水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > secure.softbank.ne.jp廃止できません!?

secure.softbank.ne.jp廃止できません!?

2011年7月7日(木曜日)

secure.softbank.ne.jp廃止できません!?

公開: 2011年7月15日2時10分頃

これは驚きました……「モバイルバンキングは今でもsecure.softbank.ne.jp方式が主流 (d.hatena.ne.jp)」。

以下は、ログイン画面のURLがhttps://secure.softbank.ne.jp/~となっています。大手都市銀行は全てという感じです。

  • 三井住友銀行
  • 三菱東京UFJ銀行
  • みずほ銀行
  • りそな銀行
  • セブン銀行
  • じぶん銀行
  • 住信SBIネット銀行
  • 楽天銀行
  • 新生銀行

secure.softbank.ne.jpはホワイトリスト方式で残されるということでしたが、上記モバイルバンキングは、そのホワイトリストの対象なのでしょう。

なんということでしょう。

7月からは、secure.softbank.ne.jpで表示されるのは公式サイトのみ (かつ、ソフトバンクに申請したサイトのみ) になりましたから、公式サイトと無関係の者が罠コンテンツを置くことは難しくなりました。以前のように、ただちに危険だと言える状況ではなくなったと言って良いでしょう。

では全く問題ないかというと、そうでもありません。secure.softbank.ne.jpを利用するサイトの中、いずれか一箇所にでもXSS脆弱性があれば、これら銀行サイト全てが影響を受けることになります。自身の努力ではどうにもならない部分でセキュリティのリスクを負うのは、できれば避けたい事態です。

どうしてこんなことになってしまうのか、その理由を推測してみると、大きく2つ考えられます。

一つは、ソフトバンクがセキュリティ上の問題を告知していないのではないか、という点です。ITmediaの「ソフトバンクモバイル、携帯サイトの仕様変更で注意喚起 (plusd.itmedia.co.jp)」を見ても、方式変更の理由は「サイト開発の利便性向上のため」としか書かれておらず、セキュリティ上の問題があったということには全く触れられていません。これは、ソフトバンクがそのように発表しているためだと考えられます。

セキュリティ上の問題があるのだということを知らなければ、できるだけシステムの改修をしなくて済むよう、従来の方法を使い続けたいと考えるのは自然なことでしょう。特に銀行はシステムの安定性が求められますから、なおさらです。

そしてもうひとつ考えられるのは、ルール上、HTTPSを使わざるを得なかったのではないかということです。ある程度以上の規模の組織になると、セキュリティ部門が「パスワードを入力させる際は必ずHTTPSにしなければならない」というルールを決めていたりするものです。通常はそのルールで問題ないのですが、ケータイサイトで、かつ携帯IDを取得しようとする場合には問題が出てきます。

end-to-endのHTTPSではキャリアのゲートウェイで通信内容を書き換えることができないため、携帯IDを付与することができません。つまり、HTTPSでは携帯IDを取得できないのです。携帯IDを取りたければ、いったんHTTPにリダイレクトしてIDを取得し、そこでセッションを開始してHTTPSに戻してやる必要があります。その場合は、一瞬だけHTTPSでない通信が発生することになります。

ルール上、絶対にHTTPSでなければならないとするならば、secure.softbank.ne.jpを使うしかありません。

単にルールだからと言う理由でHTTPSにこだわり、そのためにsecure.softbank.ne.jpを使うのだとすると、バランスが悪いと言わざるを得ないと思います。携帯IDに依存した認証を行っているサイトでHTTPSを使わないことにどんな危険があるのか、secure.softbank.ne.jpを使うことにどんな危険があるのか、これをきちんと考えて天秤にかける必要があるはずです。

もちろん、secure.softbank.ne.jpの問題点を把握した上でなければ正しい評価はできないでしょう。その意味でも、secure.softbank.ne.jpにどんな問題があったのか、今どんな問題があるのか、という点が公式にアナウンスされることが望ましいのだろうとは思います。

関連する話題: セキュリティ / モバイル / secure.softbank.ne.jp

最近の日記

関わった本など