アイワイバンクのログオン画面に通信が暗号化されない不具合
アイワイバンクのログオン画面に、不具合が発見された。発見された不具合とは、ログオン画面がSSLで暗号化されないことがあったというもの。
製品・サービス・業界動向
業界動向
トップページからログオン画面に入る場合は、しっかりとSSL暗号化されているのだが、下記URLのページからログオン画面に入ると暗号化されない。
http://www.iy-bank.co.jp/service/internet/banking/index.html
問題となるのは、このウィンドウはJavaScriptで開くように指定されており、更にアドレスバー、ステータスバーを表示しないように設定されていることにある。これでは、アドレスにおいて「https:」となっているのかいないのかの確認も、ステータスバーに表示される鍵のアイコン(ネットスケープなら右下、IEなら左下にある)の確認もできないのである。同銀行ではセキュリティポリシーとして以下のように謳っている。
アイワイバンクのインターネット/モバイルバンキングは、ベリサインのグローバル・サーバIDを採用しています。全てのデータ通信は、128bitSSL暗号か通信により高度のセキュリティで保護されています。
これを見た利用者は、「https:」もしくは鍵のアイコンを確認せずに信用して、ID・パスワードを入力してしまうだろう。
現在、アドレスバーやステータスバーを非表示にする設定を行っているサイトが多くある。流行というものだろうが、これらがないと利用者が自分が確かに、自分の意図したサイトにいるのか、また、そこでの通信が暗号化されているのかの確認ができなくなる。
確かに、アドレスバーやステータスバーを非表示にするとすっきりとした見た目になるので、流行るのは理解できなくもないが、今回のように利用者が危険にさらされることは避けなければならない。利用者の危険性を減少させるためにも、これらの情報は表示すべきである。また、今回の件とは関係ないが、弊誌ではたびたび「JavaScriptの危険性」に警鐘を鳴らしており、JavaScriptを使用しなければ正常に表示できないサイト、利用できないサイトを「R-MSサイト」と呼んでいる。
スクリプト強要する企業サイト一覧 危険なサイトに「R-MSマーク」を
https://www.netsecurity.ne.jp/article/1/3269.html
なお、アイワイバンクのこの問題は既に改善されており、現在はステータスバーのみが表示されるようになっており、鍵のアイコンを確認できる。しかし、改善前のログオンエラーの画面は現在も残っており、「http:」であったことが確認できる。
改善前のログオンエラーの画面
http://www.iy-bank.co.jp/syspr/ZN010030.html
《ScanNetSecurity》
アクセスランキング
-
ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ
-
クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存
-
今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃
-
2023年「業務外利用・不正持出」前年 2 倍以上増加 ~ デジタルアーツ調査
-
クラウド型データ管理システム「ハイクワークス」のユーザー情報に第三者がアクセス可能な状態に
-
信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖
-
雨庵 金沢で利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信
-
「味市春香なごみオンラインショップ」に不正アクセス、16,407件のカード情報が漏えい
-
SECON 2024 レポート:最先端のサイバーフィジカルシステムを体感
-
トレーニング 6 年ぶり復活 11/9 ~ 11/15「CODE BLUE 2024」開催