某氏からの情報によると、セーフティパスのプロキシ設定ツールの挙動はやはりバグであるようだ。しかも、同氏は半年以上前に苦情を入れているのに未だに直してないのかと驚いていた

バグであるならば、「たいした問題ではありません」というNTTコミュニケーションズのサポート氏の不可解な言動も納得がいく。プロキシ設定ツールでは設定の項目があるので、サポートに電話をかける前に何度もこの設定項目で試してみたのだが、サポート側では手動設定ではまともに動作しないので、運用で回避しているのだろう。ユーザーに不便を強いる前に、バグを何とかしないのはNTT的な企業体質に起因する問題であると推察できる

さて、前置きが長くなったがやっとのことでセーフティパス方式でネットバンキングにログインする準備が整った。カードリーダーに、キャッシュカードを挿入して新銀行のサイトから「セーフティパス方式でログインする」というリンクをクリックすると、ICカード認証サービス利用ソフト(以下認証サービスソフトと略)が起動して「セーフティパス･パスワード」を入力するよう要求してくる。これは、セーフティパスに同封されてクロネコで送付されてきた荷物の中にある、初期パスワード通知に記載されている数字6桁だ。これを入力すると、認証サービスソフトがセキュア通信を開始したことを報告してくる

■セーフティパス方式ではサーバー証明書が確認できない
ログインしてみると気づくのだが、セーフティパス方式でログインすると、確かに新銀行東京と表示されるものの、URIやサーバ証明書などで新銀行のサイトであること確認できない。取引画面自体はポップアップで開くし、アドレスバーは非表示、Javascriptで右クリック禁止になっているし、ステータスバーは表示されるがSSL通信状態であることを確認することができないので、サーバ証明書を確認するどころか、SSL通信状態であることが確認できない

一方で、パスワード方式でログインすると、こちらではステータスバーにSSL通信状態であることを確認できるし、証明書自体も確認できる。確認してみると、次のように表示された

CN = www2.ib-center.gr.jp
OU = Member, VeriSign Trust Network
OU = Authenticated by VeriSign Japan K.K.
OU = Terms of use at www.verisign.co.jp/rpa (c) 04
OU = FINEMAX center(Hitachi,Ltd.)
O = Hitachi,Ltd.
L = Yokohama
S = Kanagawa
C = JP

やはり、インターネットバンキングシステムは日立製作所のFINEMAXを、日立の共同運用センターib-centerで運用する方式で間違いないようだ。しかし、一般ユーザーにとっては「新銀行東京のサイト(www.sgt.jp)にアクセスしているのに、ib-center.gr.jpって何だ？」と思うのは当然だろう。そこで、新銀行がやるべきことは「インターネットバンキングシステムは、日立製作所の運用するib-center.gr.jp上で稼動している」と公式に明示することであって、アドレスバーを隠蔽したり、暗号化されていないページで暗号化されているページをフレーム隠蔽するなどといったことを行うべきではない。新銀行のインターネットバンキングは、単にサイトなりすましのリスクを高めているだけだ

■定期預金の明細が確認できない
新銀行東京の設立目的は、中小企業への円滑な資金供給にあり、定期預金は新銀行にとって社債と同様主要な資金調達源である。市場金利に左右される社債と異なり、預金は調達金利を一律に安くできる

そういうわけで、新銀行の定期預金は、モバイルバンキングでオペレーター経由で作成できる他に、インターネットバンキングでも100円から作成できる。早速試してみた

定期預金作成は、通常の銀行と同じようにすんなりとできたのだが、問題は作成された定期預金を確認するために、取引メニューの一つである「定期預金明細照会」をかけても、たった今作成したばかりの定期預金が確認できない。確かに、定期預金作成画面では約定の表示が出ていたし、普通預金の明細照会をかけるときちんと資金がマイナスになっているので混乱してしまう

銀行によっては、定期預金の作成は営業日の昼間(銀行法により銀行は午前9時から午後3時までの営業が義務付けられている)以外の時間帯に定期預金を作成しても、それは作成予約になって実際にはよく営業日に作成されるというケースがある。しかし、漏れが定期を作成したのは平日昼間であるから、即時に定期が作成できなければおかしい。1970年代の第二次オン時代ならわからなくもないが、金融機関のシステムリスクが格付けやBIS規制に影響を与える21世紀においては、定期預金をバッチ処理で作成するなどありえない話だ

■格段に劣る新銀行のシステム
さすがに問題であるので、この日二度目になる電話での問い合わせを行った。最初に電話したときの、意地悪で馬鹿そうな男に当たったら嫌だなと思っていたが、親切そうな女性のオペレーターにあたった。定期についてつっこんで質問してみると、上の者に代わります、ということでクレーマー対応モードに突入した

代わった女性の行員H氏の説明によると、定期の作成はシステム上はインターネットバンキングで作成した時点で約定はしているという。ただし、定期勘定とインターネットバンキングシステムとデータのシンクロをリアルタイムに行っていないので、インターネットバンキング上は一覧に出てこないという説明だった

一般的に、銀行オンラインシステムは預金取引データを格納する原帳データベースが勘定系システムで稼動し、インターネットバンキングシステム(IBシステム)は原帳データからほぼリアルタイムでデータを取得して、IBシステムのサブ原帳データベースの内容を表示している。ネット銀行でよくある「振込みがあっても、インターネットバンキングで振込みが確認できない」というのは、実際には原帳が更新されていても、IBシステムのサブ原帳データベースの負荷が高くて、更新データがサブ原帳に反映されていない場合が多い

銀行によっては、確かに常に勘定系原帳とIBシステムのサブ原帳のデータ更新をリアルタイムに行っていない銀行もある。しかし、大半は平日の営業時間内にはほぼリアルタイム更新で、平日の営業時間にリアルタイムにサブ原帳を更新しない新銀行のシステムというのは非常に珍しい。しかもH氏の説明によると、普通預金はリアルタイム更新だが、定期のみ午前9時と午後9時の一日二回IBシステムにバッチ転送しているだけなのだという。普通預金に比べて格段にデータ転送量が少ないはずの定期預金で、なぜこのような仕様になっているのか明確な回答は得られなかった

■価格.comと全くおなじ見苦しい言い訳をする珍銀行
ついでなので、サーバ証明書が確認できない件についても質問をしてみた。すると、「新銀行東京は、NTTコミュニケーションの提供するセーフティパスによって最高度のセキュリティを提供しているので安心してください」という回答だった

できるだけ平静でいようと努めていたのだが、さすがに平静ではいられなくなった。セーフティパスは、単にICカードに個人証明書がインストールされているので、預金者以外の第三者によるなりすましを防ぐシステムに過ぎない。漏れが指摘しているのは、銀行以外の第三者によるなりすましの危険があり、預金者本人が正規な銀行の取引画面であるかどうか確認できないのではないかと言っているのだが、どうも理解していないようだ

しかも、セーフティパスの認証サービスソフトは、単にSSL通信状態であることを示す「セキュア通信の状態」の有無だけを表示する機能しかない。ユーザーを馬鹿にしているとしか思えない対応だ

では、新銀行がサイトの信頼性を保証していると主張するセーフティパスのソフトウェアの問題について、新銀行自身が回答を行わなかったのは何故なのかについて聞いてみたところ、「ソフトウェアの問題は原則的にNTTコミュニケーションズ側の問題」という認識のようだった。現に、プロキシを使用しないダイアルアップ接続では動作すらしない点に関して再確認したところ、新銀行側はそのような問題について認識してない(初耳である)が、回答をたらい回しにしたことについては遺憾である。しかし、原則的にセーフティパスソフトウェアの問題はユーザーとNTTコミュニケーションの間で解決してくれという対応だった

新銀行の収益計画の胡散臭さは別として、これまで散々「既存の銀行のセキュリティを上回るものを提供する」と宣伝していたので期待をしていた漏れだったか、完全に裏切られる感じだった。再度、「なりすましの問題は、フィッシング詐欺として社会問題になっているし、産業技術総合研究所の高木浩光らによって4年以上も前から指摘されてるが、これでも最高度のセキュリティなのか？」という問いに対しては、「不勉強で遺憾」という回答しか得られなかった。銀行屋のくせに学生すら読む日銀金融研究も読んでいないらしい

バカバカしいにも程があるし、行員といっても派遣社員で構成されるコールセンターの監督権限しかないだろうから、H氏の「上に対して問題点を報告いたします」という話は話半分に聞いておいて電話を終えた。まさか、こんな酷い状態であるとは思いもしなかった