■UFJ推奨のセキュリティーソフトが信頼できないんだけどこれどうすれば

MUFJのオンラインバンキングを申し込んでみたのだがそこでセキュリティーソフトを推奨された。

　こいつだ。http://www.trusteer.com/ja/products/trusteer-rapport-for-online-banking-ja

残難ながらこれのダウンロードリンクはhttpsでは提供されていない。賢明な諸兄はご存知の通りhttpsで提供されていないソフトは信頼しないことが大原則だ。

ファイルがhttpsで提供されない場合はhttpsで提供されているMD5情報などを元にファイルの正当性を確認する必要がある。

何と言っても、オンラインバンキング専用セキュリティーソフトだ。最大限の注意を払う必要がある。

問題がある場合は私の全財産がどこかに送られてしまう。

さて、困惑した私は会社のサポートチャットに問い合わせをすることにした。

"httpsで提供されていないソフトウェアをどうやって信頼すればいいのでしょうか？"というのが、はじめの質問である。

以下がそのログの抜粋（担当者のフルネームが表示されていた箇所を「サポート」と伏せている）

サポート: httpsで提供されていないソフトは、インストールの際にソフトウェアのデジタル署名をご確認ください。

増田: 私はOSXを使っていますが、

増田: Trusteerエンドポイント保護のアンインストール.appを実行する場合はインターネットからダウンロードしたソフトですが信頼しますか？というようなことが表示されますよ。

サポート: はい。アップルストアからの提供品ではないためそのようなメッセージが表示されることもございます。

増田: また、OS Xでは署名はappleが認証したデベロッパーが開発したソフトウェアであることをを証明してもデフォルトでは提供元を表示する機能は無かった様に記憶してますが

増田: 実は提供元を保証する様に機能があるのでしょうか？

サポート: ルート証明が正しければ正しい提供元としてTrusteerが表示されますので、ご確認いただけますでしょうか。

増田: えーと、それはどのようにすればいいのでしょうか？

サポート: 申し訳ございませんが、この内容はRapportのサポート範囲外となりますので、お答えできかねます。インターネット等でお調べいただけますでしょうか。

サポート: 正規のソフトウェアである事をご確認いただくための情報としては、組織に「Trusteer LTD」が表示されていることとなります。

増田: ではもう一点

増田: httpsで接続先が偽物というのはどのような場合でしょうか？　考えられるのは 1.接続先の秘密鍵が漏れている場合 2.接続もと(ブラウザなど)が信頼できない認証局を信頼している 3.サイトがハックされている などのケースが考えられますがどのようなケースを想定していますか？

サポート: サイト自体がハッキングもしくは、ファーミングされたケースを想定しております。

サポート: ファーミングされた場合、偽者のSSL証明書を利用することでhttps接続となりますが、接続先は偽者、となります。

増田: 私がrapport.pkgをinstallしようとする際にはpasswordを求められるまでの間にアプリケーション提供元や署名の表示などは行われませんでしたが、これは問題ないとお考えですか？

増田: おそらくwindowsだと提供もと証明などがでてくるのでしょうけど。

サポート: 署名の表示は、お客様の操作によって表示されるものですので、Macの仕様となります。

増田: なるほど、比較的容易な攻撃方法であるDNSポイゾニングなどで間違った接続先に接続した場合、OSXユーザーは能動的に確認する以外に自衛手段はないということでよろしいでしょうか？

サポート: はい。Rapportを導入していない状況ですので、お客様ご自身の自衛手段となります。

増田: 今後httpsでの提供する計画はありますか？

サポート: 予定につきましてはお応え出来かねますが、ご要望として担当部署に伝えることは可能でございます。

増田: OSXユーザーがRapportインストーする際にそのような自衛手段を案内することはRapportのサポート範囲外ですか？

サポート: 申し訳ございませんが、そうなります。ただデジタル署名の情報でしたら先ほどご案内した通りでございますので、デジタル署名をご確認ください。

サポート: また、デジタル署名をご確認いただくことで、ソフトウェア自体に改竄が加えられていないこともご確認いただけますので、http/httpsに関わらず確かな方法となります。

増田: その確認方法は自分で調べないといけないということですか？

サポート: 申し訳ございませんが、ご自身でお調べしていただくようお願い申し上げます。

増田: わかりました、ありがとうございます。　予算さえあれば私でも御社のセキュリティーソフトの偽物を容易に配布できることをよく理解しました。

サポート: こちらこそお問合せありがとうございました。

サポート: お客様への回答は以上となりますが、他に何かご不明な点などはございますでしょうか。

増田: いえ、ありがとうございます。

サポート: Trusteer・カスタマーサポートのチャットでサポートをご利用いただきありがとうございます。

ちなみに私は.pkgや.appの署名を確認する方法を見つけることは出来なかった。

Permalink | 記事への反応(0) | 20:01

ツイートシェア