![[PukiWiki]](image/logo.gif "[PukiWiki]"){kind=logo}
MUFG NET PLAZA †三菱東京UFJ銀行にこんなサービスがあったので,試しに登録してみた. 画面には
とある. 顧客の金融資産を一覧表示したり,運用についての分析・提案を行うサービスのようである. 今のところ利用料は無料のようなので,管理するほどの資産なんてないのだが試しに登録してみると…
という臭いがする. ここに登録の手順があるのだが,なんと
のである. 「フィッシングサイトか!?」と URL を見るが,そうではない. そもそも,このセッションパスワード表(というのかな)は,単一のセッションだけ盗聴されたとしてもログインされないように,という目的で設けられているものである. ここで全入力してしまうと,このセッションを盗聴されたらアウトではないか. まぁ,SSL で保護されているので簡単には盗聴はできないはずだけど,SSL を信用するのならそもそもセッションパスワードなんていらない. が,ヤバさを感じつつも入力して登録を済ましてみる. で,登録を済ませてログインし直すと… 「しばらくお待ちください…」と表示が出て口座の残高が表示される. どうやら,先ほど入力したセッションパスワードを利用して,裏でアクセスしているようである. ここまでならまだ良いのだが,何と
ようである. やはり,セッションパスワード表の全入力を求められるのだろう(それ以外に実現できないはずだ).
他銀行の通帳と印鑑を預けるようなものである. さらに,資産分析画面では curl の plugin が必要,ということで外部サイトに飛ばされる. この plugin の正当性は誰がどのように保証しているのだろう? そういうことを言い出すと FireFox の正当性は?という話になるのだけれど,正当性を保証しない plugin のインストールをわざわざ勧める,というのもおかしな話である. と,まぁ,web セキュリティには素人な私でも胡散臭さがプンプン臭ってくるので,とっとと登録を解除してしまった. それとも,玄人な人から見ると問題ないものなのかしら. |
