アイワイバンクのログオン画面に通信が暗号化されない不具合 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2018.07.23(月)

アイワイバンクのログオン画面に通信が暗号化されない不具合

製品・サービス・業界動向 業界動向

 アイワイバンクのログオン画面に、不具合が発見された。発見された不具合とは、ログオン画面がSSLで暗号化されないことがあったというもの。

 トップページからログオン画面に入る場合は、しっかりとSSL暗号化されているのだが、下記URLのページからログオン画面に入ると暗号化されない。
http://www.iy-bank.co.jp/service/internet/banking/index.html

 問題となるのは、このウィンドウはJavaScriptで開くように指定されており、更にアドレスバー、ステータスバーを表示しないように設定されていることにある。これでは、アドレスにおいて「https:」となっているのかいないのかの確認も、ステータスバーに表示される鍵のアイコン(ネットスケープなら右下、IEなら左下にある)の確認もできないのである。同銀行ではセキュリティポリシーとして以下のように謳っている。


アイワイバンクのインターネット/モバイルバンキングは、ベリサインのグローバル・サーバIDを採用しています。全てのデータ通信は、128bitSSL暗号か通信により高度のセキュリティで保護されています。


 これを見た利用者は、「https:」もしくは鍵のアイコンを確認せずに信用して、ID・パスワードを入力してしまうだろう。

 現在、アドレスバーやステータスバーを非表示にする設定を行っているサイトが多くある。流行というものだろうが、これらがないと利用者が自分が確かに、自分の意図したサイトにいるのか、また、そこでの通信が暗号化されているのかの確認ができなくなる。

 確かに、アドレスバーやステータスバーを非表示にするとすっきりとした見た目になるので、流行るのは理解できなくもないが、今回のように利用者が危険にさらされることは避けなければならない。利用者の危険性を減少させるためにも、これらの情報は表示すべきである。また、今回の件とは関係ないが、弊誌ではたびたび「JavaScriptの危険性」に警鐘を鳴らしており、JavaScriptを使用しなければ正常に表示できないサイト、利用できないサイトを「R-MSサイト」と呼んでいる。

スクリプト強要する企業サイト一覧 危険なサイトに「R-MSマーク」を
https://www.netsecurity.ne.jp/article/1/3269.html

 なお、アイワイバンクのこの問題は既に改善されており、現在はステータスバーのみが表示されるようになっており、鍵のアイコンを確認できる。しかし、改善前のログオンエラーの画面は現在も残っており、「http:」であったことが確認できる。

改善前のログオンエラーの画面
http://www.iy-bank.co.jp/syspr/ZN010030.html

《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×