アイワイバンクのログオン画面に通信が暗号化されない不具合
アイワイバンクのログオン画面に、不具合が発見された。発見された不具合とは、ログオン画面がSSLで暗号化されないことがあったというもの。
製品・サービス・業界動向
業界動向
トップページからログオン画面に入る場合は、しっかりとSSL暗号化されているのだが、下記URLのページからログオン画面に入ると暗号化されない。
http://www.iy-bank.co.jp/service/internet/banking/index.html
問題となるのは、このウィンドウはJavaScriptで開くように指定されており、更にアドレスバー、ステータスバーを表示しないように設定されていることにある。これでは、アドレスにおいて「https:」となっているのかいないのかの確認も、ステータスバーに表示される鍵のアイコン(ネットスケープなら右下、IEなら左下にある)の確認もできないのである。同銀行ではセキュリティポリシーとして以下のように謳っている。
アイワイバンクのインターネット/モバイルバンキングは、ベリサインのグローバル・サーバIDを採用しています。全てのデータ通信は、128bitSSL暗号か通信により高度のセキュリティで保護されています。
これを見た利用者は、「https:」もしくは鍵のアイコンを確認せずに信用して、ID・パスワードを入力してしまうだろう。
現在、アドレスバーやステータスバーを非表示にする設定を行っているサイトが多くある。流行というものだろうが、これらがないと利用者が自分が確かに、自分の意図したサイトにいるのか、また、そこでの通信が暗号化されているのかの確認ができなくなる。
確かに、アドレスバーやステータスバーを非表示にするとすっきりとした見た目になるので、流行るのは理解できなくもないが、今回のように利用者が危険にさらされることは避けなければならない。利用者の危険性を減少させるためにも、これらの情報は表示すべきである。また、今回の件とは関係ないが、弊誌ではたびたび「JavaScriptの危険性」に警鐘を鳴らしており、JavaScriptを使用しなければ正常に表示できないサイト、利用できないサイトを「R-MSサイト」と呼んでいる。
スクリプト強要する企業サイト一覧 危険なサイトに「R-MSマーク」を
https://www.netsecurity.ne.jp/article/1/3269.html
なお、アイワイバンクのこの問題は既に改善されており、現在はステータスバーのみが表示されるようになっており、鍵のアイコンを確認できる。しかし、改善前のログオンエラーの画面は現在も残っており、「http:」であったことが確認できる。
改善前のログオンエラーの画面
http://www.iy-bank.co.jp/syspr/ZN010030.html
《ScanNetSecurity》