SSLでもインターネットバンキングは危険でしょうか

　SSLならばセキュリティが確保できる（SSLも暗号解読は可能だが解読に時間がかかるため現実に個人が心配するほどの危険性はない）と認識していたので、自宅からインターネットバンキングやネット通販をよく利用していました（※キーロガー等が組み込まれる危険性は今回の話と別にお考えください）。
　ところが、WebでSSLの中身を確認してフィルタリングするソフトが市販されていることを知りました（一例として「Webwasher」の"SSL Scanner"機能 http://www.webwasher.jp/pro_sslscanner.html）。
　こういったソフトがあるということは、SSLを利用したページでもセキュリティ上問題があり、インターネットバンキングやネット通販等は危険と考えた方がよいでしょうか。

No.7 ベストアンサー 回答者： harepanda 回答日時： 2007/12/03 17:00

ANo2ことharepandaです。

Webwasherについて言えば、これは企業等のLANに設置するものであり、「解読」の前の「検知」の手間が不要だという点が重要です。つまり、普通のSSLサイトを使っている限り「解読」以前にどうやってユーザのデータ通信を「検知」して、解読すべき生データを手に入れるのかという、もうひとつのステップがあり、その意味でWebwasherを使ったハッキングには、挑戦事項がひとつ増えるわけです。

なお、「検知」されやすいのは、無線LANを使っている人です。集合住宅だと隣の人の電波がもれてきて勝手につながってしまう場合があるほか、空港やマクドナルドなどの無線LANサービスが思いつきます。無線LANの標準暗号方式であるWEPは、SSLなどよりはるかに脆弱な暗号で、趣味でハッキングソフトを作ってばら撒いている外国人がいます。

この回答へのお礼

harepanda様、ご回答ありがとうございます。
ご回答の内容に納得いきました。確かに、Webwasherを商品の意図通りに設置するとしたら、企業内LANのProxyサーバの位置において、そこを通らなければSSLでの通信ができないような形にしますね。それならば、WebwasherはSSL通信をじっと待っていて、通ったら解読すればよいと。逆に、一個人が家庭からSSLで通信するとしたら、特定の人間がなんらかの理由で私をターゲットにしなければ検知は難しそうです。私は有名な富豪とかではなく、一般人ですからその点あまり心配要らないかもしれません。
ご指摘のあった無線LANはたしかに注意すべきです。気をつけたいと思います。
いろいろとアドバイスありがとうございました。

お礼日時：2007/12/04 01:37

No.6 回答者： kani7 回答日時： 2007/11/29 22:31

ANo.3で回答させていただいたkani7です。

Webwasher SSL-scanerの安全性ですが、
データの中身をスキャンしているだけなので、
中間者攻撃(man-in-the-middle)を防ぎきれるわけでは無いと考えます。

元々、インターネットはある程度の性善説によって構成されているわけで、
間に誰がいるのかはどうとでも誤魔化せます。

適切な例えではないですが、ウイルス対策ソフトを入れていても、
その裏をかくウイルスやワームが作成されるのと
似たような感じではないでしょうか。

とは言え、こういった製品が世に出てくることで、
何らかの危険があるのだと認識することができるので
全く無意味と言う訳ではないと思います。

No.5 回答者： voussortez 回答日時： 2007/11/29 16:55

ＳＳＬ２．０に穴があり危険だとか。

それを知ってか、知らぬのか馬鹿な銀行はＳＳＬ２．０を利用しろとね。

変ですね？。

『　ＳＳＬ２．０　』をＷｅｂ検索したら解かりますよ。

そうそう、ＶｉｓｔａでＩＥ７がＳＳＬ３．０とＴＬＳ１．０をデフォルトで入っています。
ＸＰのＩＥ６ではＳＳＬ２．０とＳＳＬ３．０が入ってましたよね？。
何故、ＳＳＬ２．０がＩＥ７で外されたのか考えれば良い事ですね。

ＳＳＬ２．０に穴が有り、欠陥があったなんてね。
セキュリティ以前の問題ですね。

この回答へのお礼

voussortez様、御回答ありがとうございます。
　SSL2.0にはセキュリティ面での欠陥があるのですね。教えていただいた通り、「SSL2.0」で検索をしたところ、たいへん勉強になりました。誤った危険なガイダンスをおこなう銀行があることにもびっくりしました。
　話はもどりますが、SSL2.0は完全に危険であることが理解できたのですが、SSL3.0ならば概ね安全なのでしょうか。もちろん、（１）間違った運用はしない（２）どんな暗号も時間さえかければ解けるのは当然だが、解けるまでの時間が秒～日くらいまでの単位でなく月や年の単位が必要な場合は事実上安全と見なす。（３）今後のCPUの演算速度の向上は考慮に入れず、現在の演算速度で考える。といった前提での質問ととらえてください。
　

お礼日時：2007/11/29 20:44

No.4 回答者： kona4Q 回答日時： 2007/11/29 14:53

SSLで暗号化されたサイトの画面下に「鍵マーク」が表示されますが、この「鍵マーク」アイコンさえも、JavaScriptで偽装が可能だそうです。

正真正銘のURLなのか、偽装URLかを見抜く方法として「鍵マーク」アイコンをＷクリックして「本物」であれば、証明書が表示されます。何も表示されない場合は偽装されている可能性が高いとの事です。
参考の一つにして下さい。

この回答へのお礼

kona4Q様、ご回答ありがとうございます。
　貴重なアドバイスありがとうございます。
　参考にさせていただきます。
　また、よろしくお願い申し上げます。

お礼日時：2007/11/29 20:45

No.3 回答者： kani7 回答日時： 2007/11/29 12:31

SSLだから安全、というのが間違いであるのは明らかです。

参考URLを参照ください。

確かにSSL自体は安全性を考慮していますが、
それを運用/利用する側が駄目であると、絵に描いた餅になるわけです。

参考URL：http://takagi-hiromitsu.jp/diary/

この回答へのお礼

kani7様、ご回答ありがとうございます。
　たしかにどのようなセキュリティも、運用が誤っていては正常に機能しません。まったくおっしゃる通りと思います。
　また、参考にあげていただいたURL、本当にとても参考になりました。不勉強なことに「オレオレ警告」のこと、知りませんでした。本当に危険ですね。それを助長する銀行があることにも憤りを感じます。
　ただ、私の質問の趣旨は、「"SSL Scanner"機能をもったソフトは普通に流通しているのでSSLは普通に危険なのでしょうか？」というものです。
　たとえでいうと、「市販DVDはプロテクトがかかっているのでコピーできない」とメーカーの人は言いますが、現実にはプロテクトを解除してコピーするソフトが簡単に入手できますし、解説本もでていて、誰でもコピー可能なわけです。そういうレベルで、あるいはそこまで誰でもでなくても、一定のスキル（超高度なスキルではない）があれば、「"SSL Scanner"機能をもったソフトで送信した暗証番号などを解読できてしまうのでしょうか？という質問でした。

お礼日時：2007/11/29 21:11

No.2 回答者： harepanda 回答日時： 2007/11/29 12:02

自宅のコンピュータしか使わない限り大丈夫です。

量子コンピュータが登場するまで大丈夫でしょう。

ところが、昨今では恐ろしい事情があって、Windows Vistaに最初からついてくるデスクトップ検索機能や、Googleのデスクトップ検索を入れたPCだと、SSL通信の中身を暗号化される前の生データのままキャッシュしてしまうのです。

デスクトップ検索とは、インターネット検索と同じ感覚で、自分のPCのどこに欲しい情報があるかさがす機能で、ファイル名を忘れてしまったり、どのファイルに該当情報を書き込んだのか忘れた時には、非常に便利です。

気のきいたSSLベンダの場合、セッションログアウトの際にPCから通信内容を削除してくれるのですが、デスクトップ検索は、それとは無関係に、自分のためのキャッシュ（ログ）を作ってしまいます。

実験してみたところ、Googleデスクトップ検索をOnにしたまま銀行取引等すると、口座番号、名前、取引金額など、暗号化される前の状態で、そのまま残っており、簡単に検索に引っかかってきました。

というわけで、インターネットカフェ等、不特定多数の人が使う場所では、もはやSSLは使うべきではありません（もしくは、デスクトップ検索をいちいちオフにしてから使う必要があります）。

この回答へのお礼

harepanda様、ご回答ありがとうございます。御礼が遅れて申しわけありません。
デスクトップ検索でのキャッシュの件、ご指摘ありがとうございます。おっしゃられる通り、危険性がありますね。私の場合は、家で自宅のPCからのみ使用しているため、家族や泥棒による被害を除けば、大丈夫かと思いますが、認識しておくべき重要事項だと思います。
御回答の冒頭で「自宅のコンピュータしか使わない限り大丈夫です。量子コンピュータが登場するまで大丈夫でしょう」と書かれていらっしゃいますが、その通りなら私も安心して使えます。ただ、質問にありますように、「SSLの中身を確認」できるようなソフトがあることを知ったため心配している次第です。当該ソフトではどのようなにして暗号化されている筈のSSL通信の中身を確認しているか分かりませんが、量子コンピュータでなく普通のPCで使えるソフトのようです。いかがなものでしょうか？
よろしくお願い申し上げます。

お礼日時：2007/12/03 13:52

No.1 回答者： pbforce 回答日時： 2007/11/29 11:45

万全ではないでしょうが、危険と言えるほどではないかも知れません。

ネットバンキングの利便性などと比べて危険性が上だと判断するようでしたら、やめたほうが懸命ですし。
危険だけど覚悟のうえで利用する、のもひとつの判断です。

インターネットで情報を盗まれるのも、キャッシュカードを盗まれるのも（暗証番号込みで）同じぐらいの危険度だと思います。

この回答へのお礼

pbforce様、ご回答ありがとうございます。
　私の質問文がつたなく申しわけありません。
　たしかに、「インターネットで情報を盗まれるのも、キャッシュカードを盗まれるのも同じぐらいの危険」かもしれません。
　ただ、質問の趣旨はすこしちがっているのです。
　たとえば、ハガキにクレジットカードの暗証番号を書いてそのままシールも貼らずに送ったら、それを見られて悪用されても、同情はされずにその人の迂闊さを非難されると思います。
　暗証番号を書いた紙を封筒にいれて送った場合、もちろん封筒の糊を気づかれないようにして剥がすとかすれば、中の番号を知られてしまいますが、非難されずに同情されます。（たとえばプロバイダのログオンパスワードなどは封書で来ると思います）
　同様に、SSL非対応の普通のWebページで暗証番号を入力するのは、ハガキに暗証番号を書くようなものだと思います。
　SSLをつかっていれば、封筒にいれて見えないようになっているものと思っていました。しかし、質問文にあげたようなソフトがあると。
　特殊なライトが仕込まれていてそれで照らすと封筒の中が簡単に見えるような機械が市販されていた、というような気がするわけです。
　それとも、このSSLの中身を確認するようなソフトは、特定の条件下（たとえばネットワーク構成とか）でないと機能せず、システム管理者が仕様に基づいた利用はできても、悪用することは現実に困難であるとかで、問題ではないのでしょうか。（長文すみません）

お礼日時：2007/11/29 21:01