私の銀行がフィッシング対策教育を繰り返し台無しにしている
(moritz-mander.de)- 銀行が、信頼できないフィッシングメールに似たイベント告知メールを送信している
- 本文内のリンクとサイトのドメインが銀行と無関係に見え、個人情報の入力を求めるため、フィッシングかどうかの判断が難しい
- 実体を確認した後でも、公式イベントだと分かって混乱と不信感が増幅した
- この行為はフィッシング対策教育の趣旨を損ない、銀行が法的責任を負うリスクを高める
- 問題解決のために、信頼できるドメインの使用とアプリ内実装の必要性を強調している
序文
自分の銀行がフィッシング対策教育を自ら損なっている現実を体験した。銀行が送ってきたイベント関連メールは、フィッシング詐欺とほとんど見分けがつかないほど疑わしい特徴を持っていた。公式の銀行ドメインではない場所で個人情報を入力させ、国内外の銀行や公共機関におけるセキュリティの実態と教育現場の問題点を指摘している。
第1章: 疑わしいメールの到着
- 銀行から「Wero-Win-Wochen(景品イベント)」関連のメールを受信した
- メール告知では、最大週7,000ユーロ当選の情報とともにイベント参加を促していた
- Sparkasse(ドイツの地域銀行組織)とWero(新興の欧州デジタル決済システム)がメール内で言及されていた
- メール内のリンクは「gewinnen-mit-wero.de」で、銀行の公式ドメインとは異なっていた
- 内容と文体は普通のフィッシングメールに似ており、メールアドレスだけがSparkasseの公式アドレスだった
- イベントが本物かどうかを銀行の公式サイトで確認しなければならなかった
Sparkasse(シュパルカッセ)とは?
- 地域密着型の貯蓄銀行で、各地域ごとに独立して運営されている
- 欧州最大級の金融サービスグループの一つである
Weroとは?
- 欧州決済イニシアティブ(EPI)が作った新しいデジタル決済システムである
- 現地の決済システムを統合する目的で開発された(初期はP2P決済中心)
- PayPalに似ているが、各銀行に分散した構造を持つ
第2章: 状況悪化 – 怪しいWebサイト
- メールのリンクをクリックしてアクセスするイベント参加サイトの各種デザインや構造が、フィッシングサイトと非常によく似ている
- Sparkasseの支店への言及や銀行ごとの区分がまったくない(各銀行の独立性を無視している)
- ドメイン自体が公式の銀行ドメインと無関係で、誰でも登録できる一般的な名称を使っている
- SSL証明書も無料のLet’s Encryptを使用しており、信頼性を下げている
- イベントの文脈や根拠の説明が不足しており、単に**「お金を受け取るチャンス」だけを強調**している
- 参加のために氏名、生年月日、IBAN、メールアドレスなどの個人・金融情報の入力を要求している
- 一般的に最新のデジタル金融イベントはアプリ内のみで参加できるよう設計される傾向にあるのに反している
このため、金融機関がわざと利用者向けのセキュリティ教育を無意味にしてしまう結果を招いている。
セキュリティ教育の効果低下という問題
- 実際の銀行でさえフィッシングメールやサイトに似た方式を使うなら、利用者はフィッシング検知教育そのものを信頼しなくなる
- 「これはスパムのように見えるが、実際には合法かもしれない」という認識が広がる
- 過去にもこの銀行が疑わしい文句やドメインを含む公式SMSを送った前例がある(例:
paperless.ioリンクの案内) - サポートセンターでさえ、なぜこれがスパムのように見えるのかを理解していない
第3章: 解決策は何か?
- 最も安全な方法は、イベント参加手続きをアプリ内に直接実装することだ
- やむを得ない場合でも、公式ドメイン(例:
sparkasse.de)または各支店のサブドメインを使うべきであり、そうしてこそ信頼性を維持できる - ドイツ政府も類似の事案で**
gov.deデジタルブランド政策**を導入し、サービスの信頼性を強化した事例がある
第4章: 不注意が法的問題に発展する可能性
- 最近、フィッシング被害者に対する銀行の賠償判例が増えている
- 裁判所は個人情報流出に関する**「過失」有無の判断**で、利用者に過失がなければ銀行の責任だと結論づけている
- もし現在のようなメールやサイト構造でフィッシング攻撃が行われた場合、被害者が慎重でなかったという根拠を銀行が立証するのは難しいだろう
- 実際の銀行公式メール・サイトとフィッシングがあまりにも似ているため、法的リスクが大きい
結論
- 技術的セキュリティは進歩しているが、**ユーザー体験のセキュリティ(USABLE SECURITY)**には依然として抜け穴が残っている
- このような事例はフィッシング対策教育そのものの信頼を損ない、銀行の法的負担や金融業界全体にも悪影響を与える
- 問題は個別のフィードバックでは解決しにくい構造的なシステム問題である
- 欧州最大級の金融グループでも発生する問題であることを、より深刻に認識する必要がある
- 「セキュリティ教育を台無しにしないでください。むしろもう少し気を配ってください」という教訓で締めくくられている
2件のコメント
既視感は勘違いではないようです🤣
Hacker Newsの意見
私の銀行は、口座で不審な動きが検知されると電話をかけてくる不正検知システムを使っていて、さらに特定の番号へ折り返し電話するよう求めてくる。問題は、毎回異なるコールバック番号を案内してくることだ。オンラインでその番号を検索すると結果は1件しか出ず、それも不正検知システムの公式ページで「どんな電話も信用するな」と書いてあるだけだった(この助言自体は妥当だが、皮肉にも自分たちの正当な連絡すら無視しろという意味になっている)
カードで不正検知システムを作動させたことが一度だけあるが、そのとき銀行から「カードが不審な利用のため停止されました。次の番号に電話してください」というSMSが届いた。その番号もやはりランダムに割り当てられた未掲載番号だった。私がこれを無視しなかった唯一の理由は、その直前に新しいWebサイトで決済していたからだ。そこで地元の銀行に直接電話し、これが本当の事態か確認したところ、実際にそうだと案内された。こんな手順は本当にひどいと文句を言いたくなった
銀行全体のユーザー体験(UX)の流れを見ている担当者がいないように思える。私の銀行も同じように妙な動きをする。例えば妻に送金するたびに毎回、不正防止のためいくつも質問に答えさせられるのに、回答すると今度は「頻繁に送金しているため2FAコードや追加認証は行いません」という案内が表示される。こういう不合理なUXは、全体の流れを見る一人または一つのチームがいないからなのだろう
銀行が自分で決めたルールを守っていない。一度、1か月前に私が依頼した保険変更について銀行から電話があり、セキュリティドングルで本人認証するよう求められた。こんなことをしていれば、人々が詐欺に遭っても驚けない
私が勤める銀行では、「$xの小切手を発行しましたか」というSMSを送って異常の有無を確認している。問題は、最も一般的な小切手詐欺が、小切手の金額はそのままで受取人だけを改ざんする「チェックウォッシング」だということだ。こうなると金額だけ見れば正当な取引に見えるが、実際に誰に支払われたかは確認できない
一般の銀行代表番号に連絡して長時間待ち、ようやく担当者につながっても、実際には正しい番号なのにその番号は認めないと言われる。さらに厄介なのは、利用していない銀行の場合、Webサイト上の番号に電話すると自動応答システムに直行し、口座番号がなければアクセスすらできないことだ。誰かと直接話すためには、連絡可能な別の番号を探さなければならない
私の銀行(USAA)は、以前に私が提案したことを実際に導入してくれたこともある。だが最近、私専用のメールアドレスに一見正規のようなメールが届いたものの、ドメインがいつもと違っていた(ちょうど何か手続きをした直後だったのでなおさら怪しかった)。すぐに銀行へ電話し、不正対応部門の担当者に「社内システムが侵害されているか、顧客をフィッシングに慣らそうとしているかのどちらかだ」と説明し、チケットを作ってくれと頼んだ。担当者はそのドメインはUSAAの所有ではなく、必ず
usaa.comしか使わないと言って、特に説明もなく私のアカウントをロックした。結局また電話して解除してもらい、担当者はチケットは作成したと言っていた。今後の進展を見守るしかない銀行のUX関連技術とマーケティング慣行は最悪だ。私が使ったことのあるインドの銀行のログインフォームはどれも
15文字超禁止とは! 私の銀行はちょうど6桁の数字でなければならない。文字ではなく、必ず数字だ。パスワードマネージャーも使えず、コピー&ペーストも制限され、必ずマウスで数字欄をクリックしなければならない。「セキュリティ」への執着のあまり、二要素認証も昔は物理トークン、その後アプリ、最後には結局SMSに変わった。しかもここは近所の小さな銀行ではなく、フランス最大級の銀行だ
数週間前には、インドの国有銀行アプリが、ユーザーがFirefoxを入れているという理由だけでアプリ自体をブロックするというスクリーンショットがRedditに投稿されて物議を醸した。銀行や政府サイトはユーザーに極めて不親切だが、以前はこうしたアプローチは技術に不慣れなユーザーを守るためのものだと思っていた。今ではむしろ、きちんと安全で使いやすいフレームワークの導入を怠るための言い訳だと思う
あるインドの国有銀行アプリは、カメラやファイルシステム全体などの必須ではない権限を許可しないと起動すらしない。ただ、私の銀行ではOPのようなスパムを受け取ったことはない。とはいえ一般的な認識としては、下位の行員が口座情報を詐欺師に常習的に漏らしているという噂がある
私の銀行は180日ごとにパスワード変更を強制し、パスワードは6〜11文字しか使えず、使用可能な文字も決まっている。そのためログインしようとするとまたパスワードを変えろと言われ、Firefoxの自動生成パスワードは銀行の規則に合わないので、結局ターミナルで条件に合うランダムなパスワードを自分で作る羽目になる
クライアントサイドでパスワードハッシュを使うことの何が問題なのか、よく分からない
住宅の売買ではこうした問題がさらに深刻になる。さまざまな下位組織がそれぞれ別のドメインを使うなど複雑だからだ。私も医療機器のリコール対応で怪しいドメインを信用せざるを得ず苦労したことがある。こういうのは、信頼できるパートナードメインの一覧をホームページに載せるだけで簡単に解決できる。私個人のセキュリティプロトコルは、.govサイトで金融機関の連絡先を検索し、そのドメインに入って顧客窓口の電話番号を確認し、本当に信頼できるドメインが何かを電話で尋ねるというものだ。顧客窓口の担当者は私を変な人だと思っていたようだ。ある日には担当者の一人が「LinkedInでその担当者が <Bank Name> に勤務していると表示されていれば本物だと分かります」と言ったことさえある
「LinkedInで <Bank Name> が勤務先になっていれば信用していい」と言われたので、「2分あれば私のプロフィールにもそう登録できますが、それでも私に個人情報を渡すんですか」と言い返したことがある
住宅購入のときにまったく複雑でなかった経験もある。私は住宅ローンをブローカー経由で進め、一対一で一人だけを相手にしていた
意思決定権を持つ無邪気な人たちは、こうしたリスクを十分に認識しておらず、自分や身近な人が詐欺や法的問題に遭って初めて遅れて理解する。アメリカでも2012年以前はこういう人たちが企業を多く運営していたが、ホワイトハット/ブラックハットのハッキングが急速に広がったことで、こうした問題は比較的早く改善された
以前、情報セキュリティ文化がしっかりした金融会社で働いていた。その会社が買収された後、本社の役員や社員の名義で、外部業者からさまざまな依頼メールが継続的に届くようになった。しかし従来のセキュリティポリシーでは、そのようなメールを処理すること自体が禁止されていたため、Slackでは皆で「これは本物のメールではあるが、方針上は無条件でフィッシングとして報告しよう」と一致した。結果として悪意のない不服従だが、実際これがベストプラクティスだ。その後は本社幹部が「こういうメールが送られるので、こう反応してほしい」という事前通知メールまで送るようになり、すると同僚たちとの間で「ではその事前通知メールが本物だとどうやって分かるのか」という議論がまた繰り返された。結局みんな疲れてしまい、本社流の緩いセキュリティ慣行を受け入れるようになった
こういう組織では、正しい判断ができる有能な人が実際に決定権を持つ地位まで上がりにくい社会構造があるのだと思う。良い方針を作るには、あちこちで「それはだめだ」と言わなければならず、その過程で人事権を持つ人たちの機嫌を損ねずにいるのが最も難しい
文書上はCISO、EVP、SVP、セキュリティディレクターなどの高位職がそろっているのに、なぜこういう妙な判断が下されるのか本当に理解できない。こういう時は無能と悪意を区別しにくい。「無邪気だ」と言い換えるのは、かえって顧客を軽視する行動の言い訳をしているようにも思える。セキュリティに配慮するにも金がかかるし、配慮しないことにも大きな損失があるが、少なくとも今のところ、ユーザーを失う損害は安全にきちんと作る費用より小さいので、こういうやり方が続いているのだろう。結局、誰にとっても悲しい現実だ
銀行はよく私にランダムなマーケティング電話をかけてきて、提案内容を説明する前に生年月日や母親の旧姓を尋ねてきた。こちらが逆に「まず銀行が本物だと証明しろ」と言うと、いつも相手は戸惑っていた
見知らぬ電話で個人情報の確認を求められたとき、私はいつも「あなたが誰か分からないので個人情報は教えられません」と答える。すると半分はそのまま切り、残りはすぐ営業トークを始める
医療業界でもまったく同じことをよく経験する。専門医のオフィスから電話がかかってくると、いきなり私の生年月日を尋ねてくるが、私が拒否すると相手はとても驚く。私も同じで、そちらから電話してきたのなら、まず自分の身元を証明すべきだと思う
私の銀行は最終的にこの点を理解し、今ではアプリ上で、その担当者が実際に営業中であり、正確にどの従業員なのかを確認できるシステムを導入した
「だからサブドメイン登録が答えだ」という発想が出てくる背景には、IT部門の誰かがサブドメイン程度でも権限委譲するのは危険だと分かっていて拒否するからだ。結局、社内の別部署(マーケティングなど)が独自ドメインを個別に取得して、こういう形で迂回する。Googleのような企業がどう解決しているのか気になる。
google.comのサブドメイン乗っ取りは最も魅力的な標的のはずなのに、実際Googleもかなり頻繁にサブドメインを使っている。関連事例としては このgistリンク を参照できる実際にはIT部門まで話が行かないことも多い。マーケティングは組織構造上ITと分離されていて、ITに仕事を依頼したがらない。ITは非効率で遅いチケットシステムを使っており、余計な意見を差し挟むことも多いので、マーケティング側は面倒がる。そのためマーケティング施策はSaaSサービスや外部委託業者に任せられるが、彼らも企業ITとはほぼ無関係だ。マーケティング担当者はサブドメインが何かも知らず、ただGoogle検索やリンクのクリックで作業する。URLの文字列など誰も見ていないので、なぜサブドメインが重要なのかという認識自体がない。実際のユーザーのインターネット利用パターンを見ると、従来型のフィッシング対策教育は無意味だ。「ドメインを注意深く読む」より、「Googleで検索して上位結果をクリックする」ほうが現実的なフィッシング対策かもしれない
Googleもこの点では同じくらい困ったものだ。案内メールがフィッシングと誤解されかねない形式で、
google.com以外にもgoo.glやfoobar.googleなどさまざまな奇妙なドメインを使って案内してくる。昔のように何でも素直に信用していた時代は、もう終わっている私は4番目の点が核心だと思う。銀行が顧客に対してフィッシングのように見えるメールを送るのは重大な過失であり、法的責任を負うべきだと考える
これはConwayの法則が現実にそのまま現れた事例だ。マーケティング部門が独自のITを持ち、コアWebサイトを管理するITと分離されている。だから同じWebドメイン上で一緒に開発することはできず、別サイト・別体験として公開されることになる
友人が勤める会社では、CISOが全社員向けにセキュリティ関連のニュースレターを送っていたが、このメールは社内ドメインではなく外部ドメインから送られ、リンクも自社サイトではなく外部ホスティングプラットフォームを使っていたので、いつもフィッシングメールのように見えた。特に景品付きイベントがあるときはなおさら偽物と誤解されやすかった(会社の評判的に、そんな豪華な景品はあり得なかった)