UFJ 銀行 セキュリティホールの対処を完了の告知 残る疑問と課題
>> 対処完了の告知が掲載
製品・サービス・業界動向
業界動向
昨日お伝えしたUFJ 銀行のサーバーに存在するクロスサイトスクリプティングの脆弱性に関し、同行からの発表がWebサイトに掲載された。
UFJ銀行
当行サーバーのセキュリティに関する報道内容について
http://www.ufjbank.co.jp/topics/0117.html
UFJ銀行のサーバーにクロスサイトスクリプティングの脆弱性(2002.1.17)
https://www.netsecurity.ne.jp/article/1/3737.html
この発表では、サーバーにセキュリティホールがあるバージョンの物が使用されていることが表記されており、17日にバージョンアップを行ったとしている。弊誌でも確認をしたところ、確かにバージョンアップが行われており、クロスサイトスクリプティングの脆弱性も解消されているようである。
なお、昨日の記事で「Netscape-Enterprise/4.0」が使用されているとしていたが、正確にはNetscape-Enterprise/3.6 SP1」なども一部利用されていたようである。
しかしながら、問題発生後の顧客への対応に問題があると考えられる。まず、リリースの中には、預金者などのサービス利用者に対してのお詫びの言葉がない。いくらサーバーのアップデートを行ったとしても、脆弱性を含んでいたサーバーを使用し、危険性をはらんだまま運用されていたのは確かである。まずは顧客へのお詫びを掲載するのが第一ではないだろうか。
>> システムの脆弱性だけではなかった問題点
UFJ 銀行では、アクセスが集中してアクセスしにくい際に、システム関連会社に直接ログインするように告知を行っていた。
特に今回は業務開始直後ということもあったかもしれない。そのため、異なるドメインのサイトでログインするような表記も見受けられた。現在はこの臨時ログインサイトは閉鎖されているが、預金者にとって不安な要素は少なくない。
臨時ログイン画面閉鎖のお知らせ(旧臨時ログイン画面へのURL)
http://www.csweb.co.jp/TBK/ufj/login.htm
ここで指定されている URL は、UFJ 銀行のものではなく、預金者から見た場合、「全く知らないサイト」にゆくように指示がでていたことになる。銀行の業務を銀行とは別法人の企業に直接ログインして行うのは、常識的にはかなり危険な行為である。銀行自身が、飛び先のくわしい説明もせずに、異なるサイトでのログインを指示するのは、問題と考えられる。
同行のサイト上には、セキュリティポリシーという文章もあるが、当然ながらそのポリシーは、同行サイト上に限定されており、今回指示ログインを指示したサイトは含まれていない。
>> 脆弱性に対する説明不足
また、預金者に対して、安全であるといっていない点も問題である。クロスサイトスクリプティングの脆弱性には、Cookieの奪取の他にも多くの危険性が存在する。これら危険性について、なんら否定していないのはなぜなのだろうか?安全ならそれをはっきり説明して預金者に安心を与えるべきであるし、危険性があったのなら、ちゃんと説明すべきではないだろうか。
具体的には、SSL/TLSを使用していても危険であったり、サイトで設定するドメインのセキュリティポリシー回避が可能であったり、環境によっては、攻撃者はフォームの動作を変更させて異なる結果を生成させることができるなどの問題もある。これらの危険性は下記のページに詳しい話が掲載されているので、サイト管理者は一度は目を通しておくべきだろう。
IPA
Webサイトにおけるクロスサイト スクリプティング脆弱性に関する情報
- ユーザーのセッションが奪われる可能性 -
http://www.ipa.go.jp/security/ciadr/20011023css.html
UFJ銀行はこれらの問題に関しても、今回のアップデートで解決している点を顧客に説明し(もちろん、他のセキュリティホールが無いとも、言えなくはないが……)、無用な心配を与えないようにするなどのケアも必要ではないだろうか。
また蛇足になってしまうが、今回の発表中で今回の報道に関して、Yahoo!ニュースによるものとしている。しかし、実際のところ、今回の報道は本誌のみが報じており、Yahoo!ニュースを含め、本件に関する報道は本誌の転載である。若干の事実誤認があるようだ。
昨日もお伝えしたとおり、弊誌では同行宛に今回の問題に関して、メールと電話により連絡を行っているが正式な連絡は無かった。
[Prisoner Chaturanga]
□ 関連情報
・2ch ここの銀行のセキュリティって甘そう
記事の作成にあたり、本掲示板の情報をもとに検証作業などを行いました。誌面より、お礼を申し上げます。この掲示板には詳細な情報が掲載されているため、UFJ 銀行の対処が完了するまで、掲載を控えておりました。あらかじめご了承ください。
http://pc.2ch.net/test/read.cgi/sec/1007968094/
《ScanNetSecurity》