ページ内ジャンプ:

スラッシュドット・ジャパン

アレゲなニュースと雑談サイト

ユーザ登録でもっと便利に！

[ アカウントをゲット！ ]

セクション

Slashdot

ストーリー

情報提供

OSDNサイト

銀行ウェブサイトの大半はセキュアではない?

mhattaによる 2008年07月28日 8時00分の掲載
今調べたらどうなんだろう部門より。

pinbou 曰く、

本家/.の記事より。2006年当時、銀行ウェブサイトの4分の3以上には何らかの設計上の欠陥があり、顧客を金銭的損失や身元詐称の危険に晒していたことが分かった(Informationweekの記事)。米ミシガン大学のAtul Prakash教授らが2006年、214の銀行サイトを対象に行った調査で判明したもので、先週のSymposium on Usable Security and Privacyで発表されたという(論文[PDF])。あくまでアメリカの、それも2006年の調査結果とのことだが、日本でもあまり状況に変わりはないかもしれない。

関連ストーリー

デベロッパー: 最も危険なプログラミングエラーTop 25 41 コメント

IT: あなたの使ってる銀行、フィッシング詐欺は大丈夫？ 89 コメント

銀行ウェブサイトの大半はセキュアではない? | ログイン/アカウントの作成 | 29 個のコメント | コメント検索

各銀行の駄目出しをしてみる (スコア:5, 興味深い)

Anonymous Coward : 2008年07月28日 9時18分 (#1391747)

以前に中の人とネットバンキングに関する雑談をしていたときのこと。

彼曰く”僕は怖いから(ネットバンキング利用可能な)登録しませんよ。”と。
そこらへんにすべてが集約されているのだと思います。

以前のパスワードひとつの新生銀行などはやられ放題でしたし、乱数表をつかっている銀行も大したことない
と思います。

特に住友信託銀行、ひどいですね。乱数表からの数字がログインや試行のたびに要求されるのですが、要求
されるのは乱数表１０個のうちの２個。
しかも乱数は１０個しかないうちの小さい順に２つという組み合わせなので、スパイウェアが入ったPCなら
あっというまに乱数全部ばれてしまいます。っていうか、ログインの時点では参照系しか必要ないから貴重
な乱数つかわせちゃいかんだろ。設計したやつ出てきて謝れ、という感じですかね。
口座番号とユーザーIDが違うところだけは評価しますが、その他の部分は最低です。

三井住友銀行もひどいですね。SecureIDがオプションサービスで月100円とか、入出金のメールサービスが
月100円ってセキュリティの根本的な部分ですのでそこで商売してどうするの？と思います。
ここも基本は乱数表で16個のマスからひとつ選ぶ形ですね。出来るだけ、無駄な乱数の消費が無いよう配慮
されていますが、所詮は16個の乱数表の世界です。知れています。SecureIDがオプションにある程ですので
確信犯なんでしょうね。

海外の銀行の話になりますが、SecureIDか、ワンタイムパスワードが主流です。
SecureIDもワンタイムパスワードの一種ではありますが、ほかに原始的なやり方として、”紙による”
ワンタイムパスワードってのがあるんですね。A4の紙にたくさんパスワードが印刷されていて、パスワード
ごとに小片に切れる形です。無くなりそうになれば次の紙を請求する感じですね。
よほど原理的に安全だし、シンプルなのかな、と思います。

コメントを書く
- Re:各銀行の駄目出しをしてみる (スコア:2, すばらしい洞察)
  
  kawauso (5796) : 2008年07月28日 16時26分 (#1392064) ホームページ
  
  そのとおりですね > 貴重な乱数
  
  新生銀行も最近乱数表を採用しましたけど、ログイン時に要求するタイプです。
  あとログイン時に口座の暗証番号も入れるようになってるんですが、これも疑問です。
  
  なんというか、たくさん入力させれば強度が増すだろうという発想が
  間違ってる気がします。
  
  コメントを書く
  
  親コメント
- Re:各銀行の駄目出しをしてみる by Vorspiel (スコア:1) 2008年07月29日 14時01分
  - 1個のコメントが現在のしきい値以下です。
- Re:各銀行の駄目出しをしてみる by morikun (スコア:1) 2008年07月28日 11時28分
  - 1個のコメントが現在のしきい値以下です。
- Re:オフトピだが・・・ by The Inelegance (スコア:1) 2008年07月28日 12時31分
- Re:オフトピだが・・・ by ukenerai (スコア:1) 2008年07月28日 20時42分
- 4個のコメントが現在のしきい値以下です。
銀行関係者に、セキュリティに詳しい技術者が少ない (スコア:1)

renja (12958) : 2008年07月28日 8時57分 (#1391733)

n-Proなどを使って安心している時点で程度が知れるという物かとおもいますが、
銀行関係者、特に重役などにはネットワーク関係のセキュリティ知識がある人が少ないのです。
それ故、実効性より宣伝的に有利に働く方法を選んでいるという面があります。

--

ψアレゲな事を真面目にやることこそアレゲだと思う。

コメントを書く
- Re:銀行関係者に、セキュリティに詳しい技術者が少ない by Anonymous Coward (スコア:1) 2008年07月28日 9時42分
  - 1個のコメントが現在のしきい値以下です。
日本でも状況はあまり変わらない (スコア:1)

bakuchikujuu (16666) : 2008年07月28日 18時53分 (#1392163) ホームページ日記

むしろ、日本ではもっとダメなようにも思います。

論文 [cmu.edu]にてきとーに目を通してみました。

　以下、INTRODUCTION より抜粋。
＃英語MANが読めるぐらいなら軽く読めるかと思います
1. Break in the chain of trust:
Some websites forward users to new pages that have different domains without notifying the user from a secure page. In this situation, the user has no way of knowing whether the new page is trustworthy.

2. Presenting secure login options on insecure pages:
Some sites present login forms that forward to a secure page but do not come from a secure page. This is problematic because an attacker could modify the insecure page to submit login credentials to an insecure destination.

3. Contact information/security advice on insecure pages:
Some sites host their security recommendations, contact information, and various other sensitive information about their site and company on insecure pages. This is dangerous because an attacker could forge the insecure page and present different recommendations and contact information.

4. Inadequate policies for user ids and passwords:
It is important to maintain consistent and strong policies on passwords and user ids. We found some sites allow customers to use short passwords or they require e-mail addresses for user names.

5. E-Mailing security sensitive information insecurely:
E-mailing any sensitive information is dangerous. We found that some sites offered to send statements and passwords through email but not very many people have secure e-mail.

1. Break in the chain of trust:
2. Presenting secure login options on insecure pages:
3. Contact information/security advice on insecure pages:

　以上3点に問題がない銀行ウェブサイトがどれだけあるでしょうか…。どれかが引っかかる、あるいは、全部ひっかかるのでは？

　それらを満たしていないことによって、以下のようなことが起こりえるでしょう。

・普段使っているインターネットバンキングのログインページ(https:～)をブックマークから開いたが繋がらず
/* 経路上で阻害されていたり、hostsファイルを改竄されていたり */
・どうしたのだろうと思い、その銀行のWebサイト(http:～)を開く。インターネットバンキングの設定変更を促すお知らせ(http:～)があり、そこからリンクを辿ってログインページ(https:～)を開き、ログイン
/* 銀行のWebページが経路上で改竄されたりそもそも別サイトに繋がっていたりして、罠のログインページに誘導された。罠サイトの証明書自体が正式な物ならば、SSL関連の警告は出ない(*) */
→ID・パスワード・乱数表などを取得される。ワンタイムパスワードの類であっても、振り込み操作に割り込まれて意図しない口座への振り込み等が行われる

　逆に、それらを満たしていれば、改竄や罠サイトへの誘導に気づくチャンスがあります。チャンスがあるだけなので、注意していなければ気づかないかもしれませんが。

*:SSL関連の警告は出ない
　EV SSLと対応ブラウザなら、運営者が異なっていたり罠サイトがEV SSLに対応していなかったりで、気づくかも。

コメントを書く
それって僕にもつかえるものなんですか？ (スコア:1)

SAW_Z (15894) : 2008年07月28日 23時27分 (#1392359) 日記

Windowsでしか利用できないのが普通だって時点で
そういうサービスに、興味を持つ価値が無いと思ってはや数年。

そもそも、そういう状況は変わったのでしょうか？

#口座残高面でも有用性が無い気がする

コメントを書く
2個のコメントが現在のしきい値以下です。

スラッシュドット・ジャパン

アレゲなニュースと雑談サイト

セクション

セキュリティ

Slashdot

ストーリー

情報提供

OSDNサイト

関連ストーリー一覧

銀行ウェブサイトの大半はセキュアではない?

関連ストーリー

各銀行の駄目出しをしてみる (スコア:5, 興味深い)

Re:各銀行の駄目出しをしてみる (スコア:2, すばらしい洞察)

銀行関係者に、セキュリティに詳しい技術者が少ない (スコア:1)

日本でも状況はあまり変わらない (スコア:1)

それって僕にもつかえるものなんですか？ (スコア:1)

閉じる