丸太SOFT 説明 総合説明HEAD-LOCKMENU-MULTI
世界唯一無二 「pkfcx」
バックアップできないWindowsネットバンキングの電子証明書を「強制バックアップ」する!!
インターネットバンキングを利用されている企業の担当者・個人の方に朗報!!
「pkfcx」 Private Key ForCe eXport
Windows電子証明書「強制バックアップ」ツール
ネットバンキングに使っているWindowsパソコンがある日急に不調または壊れたとき、買い換えたとき、
そのバンキングの回復手続に何日もかかり非常に面倒な思いをしたことはありませんか?
ネットバンキング電子証明書のバックアップがとれずに困っていませんか?
あるいはそのような経験がなくても、ネットバンキングに使っているパソコンが不調または壊れたとき、
多くの場合その回復に非常に面倒な手続きが必要になることをご存知ですか?
「pkfcx」はインターネットバンキング等、Windows電子証明書の「強制バックアップ」ツールです。
秘密鍵エクスポート不可となっていてバックアップできないWindowsの電子証明書を
強制的に秘密鍵付きで「完全バックアップ」します。
ネットバンキングでは、旧来よりのID・パスワードだけでログインする方式にかわり、
これらID・パスワードと電子証明書を組み合わせてログインする方式が主流になっています。
現在、個人利用でのネットバンキングでは、まだまだ旧来方式が残存しているところもあるようですが、
今後は企業利用も個人利用も全て「電子証明書」方式だけになるでしょう。
ところで
「電子証明書」方式を利用しているときにそのパソコンが不調または壊れた場合に、
そのバンキングを回復するには「証明書のバックアップ」が必要というか、それさえあればいいのですが、
ほぼ99%の銀行がこの「証明書のバックアップ」をできないようにしてしまっています。
具体的には秘密鍵をエクスポートできない状態にして「完全なバックアップ」が取れないようにしています。
「不完全なバックアップ」を行った電子証明書では(それを戻しても)ネットバンキングはできません。
証明書をバックアップしようとするとこのような画面になり「完全なバックアップ」が取れない
インターネットバンキングに限らず、一般的にWindowsの電子証明書においては、
電子証明書が作成あるいはインポート(外部からの読込み)されるとき、
その秘密鍵をセキュリティ保持の観点から「エクスポート(外部への保存)不可」に設定する機能があります。
一度この「秘密鍵エクスポート不可」に設定された電子証明書は
以降一切「秘密鍵付きでのエクスポート」ができなくなります。
「秘密鍵無しでのエクスポート」はできますが、それではまったく本来の用を成しません。
これはWindows上での絶対的な制約です。
インターネットバンキングで使われる電子証明書ですが、
ほぼ99%の銀行がその生成時、問答無用で「秘密鍵エクスポート不可」に設定してしまいます。
これはセキュリティ保持のため、
すなわち電子証明書がそのパソコンから外部に盗難されることを防止するためのものですが、
場合によっては「迷惑なおせっかい」になります。
私の知る限りこの設定をユーザーに選択させている銀行は数行しかありません。
いずれにせよ一度「秘密鍵エクスポート不可」でパソコンに保存されてしまった電子証明書は、
内部的には秘密鍵があるのに以降「完全なバックアップ」は取れません。
このセキュリティの構図は、例えるなら「一度はめたら二度と外れないシートベルト」です。
車が「パソコン」、シートベルトがこの「セキュリティ」、運転者が「電子証明書」です。
そんなシートベルトなら電子証明書たる運転者はあらゆる事故からいつも守られるかもしれませんが、
ある日、車が電柱に衝突します。運転者はシートベルトゆえに無傷でした。
ところが車が燃え始めたため外に脱出しようとします。
が、当然のことながら「二度と外れないシートベルト」ゆえに脱出はできず車もろとも「炎上」です。
目前でパソコンが壊れることが予知できても、その中の電子証明書は救えません。
この場合、証明書を銀行から再発行してもらうしかありませんが、
多くの銀行がこの再発行手続を「店頭文書申請」としています。
結果バンキングが回復するまでに数日〜最悪1週間を要することとなります。
しかし、今日が支払日の企業で、しかも支払先が数十数百あるような場合、
これはたまりません。
バンキング回復だけでなく、送金手配も「店頭文書申請」となるからです。
1.ネットバンキングはその電子証明書の入ったパソコンでしか利用できない
2.もしそのパソコンが故障等で使用不能になった場合、通例それがマスターユーザーの場合、
   あらためてその電子証明書の作成を銀行に依頼しなければならない
3.そして多くの銀行がこの手続につき店頭での文書申請としているため回復には数日を要する
4.その間ネットバンキングはできなくなる
ということです。
セキュリティ保持も重要ですが、
ユーザーにとって自らバックアップのコントロールができないと、時に非常に不便なことになります。
銀行によって種々の違いはありますが、概ね証明書にまつわるアクションの可否はこのようになります。
管理ユーザー 利用ユーザー
ユーザーの新設・変更・削除 店頭文書申請のみ 管理ユーザーの操作により随時可能
証明書 新発行・定時更新 ネット上で適宜可能 ネット上で適宜可能
端末(パソコン)変更 不可 (下段、証明書の再発行手続要) 不可 (但し下段、証明書の再発行で同等可能)
証明書 再発行 店頭文書申請のみ 管理ユーザーの操作により随時可能
証明書 バックアップ(エクスポート) 不可 不可
ここで「利用ユーザー」とはネットバンキング契約後、管理ユーザーによって自由に新設・変更・削除できるユーザーのことで、
そのような構成のないネットバンキングもあります。
一般的にネットバンキングの電子証明書は、初回発行時バックアップ不可でパソコンに格納されるため
以降、操作可能端末がそのパソコンに固定されます。
証明書は発行後1年間有効のため、1年内毎に更新していきますが、
更新するためには更新前の証明書が必要なので、やはり同一端末上から更新するしかありません。
端末の故障・買換えが起こったときは、証明書の再発行申請となります。
一般的に「利用ユーザー」であれば「管理ユーザー」の操作によるオンライン処理で解決できますが、
それでも、証明書再発行は翌営業日以降になるのが通例です。
場合によって「利用ユーザー」の証明書再発行すら店頭文書申請の銀行もあります。
ただその場合でも通例「利用ユーザー」の「新設」と「証明書新規発行」は
管理者がオンライン処理で可能な場合が多く、この機能を使って、
旧来利用ユーザーを捨てて、これを新設の利用ユーザーとしてしまえば時間短縮にはなります。
しかし管理ユーザーの場合、ほぼ99%の銀行で証明書のバックアップを禁止不可としているため、
もしその端末に故障・買換えが起こった場合99%、
証明書の再発行を「店頭文書申請」しなければならなくなります。
しかし、もし「秘密鍵付きでエクスポートされた電子証明書のバックアップ(完全なバックアップ)」
がありさえすればこれら問題は解決します。
秘密鍵付きのバックアップ電子証明書があるならば、
1.ネットバンキングはその電子証明書の入ったパソコン以外でも利用できる
2.もしそのパソコンが故障等で使用不能になった場合
   別のパソコンにバックアップしてあった電子証明書をインポートするだけ
3.銀行に対するなんの申請手続きもいらない
4.ネットバンキングはすぐに継続して利用できる
ということです。
「pkfcx」は、「秘密鍵エクスポート不可」に設定された電子証明書につき、
このWindows上でのこの絶対的な制約を回避して、「秘密鍵付きでエクスポートする」こと、
すなわち電子証明書の「完全なバックアップ」を取ること可能にします。
「pkfcx」はインターネットバンキング等、Windows電子証明書の「強制バックアップ」ツールです。
秘密鍵エクスポート不可となっていてバックアップできないWindowsの電子証明書を
強制的に秘密鍵付きで「完全バックアップ」します。
また証明書に限らず、
Windows上でエクスポート不可となっている秘密鍵の全てをエクスポートすることができます。
このように秘密鍵付きで「完全なバックアップ」が取れるようになる
よく「ネットバンキングの電子証明書ではその生成時のパソコンのロケーション情報を(どこかに?)
保持しているので、仮に電子証明書がエクスポートできたとしても他のパソコンでは使えない」
という話も聞きますが、そんなことはありません。
私は、問答無用で秘密鍵エクスポート不可の電子証明書を発行(生成)する
多くの銀行のネットバンキングで、本ソフトを使い秘密鍵付でエクスポートした電子証明書が
他のパソコンで完全に問題なく使えることを確認しています。
「pkfcx」の「強制的に秘密鍵をエクスポートする」機能は当然のことながら、
公開/非公開を含めWindowsのAPIには存在しません。

それがあるなら「秘密鍵エクスポート不可」の仕組み自体が無意味になってしまいますから。
そこで「pkfcx」では、「独自の工夫でこれを実現」しています。
ゆえに 世界唯一無二 なのです。
電子証明書とは、電子的に作られた身分証明書のようなもので、
ネットバンキングに限らずいろいろな用途に使われるものですが、
ネットバンキングでは、パソコンに保存された電子証明書を、
バンキング利用時に銀行側のサーバーに提示することにより、
その利用権限がある正当なパソコンであると確認してもらう目的で利用されます。
インターネットバンキングでは、銀行と利用者それぞれが電子証明書を持っています。 銀行の電子証明書(サーバ証明書)はSSLサーバ証明書発行サービス会社が運営する認証局が発行します。 一方、利用者の電子証明書は銀行が運営する認証局が発行します。 銀行は利用者の電子証明書を確認すれば、ニセモノではない正当な顧客であることを判断できます。 一方の利用者は、銀行のサーバ証明書を確認すれば、 自分がアクセスしたインターネットバンキングのウェブサイトがニセモノではないことを判断できるのです。 そして、利用者と銀行の間の通信はサーバ証明書を使った暗号化がなされているので、 残高照会や振込に必要な情報が漏えいすることを防止できます。

上段の文言及び画像の引用元 下記15頁
http://www.symantec.com/content/ja/jp/enterprise/other_resources/pki_guide_basic.pdf
電子証明書の重要な構成要素には、右の図のように
「公開鍵」と「秘密鍵」があります。
これらは「暗号化」等に利用される長い数字の羅列が
実体で、「公開鍵」と「秘密鍵」はペアで生成されます。
上段の説明によるとネットバンキングの電子証明書は
銀行のサーバーが利用者に対して「発行する」、
とありますから、この「公開鍵」や「秘密鍵」も
銀行のサーバー側で作られるようにも思えますが、
そうではありません。
右の図でいう「加入者(利用者)の情報」はもとより
「加入者(利用者)の公開鍵」も
「加入者(利用者)の秘密鍵」も
利用者側のパソコン内でまずは生成されます。
生成されたそれら情報のうち、「利用者の情報」と
「利用者の公開鍵」の情報が銀行のサーバーに渡り、
銀行のサーバーではそのサーバー側の秘密鍵で
それら受け取った情報を「デジタル署名」します。
そして最後にそれらのまとまりを
「電子証明書」として利用者側に返してきます。
画像の引用元 http://www.ipa.go.jp/security/pki/031.html
よって銀行側は実は、利用者の「秘密鍵」がどうなっているのかは知りません。
また正確には秘密鍵は証明書の構成要素ではなく、構成要素の「公開鍵」にペアとして関連するものです。
にも関わらず先ほどから、
「ほぼ99%の銀行がこの「証明書のバックアップ」をできないようにしてしまっています。」
「具体的には秘密鍵をエクスポートできない状態にして完全なバックアップが取れないようにしています。」
と言っているのはどういうことでしょう。
証明書の生成には上のように一連の複雑な手続きが必要なため、
通例、証明書発行時は、それを発行しようとする銀行側がそれを生成するプログラムを用意し、
利用者側のパソコン内でそれを走らせます。
そのプログラム内で利用者の公開鍵・秘密鍵が生成されますが、
そのとき同時にWindowsの機能として存在する「秘密鍵エクスポート不可」というフラグを立ててしまいます。
これで二度と「秘密鍵」はエクスポートすなわちそのパソコンの外部に出すことができなくなるのです。
そういう原理ですので技術的には、
利用者側でこれら銀行側が用意した証明書生成プログラムが走っている最中に
「秘密鍵エクスポート不可」フラグを立ててしまう部分をバイパスしてしまえば
「秘密鍵エクスポート不可」とか「電子証明書がバックアップできない」という問題は回避できます。
ただこの方法では「既に秘密鍵エクスポート不可」になっている証明書はどうにもなりませんので、
「pkfcx」では違うアプローチでこの問題に対処しています。