異なる銀行に作った銀行口座,あるいは複数のクレジット・カードの利用状況を把握したいと思ったときに便利なサービスがある。異なる口座情報をかき集めて,一括管理してくれるサービス,いわゆるアグリゲーション・サービスと言われるものだが,いきなりこんなメッセージが出て来たりして果たしてどこまで信頼していいものか大いに迷わされる(写真1[拡大表示])。

写真1
写真1:画像をクリックして拡大表示
 書かれているメッセージが恐ろしい。「zandaka.money.msn.co.jpが信頼できるサイトであると確認できません」「あなたの個人情報を入手するためzandaka.money.msn.co.jpであると偽装しているサイトに接続しようとしています」

 あわや,ドメイン名「msn.co.jp」を騙ったサイトがついに現れたか! と思わせるアラートだ。このアラート・ボックス,Windows XP上でブラウザFirefoxを使い,MSN マネーの「残高照会サービス」にアクセスしようとすると表示されるメッセージだ。

 MSN マネーの名誉のために付け加えておくと,このサービスにInternet Explorler 6.0(IE)以上のブラウザでアクセスすると,問題無くサイトの認証が行われ,すんなりとログイン画面が表示される。zandaka.money.msn.co.jpの電子証明書の発行元を認証する認証局情報が,IE以外では登録されていない場合が多いことに原因がある。

発行証明書の出所が不明

 実は,この時点で「証明書を審査する」というボタンをクリックし,証明書を仔細にチェックすると一応電子証明書の発行元がMicrosoft関連であるらしいことは分かる(写真2[拡大表示])。

写真2
写真2:画像をクリックして拡大表示
 ここで,zandaka.money.msn.co.jpに対して発行された証明書の“指紋”(フィンガープリント)が一致することが何らかの方法で分かれば,この証明書が正しいものであるかどうかが判断でき,あとはユーザーが自分で判断し,信頼できるサイトとして自分の好みのブラウザにセットすることもできる。

 さて,こうした「偽装サイトと思わせるメッセージ」は他のプラットフォーム,たとえばLinuxやMacintosh上でも表示される。Mac OS X上ではマイクロソフト製品のIE を使ってさえも同様のメッセージが表示される。

 マイクロソフトもこの現象が起きることは承知している。コスト的な問題などから、ユーザーカバー率の最も多いWindows版IEをターゲットに開発を進めたため、IEにしか登録されていない認証局を前提にすることとなってしまった。当面、他のブラウザでも安心して使えるようにする計画(例えば他のブラウザにも登録されている認証局を利用する,など)はないと言う。

 マイクロソフトの岩大路誠ホーム&エンターテイメント開発統括部ファイナンシャル製品グループシニア マネージャは「もしそのような怪しいメッセージが出てきたら,そこでアクセスをストップしていただきたい」という。ユーザーの利便性を損なうとともに,サービス提供の機会を失うことになり,とても残念だが,動作検証ができていない以上,危機感を乗り越えてまでサービスを利用しないでほしいという。

 公共機関や自治体のサービスで同様のメッセージが出てくることがある。担当者に問い合わせると,「気にしないでオッケーを押して下さい」と言われることがある。そんな無責任きわまりない対応とは一線を画してはいるが,結果的にWindowsとIEにユーザーを閉じこめておくことになり,ユーザーの利便性を奪う結果となっている。

 このサーバーに関する電子証明書のフィンガープリントを公開すれば,ユーザーはそれを確認することで信頼できるサイトかどうか判断できるはずだ。アプリケーション開発を行っているエヌ・ティ・ティ・ビズリンクの友貞裕雄ビジネスリンク事業部 ビジネス開発部アカウントアグリゲーション担当 リーダーはこうした対応ができるかどうか今後検討して行くとしている。

登録した口座番号,暗証番号は安心か?

 ところで,このアグリゲーション・サービスは各金融機関の口座番号とそれに対応する暗証番号をサービス・アプリケーションに登録することで,それぞれの口座情報を一括してかき集め,集計表として表示してくれるというものだ。

 その実現方法は大きく分けて2つある。口座番号,暗証番号をサーバー側に置くか,クライアントのパソコン内に置いておくかの2種類だ。前者の代表例がMSNマネーの残高照会サービス,後者の代表例がYahoo! Financeやクレディセゾン,イー・トレード証券などを通じてサービスしているMoneyLookである。

 口座番号と暗証番号のペアが揃えば,金融機関によっては任意の口座に送金できる「都度振込」という,背筋が寒くなる取引が可能だ。これを第三者に悪用される危険を回避するために,振込指定口座は事前登録先のみに限っている金融機関もある。しかし,それは利便性の裏返しでもある。かなりのユーザーは都度振込みができる口座も利用していることだろう。

 そんな口座の持ち主には口座番号と暗証番号のペア情報の管理が大いに気になる。

サーバー側で保管する残高照会サービス

 MSN マネーの残高照会サービスは,口座番号と暗証番号をすべてサーバー側で保管する。サービスを運営しているぷららネットワークスの安達伸哉ネットワーク管理部リーダーは,アプリケーションに入る際にマイクロソフトの.NET Passportで認証,さらに残高照会サービスに入るときにもう一度,別途ユーザーが設定したIDとパスワードで認証,いずれも128bit SSLにより暗号化された通信を通じてやり取りしているため,安心してもらっていい,と語る。

 サーバー側に保管された口座番号,暗証番号はデータベースに格納する段階で既に暗号化されたものとなっているため,万が一,そのデータが持ち出されたとしても,無意味な文字列となってしまい,安全性は保たれているという。

 しかし,問題はそのデータベース・ファイルを解読するためのキーが安全に保管されているかどうかだ。安達ネットワーク管理部リーダーは「365日24時間侵入検知システムの稼働,サーバーにアクセスできる人間の制限,入出退の管理・トレース,データベースへのアクセス・ログの改ざん防止など十分な体制で望んでいる」という。しかし,それ以上の具体的な対応策は社内のセキュリティ・ポリシー上公開できないという。