4月1日より開業したみずほ銀行だが、相次ぐトラブルの中、あらたに同行のWebサイトにクロスサイトスクリプティングの脆弱性が発見された。 この問題は、クロスサイトスクリプティング問題の調査と啓蒙を行っているoffice 氏が発見したもので、同行のインターネットバンキングサービスのログイン画面などに脆弱性が存在している。この脆弱性を利用することにより、偽装した画面を表示すること可能で、顧客番号や口座番号、暗証番号をリダイレクトさせることもできるなど、非常に危険な状態である。 同行は合併に伴うシステムの移行が遅れ、挙げ句の果てにATMという基本的なシステムが使えないと言う大失態を犯してしまうなど、トラブルが多発している。今回のクロスサイトスクリプティングの脆弱性も、十分な検証が行われないままスタートした同行の慌てぶりを象徴する事件であるといえよう。 大手銀行の合併が相次いだが、きわめてクリティカルな状況におかれる銀行においては、システムの十分な検証が何よりも重要な事項である。確かに開業日までにシステムが完成していることは重要である。しかし、利用者が安心して使用できるシステムを作り上げることこそが、本当に大切なことであることを、システム担当者には今一度思い出して頂きたい。 □ 関連情報 UFJ銀行のサーバーにクロスサイトスクリプティングの脆弱性(2002.1.17) https://www.netsecurity.ne.jp/article/1/3737.html UFJ 銀行 セキュリティホールの対処を完了の告知 残る疑問と課題 (2002.1.18) https://www.netsecurity.ne.jp/article/1/3763.html 新生銀行が預金者に断りなくネットで口座を公開(2002.3.20) https://www.netsecurity.ne.jp/article/1/4416.html クロスサイトスクリプティング脆弱性レポートページが登場(2002.3.9) https://www.netsecurity.ne.jp/article/1/4278.html(詳しくはScan および Scan Daily EXpress 本誌をご覧ください) http://shop.vagabond.co.jp/m-ssw01.shtmlhttp://shop.vagabond.co.jp/m-sdx01.shtml
