世界を動かす技術を、日本語で。

私の銀行はフィッシング対策教育を軽視し続けています

2025年7月17日原文(moritz-mander.de)

概要

  • Sparkasse 銀行が送信したプロモーションメールとウェブサイトが フィッシング詐欺 と見間違えるほど類似
  • 利用者が 疑わしいリンクや個人情報入力 を求められる状況
  • 本物と詐欺の 見分けが困難 になり、セキュリティ教育を損なう懸念
  • ドメインやSSL証明書 の扱いも信頼性を低下させる要因
  • 法的リスクや 今後の改善策 についての考察

銀行からのメール:フィッシング詐欺との類似性

  • Sparkasse 銀行からのプロモーションメール受信
  • 件名や本文が非常に 一般的かつ曖昧、典型的なフィッシングメール調
  • 高額賞金や抽選 を強調、文脈が不明瞭
  • 本文内のリンクが 銀行と無関係なドメイン (gewinnen-mit-wero.de)
  • 個人名入り でパーソナライズされている点は本物らしさも演出

SparkasseとWeroの背景

  • Sparkasse は地域密着型の独立金融機関、ヨーロッパ最大の金融グループ
  • Wero はEPIによる新しいヨーロッパ発のデジタル決済システム
    • PayPalのようなP2P送金に特化、今後は店頭決済にも拡大予定

ウェブサイトの問題点

  • 銀行名や支店名 の記載が一切なし
  • ドメインが 誰でも取得可能な一般的名称
  • SSL証明書が Let’s Encrypt で、信頼性が低く見える
  • 抽選理由の説明がなく、ただ「お金が当たる」だけを強調
  • フルネーム・生年月日・IBAN・メールアドレス など、入力必須情報が多い
  • 本来は アプリ内で完結 すべきプロセスが外部サイトで実施

教育と信頼の問題

  • 本物の銀行がフィッシング風メールを送ることで教育が無意味に
  • 利用者が「怪しいが本物かもしれない」と 判断に迷う状況 を生む
  • 過去にもSMSで似た事例 があり、銀行側の認識不足が見られる

改善策の提案

  • 抽選やキャンペーンはアプリ内で完結 させる設計
  • サイトを sparkasse.deのサブドメイン や支店ドメインで運用
  • ドイツ政府のgov.de導入例 のように、公式性・一貫性のあるドメイン運用
  • 利用者が 安心してアクセスできる環境の整備

法的リスクと今後の影響

  • 銀行の不適切なサイト設計 が、将来的なフィッシング被害時の法的責任増大につながる可能性
  • ドイツでは「 重大な過失がなければ銀行が補償責任」という判例
  • 今後、 本物と詐欺の区別が困難な状況 が続けば、銀行側の責任が問われるリスク
  • セキュリティ技術の強化 だけでなく、利用者視点の 使いやすさ・信頼性 も不可欠

結論

  • 技術的なセキュリティ対策 は進んでいるが、 ユーザビリティ面での配慮が不足
  • 今回のような事例は、 フィッシング教育の信頼性を大きく損なう
  • 銀行や大手金融機関 は、利用者が安全にサービスを利用できるよう、 公式性・一貫性・透明性 を徹底する必要

Hackerたちの意見

意思決定のポジションにいるおバカさんたちは、自分の行動に伴うリスクに気づかないことが多いんだよね。自分や身近な人が被害にあって初めて気づく。詐欺にあったり、訴えられたりするケースね。2012年くらいまでは、アメリカでこういう人たちがビジネスをやってることが多かったけど、ホワイトハットやブラックハットのハッキングが急速に広がって、問題があっという間に解決されたんだ。

こういう組織の社会的ダイナミクスが、正しい人たちがその決定を下すための適切なポジションに上がるのを難しくしてる気がする。ほぼキャッチ-22状態だよね。良い効果的なポリシーを設定するには、たくさんの人に「ノー」と言わなきゃいけないことが多い。でも、昇進をコントロールしてる人たちの機嫌を損ねずにそれをするのは本当に難しい。

これらの企業は、CISOやEVP、SVP、たくさんのセキュリティディレクターがいるって書類上はなってるけど、実際にその経験がこういう決定につながるとは思えない。多くの状況で無能と悪意を区別するのは難しいけど、「ナイーブ」と呼ぶのは、顧客に敵対的な行動を間接的に許してるように思える。会社のサービスを安全に保つのは高くつくけど、安全じゃないことも高くつくから、理解できない。もしかしたら、顧客を失うことによる収益への影響が、正しくやるコストよりも低いから、心配しない方が安上がりなのかもしれない。それが本当なら、みんなにとって悲しい状態だよね。

以前、強力でよく管理されたセキュリティ文化を持つ金融サービス会社で働いてた。会社が買収された後、親会社の役員やグループからの様々なメールが第三者から届くようになった。買収された会社の私たちは、Slackでそのメールについて話し合った。メールは本物だと確信してたけど、対応するとセキュリティポリシーに違反するから、全員でフィッシングの試みとして報告することにした。悪意のあるコンプライアンスに関与しているのは理解してたけど、私たちの行動はベストプラクティスでもあったから、技術的には批判されることはなかった。しばらくすると、親会社の役員たちが事前に「これからこんなメールが来るから、こう対応してほしい」っていうメールを送ってくることがあった。当然、その事前のメールが本物かどうかの議論も始まった。しばらくして、私たちはこの悪意のあるコンプライアンスに興味を失い、買収した会社の緩いセキュリティ文化に染まっていった。

銀行のユーザー向けのテクノロジーやマーケティングのやり方は最悪だよ。インドの銀行のログインフォームは、パスワードマネージャーに対して敵対的なんだ。 - パスワードをコピー&ペーストできない。 - クライアント側でパスワードをハッシュ化してる。 - パスワードは15文字以下で、特定の文字セットしか使えないとか、バカみたいな条件がある!(HDFC、見てるぞ) - もちろん、普通のスパムも多いし。彼らは2000年代初頭に取り残されてるね。

インドの銀行とそのウェブサイトは、世界で最悪の部類に入ると思う。多くの状況でフォームを印刷したり、SMSベースの2FAを使ったり、複数のパスワードを管理したり、時には異なる条件があったりするから…多くのインド人が支店に行く手間を選ぶのも無理はないよね。

15文字以上はダメなんて、すごいね!私の銀行は、正確に6桁の数字を求めてくるんだ。文字じゃなくて、数字ね。パスワードマネージャーにも敵対的で、コピー&ペーストもできない。マウスで数字をクリックしなきゃいけない。「私のセキュリティ」がすごく大事だから、2段階認証を物理的なトークンから、スマホに紐づいたアプリに移行して、今はさらにSMSに進化させた!これ、近所の小さな銀行じゃなくて、フランスで一番か二番目に大きな銀行なんだよ。

数週間前、誰かがredditにインドの公営銀行のアプリがFirefoxをインストールしたユーザーに対して動作を拒否したというスクリーンショットを投稿して、大騒ぎになったことがあった。その銀行によると、それは「ユーザーデータを盗む可能性のある悪意のあるアプリ」だって。インドの銀行や多くの政府のウェブサイトは、ユーザーにとって非常に使いにくいものの一つだよね。昔は、これは主にテクノロジーに不慣れなユーザーを悪意のある行為者から守るためだと思ってたけど、銀行が安全でユーザーフレンドリーなウェブサイトを作るためのツールやフレームワークを使いたがらないことを考えると、意見が変わった。

あるインドの公的銀行のアプリは、カメラやフルファイルシステム、その他の重要な権限を与えないと全く動かないんだ。私の銀行からは、OPのようなスパムは一切来てない。でも、(少なくとも一般的な信念として)低レベルの従業員が定期的にアカウントの詳細を詐欺の電話に漏らしているようだ。

クライアント側のパスワードハッシング 俺の無知を許してほしいんだけど、これの何が問題なの?

私の銀行は、不審な活動がアカウントで検出されると電話をかけてくる詐欺検出システムを使ってる。で、アカウントの活動を確認するために、別の番号にかけ直すように言われるんだ。毎回電話してくるときに、違うコールバック番号を教えてくる。コールバック番号をネットで調べても、詐欺検出システムのウェブページしか出てこない。「どんな電話も信用するな」って書いてある(そのアドバイスは正しいけど、自分たちの正当な電話にも反応するなって言ってるんだよね)!

そうそう、彼らは自分たちのルールを守ってないよ。一度、私が1ヶ月くらい前にリクエストした保険の変更について、銀行から電話がかかってきて、セキュリティトークンで本人確認を求められたんだ。で、詐欺にあった人たちが驚くって、どういうこと?

Hacker Newsで議論の続きを見る