アイワイバンクのログオン画面に通信が暗号化されない不具合 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2018.10.19(金)

アイワイバンクのログオン画面に通信が暗号化されない不具合

 アイワイバンクのログオン画面に、不具合が発見された。発見された不具合とは、ログオン画面がSSLで暗号化されないことがあったというもの。

製品・サービス・業界動向 業界動向
 アイワイバンクのログオン画面に、不具合が発見された。発見された不具合とは、ログオン画面がSSLで暗号化されないことがあったというもの。

 トップページからログオン画面に入る場合は、しっかりとSSL暗号化されているのだが、下記URLのページからログオン画面に入ると暗号化されない。
http://www.iy-bank.co.jp/service/internet/banking/index.html

 問題となるのは、このウィンドウはJavaScriptで開くように指定されており、更にアドレスバー、ステータスバーを表示しないように設定されていることにある。これでは、アドレスにおいて「https:」となっているのかいないのかの確認も、ステータスバーに表示される鍵のアイコン(ネットスケープなら右下、IEなら左下にある)の確認もできないのである。同銀行ではセキュリティポリシーとして以下のように謳っている。


アイワイバンクのインターネット/モバイルバンキングは、ベリサインのグローバル・サーバIDを採用しています。全てのデータ通信は、128bitSSL暗号か通信により高度のセキュリティで保護されています。


 これを見た利用者は、「https:」もしくは鍵のアイコンを確認せずに信用して、ID・パスワードを入力してしまうだろう。

 現在、アドレスバーやステータスバーを非表示にする設定を行っているサイトが多くある。流行というものだろうが、これらがないと利用者が自分が確かに、自分の意図したサイトにいるのか、また、そこでの通信が暗号化されているのかの確認ができなくなる。

 確かに、アドレスバーやステータスバーを非表示にするとすっきりとした見た目になるので、流行るのは理解できなくもないが、今回のように利用者が危険にさらされることは避けなければならない。利用者の危険性を減少させるためにも、これらの情報は表示すべきである。また、今回の件とは関係ないが、弊誌ではたびたび「JavaScriptの危険性」に警鐘を鳴らしており、JavaScriptを使用しなければ正常に表示できないサイト、利用できないサイトを「R-MSサイト」と呼んでいる。

スクリプト強要する企業サイト一覧 危険なサイトに「R-MSマーク」を
https://www.netsecurity.ne.jp/article/1/3269.html

 なお、アイワイバンクのこの問題は既に改善されており、現在はステータスバーのみが表示されるようになっており、鍵のアイコンを確認できる。しかし、改善前のログオンエラーの画面は現在も残っており、「http:」であったことが確認できる。

改善前のログオンエラーの画面
http://www.iy-bank.co.jp/syspr/ZN010030.html

《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

(。・ω・)ゞ !!ScanNetSecurity創刊20周年特別キャンペーン実施中。会員限定 PREMIUM 記事読み放題。早割10月末迄。現在通常料金半額以下!!
<b>(。・ω・)ゞ !!ScanNetSecurity創刊20周年特別キャンペーン実施中。会員限定 PREMIUM 記事読み放題。早割<font color=10月末迄。現在通常料金半額以下!!">

サイバーセキュリティの専門誌 ScanNetSecurity は 1998年の創刊から20周年を迎え、感謝を込めた特別キャンペーンを実施中。創刊以来史上最大割引率。次は30周年が来るまでこの価格はもうありません

×