SCAN DISPATCH : 76%の米国金融機関Webサイトに、設計段階でのセキュリティの欠陥が存在 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.12.14(木)

SCAN DISPATCH : 76%の米国金融機関Webサイトに、設計段階でのセキュリティの欠陥が存在

国際 海外情報

 SCAN DISPATCH は、アメリカのセキュリティ業界及ハッカーコミュニティから届いたニュースを、狭く絞り込み、深く掘り下げて掲載します。

──

 FDIC(米国の預金保険機構)が今年2月にまとめた事故報告書によると、2007年の第2四半期に起こった、5,000ドル以上の被害をこうむった金融機関への非権限アクセス事件は全部で536件。ワシントン・ポスト誌によると、こうした非権限アクセスによる金融機関の被害は増大しているという。1件の非権限アクセスによる被害額の平均は29,630ドル(約314万円)で、送金と自動支払い機能による被害金額が最も大きいと報告書はまとめている。

 この報告書で注目すべきは、実際に起こった事件の80%は、"unknown unauthorized access"で、つまり、金融機関としても原因不明の非権限アクセスだということだ。

 この"unknown"の一部を説明する論文が、7月23〜25日に開かれた Symposium on Usable Security and Privacyで発表された。論文は、ミシガン大学コンピュータ・サイエンス・エンジニアリング学部、博士課程学生のLaura Falk、Kevin Bordersと、Atul Prakash教授のチームによってまとめられている。この論文では、2006年末に米国の金融関連企業の214のWeサイトに対して調査を行った結果より、米国内のオンラインバンキング・サイトの76%にサイト設計の時点でのセキュリティの欠陥が存在したことを指摘している。調査対象には、NessusやAppScanなどを使ってスキャンできる、パッチが当たっていないサービスやクロスサイトスクリプティング、SQLインジェクションなどの、インプリメンテーション・バグ、コンフィギュレーション・バグなどは含んでおらず、Webサイトを設計する段階でのセキュリティの欠陥点だけを挙げている。

 抜粋紹介してみよう。

 チームはまず、全体からサンプルを選び、手作業で設計の不備点を探ったところ、主に5つの欠陥を見つけた。それは、

(1) 信用関係の破綻("Break in the chain of trust"問題)
(2) セキュア・ログインにセキュリティのかかっていないページにある
(3) ”連絡先”のページにセキュリティがかかっていない
(4) ユーザーIDやパスワードのポリシーが弱い
(5) 個人情報を電子メールで送受信する、

である。そのためチームは、この5つの欠陥について、全214の金融関連企業のWebページを調査した。

 (1)の信用関係の破綻は、全体の30%で見つかっている。これは、オンラインバンキングの途中に、正規のWebサイトが、正規ドメイン外にリダイレクトをするものだ。リダイレクトされる前に、正規Webサイトから「xxxという第三者Webサイトにリダイレクトされるが、安全は保障されている」という通知がされなければ、ユーザーとしては、第三者Webサイトが正規のものであるかどうか判断がつかない。またこの場合、セキュアな正規ページからの、セキュアな第三者Webページへのリダイレクトでなければ意味をなさない。ベンダーにオンラインバンキングの一部を任せる場合、マルウエアによるリダイレクトでないことを保障する設計が必要なのである。

 (2)は全体の47%に見つかっている。SSLのかかっていないページでのJavaScriptのログインはこの例だ。例えログイン情報はSSLで送信されるとしても、ログインページ自体にSSLがかかってない場合、このページ自体がspoofされてしまい、man-in-the-middle攻撃やDNSハイジャックを可能にする。また、ログイン枠の側に「SSL技術により安全ログイン」と書かれてる場合、ユーザーはこれを信頼してしまうため一層問題となる。また、パスワードをリセットするページも同じようにセキュアなページに置き、spoof攻撃を防ぐべきであろう。

 (3)の連絡先がセキュアページにないという不備は、55%のWebサイトに見つかっている。(2)と同じく、spoofやソーシャルエンジニアリングを防ぐために、連絡先の情報は必ずセキュア・ページに置くべきである。

 (4)のIDとパスワードの強さの基準が低いサイトは全体の28%に見つかっている。特に、メールアドレスや国民保障番号をIDとして使っているサイトが多く、この場合、IDはインターネットで簡単に見つかってしまうため、パスワードのみにセキュリティを頼るしかない。論文では ”Do strong webpasswords accomplish anything?”というペーパ−を引用し、強いパスワードであってもフィッシングやキーロガーがあればセキュリティは破られてしまうし、弱いパスワードであっても「3回のログインの試みでロックアウト」であれば、ブルートフォースは難しいとしている。論が分かれているところだ。

 (5) 31%の金融機関が、顧客の個人情報…

【執筆:米国 笠原利香】

【関連リンク】
"Analyzing Websites for User-visible Security Design Flaws"
http://cups.cs.cmu.edu/soups/2008/proceedings/p117Falk.pdf
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

国際 カテゴリの人気記事 MONTHLY ランキング

  1. 死亡した男性のメールアカウントを巡るヤフーと裁判所の争い(The Register)

    死亡した男性のメールアカウントを巡るヤフーと裁判所の争い(The Register)

  2. どこかへ跳んでいけ、出来の悪いラビット(The Register)

    どこかへ跳んでいけ、出来の悪いラビット(The Register)

  3. 米軍のSNSに対する膨大なスパイアーカイブ、AWS で数十テラ閲覧可(The Register)

    米軍のSNSに対する膨大なスパイアーカイブ、AWS で数十テラ閲覧可(The Register)

  4. 捜査中だった米大統領選に使用されたサーバのデータが消失(The Register)

  5. 「Tor 禁止令」を解く Facebook、暗号化の onion アクセスポイントを宣伝~これからは暗号化通信も完全に OK(The Register)

  6. Anonymousが幼児虐待の秘密の拠点を閉鎖~Tor小児愛者を攻撃し氏名を暴露(The Register)

  7. インドのレジストリで情報漏えい、インドのネットを壊滅させるデータのビットコイン価格とは(The Register)

  8. WPA2の新たな脆弱性への攻撃KRACK、暗号化技術の根底にある欠陥(The Register)

  9. Mac OS X のシングルユーザモードの root アクセス(2)

  10. スバルのキー・フォブに脆弱性あり、オランダ人技術者語る(The Register)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×