhishWallプレミアムLINK
0146 北國銀行よくがまんしましたLINK
0147 福井銀行SaAT NetizenLINK
0149 静岡銀行よくがまんしましたLINK
0150 スルガ銀行PhishWallプレミアムLINK
0151 清水銀行PhishWallプレミアムLINK
0152 大垣共立銀行PhishWallプレミアムLINK
0153 十六銀行RapportLINK
0154 三重銀行SaAT NetizenLINK
0155 百五銀行PhishWallプレミアムLINK
0157 滋賀銀行SaAT NetizenLINK
0158 京都銀行PhishWallプレミアムLINK
0159 近畿大阪銀行SaAT NetizenLINK
0161 池田泉州銀行PhishWallプレミアムLINK
0162 南都銀行SaAT NetizenLINK
0163 紀陽銀行SaAT NetizenLINK
0164 但馬銀行SaAT NetizenLINK
0166 鳥取銀行PhishWallプレミアムLINK
0167 山陰合同銀行PhishWallプレミアムLINK
0168 中国銀行SaAT NetizenLINK
0169 広島銀行SaAT NetizenLINK
0170 山口銀行Rapport
PHISHCUT
LINK
LINK
0172 阿波銀行FFRI LimosaLINK
0173 百十四銀行Rapport
PHISHCUT
LINK
LINK
0174 伊予銀行SaAT NetizenLINK
0175 四国銀行SaAT NetizenLINK
0177 福岡銀行SaAT NetizenLINK
0178 筑邦銀行SaAT NetizenLINK
0179 佐賀銀行PhishWallプレミアムLINK
0180 十八銀行SaAT NetizenLINK
0181 親和銀行SaAT NetizenLINK
0182 肥後銀行PhishWallプレミアムLINK
0183 大分銀行PhishWallプレミアムLINK
0184 宮崎銀行RapportLINK
0185 鹿児島銀行SaAT Netizen
PhishWallプレミアム
LINK
0187 琉球銀行RapportLINK
0188 沖縄銀行PhishWallプレミアムLINK
0190 西日本シティ銀行PhishWallプレミアムLINK
0191 北九州銀行Rapport
PHISHCUT
LINK
0288 三菱UFJ信託銀行RapportLINK
0289 みずほ信託銀行よくがまんしましたLINK
0294 三井住友信託銀行RapportLINK
0297 日本マスタートラスト信託銀行不明不明
0300 SMBC信託銀行よくがまんしましたLINK
0304 野村信託銀行よくがまんしましたLINK
0307 オリックス銀行SaAT NetizenLINK
0322 新銀行東京SaAT NetizenLINK
0324 日本トラスティサービス信託銀行不明不明
0325 資産管理サービス信託銀行不明不明
0397 新生銀行よくがまんしましたLINK
0398 あおぞら銀行SaAT NetizenLINK
0401 シティバンク銀行よくがまんしましたLINK
0402 ジェーピーモルガン銀行不明不明
0403 アメリカ銀行不明不明
0411 香港上海銀行不明不明
0430 ドイツ銀行不明不明
0472 SBJ銀行不明不明
0501 北洋銀行SaAT NetizenLINK
0508 きらやか銀行PhishWallプレミアムLINK
0509 北日本銀行SaAT NetizenLINK
0512 仙台銀行PhishWallプレミアムLINK
0513 福島銀行PhishWallプレミアムLINK
0514 大東銀行SaAT NetizenLINK
0516 東和銀行SaAT NetizenLINK
0517 栃木銀行PhishWallプレミアム
SaAT Netizen
LINK
LINK
0522 京葉銀行PhishWallプレミアム
SaAT Netizen
LINK
LINK
0525 東日本銀行PhishWallプレミアムLINK
0526 東京スター銀行SaAT NetizenLINK
0530 神奈川銀行よくがまんしました(不明)LINK
0532 大光銀行PHISHCUTLINK
0533 長野銀行PhishWallプレミアムLINK
0534 富山第一銀行SaAT NetizenLINK
0537 福邦銀行PhishWallプレミアムLINK
0538 静岡中央銀行PhishWallプレミアムLINK
0542 愛知銀行SaAT NetizenLINK
0543 名古屋銀行PhishWallプレミアム
SaAT Netizen
LINK
0544 中京銀行SaAT Netizen
PHISHCUT
LINK
LINK
0546 第三銀行SaAT NetizenLINK
0554 関西アーバン銀行よくがまんしましたLINK
0555 大正銀行SaAT NetizenLINK
0562 みなと銀行よくがまんしましたLINK
0565 島根銀行よくがまんしましたLINK
0566 トマト銀行SaAT NetizenLINK
0569 もみじ銀行Rapport
PHISHCUT
LINK
LINK
0570 西京銀行よくがまんしましたLINK
0572 徳島銀行PhishWallプレミアム
SaAT Netizen
LINK
0573 香川銀行PhishWallプレミアム
SaAT Netizen
LINK
0576 愛媛銀行PhishWallプレミアム
SaAT Netizen
LINK
0578 高知銀行PhishWallプレミアム
SaAT Netizen
LINK
0582 福岡中央銀行よくがまんしましたLINK
0583 佐賀共栄銀行PhishWallプレミアム
SaAT Netizen
LINK
0585 長崎銀行PhishWallプレミアム
SaAT Netizen
LINK
0587 熊本銀行SaAT NetizenLINK
0590 豊和銀行PhishWallプレミアム
SaAT Netizen
LINK
0591 宮崎太陽銀行PhishWallプレミアム
SaAT Netizen
LINK
0594 南日本銀行PhishWallプレミアム
SaAT Netizen
LINK
0596 沖縄海邦銀行PhishWallプレミアム
SaAT Netizen
LINK
0597 八千代銀行SaAT NetizenLINK
9900 ゆうちょ銀行PhishWallプレミアムLINK

ソニー銀行はサイト内検索を行うと「株式会社セキュアブレインが提供するサービス「PhishWallクライアントレス」を採用しています。」という結果を得ることができるが、そのページは更新済みでそこには「PhishWallクライアントレス」の記載は無い。

横浜銀行は何故かboy.co.jpという爪の先ほども横浜銀行を想像させないドメイン名。オンラインバンキングログイン画面はparasol.anser.ne.jpというドメインでEV SSL証明書はNTT DATA CORPORATION。横浜銀行だと信用できる要素がどこにも無い。こんなので取引きしろっていうのだからある意味すごい。
PhishWallプレミアムについて「必ずインストールしてください!」と表示されているが、そんな怪しげなサイトからアプリをダウンロードしたりインストールするってのは一番やっちゃいけないこと。

北國銀行のウェブサイトには「インターネットバンキングの「ご契約者番号」「ログオンパスワード」を入力する画面で「Rapport」のダウンロードを装う偽画面が存在していることが確認されております。」の記載と偽画面の画像有り。偉い。

十六銀行はRapport未導入状態でログインしようとすると導入を薦めるポップアップ画面を表示。やりすぎ。

山陰合同銀行はPhishWallプレミアムを導入がビジネスインターネットバンキングの不正送金被害にかかる補償制度の補償要件と記載。法人顧客の端末に怪しげなアプリをインストールさせようとする時点で如何なものかだが、その要件なに?

佐賀銀行は「インターネットバンキングを安全にご利用いただくために(PhishWallプレミアムを)必ずご使用下さい」と表示していながら「「PhishWallプレミアム」をご利用の結果、お客さまが被ったいかなる被害についても、佐賀銀行は責任を負いません。」とのこと。責任過ぎるのでは?

北洋銀行はSaAT Netizenを導入していないパソコンでは、都度指定方式による振込・振替が利用できないというかなり異常な状態。そんなことするならいっそのことオンラインバンキングの提供をやめたら?

琉球銀行。「りゅうぎんではお客さまに安心してインターネットバンキングをご利用いただくため、パソコン向けのウィルス対策ソフト「Rapport(ラポート)」を無償で提供しております。このソフトをお使いになっているパソコンに導入していただくことで、インターネットバンキング取引の安全性が格段に向上します。ぜひみなさまのパソコンに導入して、ご利用頂きますようご案内いたします。」何がどのように安全になるというのか清々しいまでに一切の説明無し。

福邦銀行は「PhishWallプレミアム」未導入状態でログインしようとすると導入を薦めるポップアップ画面を表示。やめとけ。

中京銀行は補償(補てん)を行う条件がSaAT Netizen利用すること。なんだその条件?

幾つかの銀行はセキュリティ関係のページにはすごくまともなこと書いててそこには「怪しげなセキュリティソフトを称する何か」については書いて無くて「いいねぇ」と思ったら、よく探すと密かに採用しててオイオイみたいな。まぁ、目立つところに表示されてなくて利用を盛大に勧めてないだけマシなのか?

フィッシング対策協議会というJPCERTを中心とした組織がある。ここがまともならこんな酷い状態にはならなかったようにも思うが、協議会のメンバーがその「怪しげな」を銀行に売ってる企業。これじゃ悪い方にしか進まない。オブザーバー何してんの?見てるだけ?

銀行も銀行で、他所が採用してるからとかよくわからんけど営業の押しが強いからとかで流されず自分のところでそのソフトウエアがどんなものかしっかり調べてほしい。ちゃんと調べたらすぐにとても利用者に勧められるようなもんじゃないことくらいは解るはず。

基本的にこれらの「怪しげなセキュリティソフトを称する何か」を利用するのは主に「情弱」といわれる人たち。何も考えてないから「入れろ」と書いてあったらそのとおりに入れちゃう。そして、インストールした結果いろいろトラブルに見舞われるんだけど、自分で解決できないのもこれらの層。でも、せめて「他のセキュリティソフト(どれを指してるかも不明)と併用して大丈夫」は何か変だぞって勘は働かないものかね。

上に挙げたフィッシング対策協議会の「利用者向けフィッシング詐欺対策ガイドライン (PDF)」にフィッシング対策の「3つの心得」というのが書いてある。「STOP」「THINK」「CONNECT」だそうな。
そこで「がとらぼ」なりの「STOP」「THINK」「CONNECT」を書いてみる。

  • STOP.   立ち止まって理解する
    インストールする前に、それが本当に必要なのか、危険はないのか、一旦立ち止まって調べましょう。

  • THINK.   何が起こるか考える
    あなたのPCはオンラインバンキングだけに使うものではない筈です。インストールした結果OSやブラウザのセキュリティの仕組みを破壊したり、メモリを大量消費してPCの動作が重くなる、データを壊すというデメリットは無いでしょうか。インストールしたアプリが情報収集を行うというスパイウエアまがいの動きは無視してもよいですか。
    インストールすることで使っているコンピュータのセキュリティが脅かされないか考えましょう。

  • CONNECT.   安心してインターネットを楽しむ
    危険を理解して警戒を怠らずにインターネットを楽しみましょう。

この記事は無防備で良いというのではないので誤解なきよう。
で、Windows + Windows Defender & Androidはもうちっとなんとかして欲しい。こいつらに隙きがありすぎるから変なソフトウエアが幅を利かせるようになるんだよ。