UFJ 銀行 セキュリティホールの対処を完了の告知 残る疑問と課題 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.09.20(水)

UFJ 銀行 セキュリティホールの対処を完了の告知 残る疑問と課題

製品・サービス・業界動向 業界動向

>> 対処完了の告知が掲載

 昨日お伝えしたUFJ 銀行のサーバーに存在するクロスサイトスクリプティングの脆弱性に関し、同行からの発表がWebサイトに掲載された。

UFJ銀行
当行サーバーのセキュリティに関する報道内容について
http://www.ufjbank.co.jp/topics/0117.html

UFJ銀行のサーバーにクロスサイトスクリプティングの脆弱性(2002.1.17)
https://www.netsecurity.ne.jp/article/1/3737.html

 この発表では、サーバーにセキュリティホールがあるバージョンの物が使用されていることが表記されており、17日にバージョンアップを行ったとしている。弊誌でも確認をしたところ、確かにバージョンアップが行われており、クロスサイトスクリプティングの脆弱性も解消されているようである。
 なお、昨日の記事で「Netscape-Enterprise/4.0」が使用されているとしていたが、正確にはNetscape-Enterprise/3.6 SP1」なども一部利用されていたようである。

 しかしながら、問題発生後の顧客への対応に問題があると考えられる。まず、リリースの中には、預金者などのサービス利用者に対してのお詫びの言葉がない。いくらサーバーのアップデートを行ったとしても、脆弱性を含んでいたサーバーを使用し、危険性をはらんだまま運用されていたのは確かである。まずは顧客へのお詫びを掲載するのが第一ではないだろうか。


>> システムの脆弱性だけではなかった問題点

 UFJ 銀行では、アクセスが集中してアクセスしにくい際に、システム関連会社に直接ログインするように告知を行っていた。
 特に今回は業務開始直後ということもあったかもしれない。そのため、異なるドメインのサイトでログインするような表記も見受けられた。現在はこの臨時ログインサイトは閉鎖されているが、預金者にとって不安な要素は少なくない。

臨時ログイン画面閉鎖のお知らせ(旧臨時ログイン画面へのURL)
http://www.csweb.co.jp/TBK/ufj/login.htm

 ここで指定されている URL は、UFJ 銀行のものではなく、預金者から見た場合、「全く知らないサイト」にゆくように指示がでていたことになる。銀行の業務を銀行とは別法人の企業に直接ログインして行うのは、常識的にはかなり危険な行為である。銀行自身が、飛び先のくわしい説明もせずに、異なるサイトでのログインを指示するのは、問題と考えられる。
 同行のサイト上には、セキュリティポリシーという文章もあるが、当然ながらそのポリシーは、同行サイト上に限定されており、今回指示ログインを指示したサイトは含まれていない。


>> 脆弱性に対する説明不足

 また、預金者に対して、安全であるといっていない点も問題である。クロスサイトスクリプティングの脆弱性には、Cookieの奪取の他にも多くの危険性が存在する。これら危険性について、なんら否定していないのはなぜなのだろうか?安全ならそれをはっきり説明して預金者に安心を与えるべきであるし、危険性があったのなら、ちゃんと説明すべきではないだろうか。

 具体的には、SSL/TLSを使用していても危険であったり、サイトで設定するドメインのセキュリティポリシー回避が可能であったり、環境によっては、攻撃者はフォームの動作を変更させて異なる結果を生成させることができるなどの問題もある。これらの危険性は下記のページに詳しい話が掲載されているので、サイト管理者は一度は目を通しておくべきだろう。

  IPA
  Webサイトにおけるクロスサイト スクリプティング脆弱性に関する情報
  - ユーザーのセッションが奪われる可能性 -
  http://www.ipa.go.jp/security/ciadr/20011023css.html

 UFJ銀行はこれらの問題に関しても、今回のアップデートで解決している点を顧客に説明し(もちろん、他のセキュリティホールが無いとも、言えなくはないが……)、無用な心配を与えないようにするなどのケアも必要ではないだろうか。

 また蛇足になってしまうが、今回の発表中で今回の報道に関して、Yahoo!ニュースによるものとしている。しかし、実際のところ、今回の報道は本誌のみが報じており、Yahoo!ニュースを含め、本件に関する報道は本誌の転載である。若干の事実誤認があるようだ。
 昨日もお伝えしたとおり、弊誌では同行宛に今回の問題に関して、メールと電話により連絡を行っているが正式な連絡は無かった。


[Prisoner Chaturanga]


□ 関連情報

・2ch ここの銀行のセキュリティって甘そう
 記事の作成にあたり、本掲示板の情報をもとに検証作業などを行いました。誌面より、お礼を申し上げます。この掲示板には詳細な情報が掲載されているため、UFJ 銀行の対処が完了するまで、掲載を控えておりました。あらかじめご了承ください。

 http://pc.2ch.net/test/read.cgi/sec/1007968094/


《ScanNetSecurity》

Scan PREMIUM 会員限定

もっと見る

Scan PREMIUM 会員限定特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

製品・サービス・業界動向 カテゴリの人気記事 MONTHLY ランキング

  1. ルートゾーンKSKの情報更新など呼びかけ、期限は9月19日まで(総務省)

    ルートゾーンKSKの情報更新など呼びかけ、期限は9月19日まで(総務省)

  2. 「サイバーセキュリティ関連で最もクールな4つの職種」を発表(マカフィー)

    「サイバーセキュリティ関連で最もクールな4つの職種」を発表(マカフィー)

  3. 世界の大規模漏えい事故から、日本企業の「社外」にある情報資産を可視化(イード)

    世界の大規模漏えい事故から、日本企業の「社外」にある情報資産を可視化(イード)

  4. 顔認証システムの現状、顔写真を使った「なりすまし」も3Dデータ照合で防ぐ

  5. 自分の利用しているサーバの状況を確認する方法 不正中継確認

  6. アジア以外ではランサムウェアの検出数が前年の2倍に、脅威の進化も(チェック・ポイント)

  7. 「FFRI yarai」「CWAT」にサイバーセキュリティ保険を付帯(NTT-AT)

  8. サイバー攻撃対応の総合訓練・検証施設を開設、重要インフラ向けに訓練サービス(日立)

  9. スポットで利用できる成果報酬型の脆弱性発見サービスを開始(SHIFT SECURITY)

  10. ランサムウェア対策を強化した「秘文」2製品の最新版を発売(日立ソリューションズ)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×