【マンスリーレポート　2002/05】企業の危機管理意識は何処へ？　金融業界の惨状を探る

　2002年5月から、次々と主要都市銀行のWebサイトにクロスサイトスクリプティング脆弱性などの問題点が発見、報告されている。銀行のシステム不安は、一行の問題だけでは済むものではない。日本経済そのものに甚大な影響を与える、まさに日本経済の死活問題である。いったい、金融業界の危機管理意識はどこへ行ってしまったのだろうか。まさに、護送船団方式でぬるま湯につかっていた代償といえるのではないか。

>> すべての都銀にセキュリティ不安

　これまでにセキュリティ上の問題点が指摘された主な銀行は、以下のとおり。4月3日のインターネットバンキングログイン画面でクロスサイトスクリプティングの脆弱性が見つかったみずほ銀行から始まり、5月にはUFJ銀行が採用ページで、大和銀行、あさひ銀行、三井住友銀行でも脆弱性が発見された。また、新生銀行では、インターネット口座「PowerFlex口座」申し込みページでクロスサイトスクリプティングが見つかるなど、深刻な問題も発見された。

　このラインナップを見れば一目瞭然だが、全ての主要都銀において、Webサイトに何らかのクロスサイトスクリプティングの脆弱性が発見されているのだ。この結果は、銀行のWebサイト構築およびセキュリティ対策の杜撰さを如実に表しているといえる。

　特に銀行のWebサイトの場合、銀行口座番号や暗証番号、その他個人情報など、悪用された場合にユーザへの被害が甚大かつ深刻になるケースが多く、銀行側は二重三重にもセキュリティ対策を講じなければならないところだ。しかし、こうした「申し込みページ」や「ログイン」など、本来ならば、高度なセキュリティレベルを保たなければならない場所でも、クロスサイトスクリプティングの脆弱性が報告されているのはいかがなものだろう。一方、「検索ページ」「Not Found 表示ページ」「Bad Request 表示ページ」に脆弱性が発見されたケースでは、悪用するためにWeb技術や、ソーシャルハッキング技術など高度な技術を駆使する必要があるため比較的危険性が少ないが、もし悪用された場合のユーザへの被害の大きさは、「ログイン」ぺージ等と変わらないといえる。

　いずれにせよ、高度な技術が必要なケースでセキュリティ上の問題が生じるならまだしも、それほど知識がなくとも個人情報を容易に手に入れられるところで、セキュリティ上の問題があるというのは言語道断である。これでは銀行側のセキュリティ対策が“不備”もしくは“皆無”だと言わざるをえない。銀行の根幹である“信用”も自ら放棄していることに等しいのだ。

>> 護送船団方式を貫く危機管理体制

　こうしたセキュリティ上の問題が起こったときに、一番重要なことが危機管理体制の整備だ。しかし、ここにも“殿様商売”気分の銀行の杜撰ともいえる対応が見え隠れする。その中でも、最も危惧すべきなのは、Web全体にわたって、このようなセキュリティ問題を報告すべきメールアドレスもフォームも存在しない東京三菱銀行だ。

　東京三菱銀行で発見された脆弱性は、中途採用のためのサーバのシステムの古さに起因するものが1ヶ所見つかっただけ、とそれほど深刻な問題ではない。問題なのは、こうしたセキュリティ問題を報告する連絡先がないという点だ。メールアドレスやフォームがないのはもちろんのこと、記載されている電話番号にかけても、誰も電話にでることがなく「営業時間外」である旨のアナウンスがむなしく流れるだけだった。ネットワークという特性上、セキュリティ問題が起こった場合の連絡先をドメインごとに明らかにして登録しているが、この登録されている電話番号、メールアドレスともに、連絡はとれなかった。

【執筆：森山牧子】

（詳しくはScan Incident Reportをご覧ください）
http://shop.vagabond.co.jp/m-sir01.shtml