銀行に期待した「常時SSL」 その後……:萩原栄幸の情報セキュリティ相談室(1/2 ページ)
以前に「銀行がなぜ常時SSL(HTTPS)を実装しないのか」と指摘したが、2014年末にGoogleがHTTPSを推進し、将来は「HTTPを安全でない」と明示することを宣言した。そこで国内の銀行を調べてみたところ、意外な状況だと分かった。その事実とは?
2013年10月に「日本の金融機関はなぜ『常時SSL』を実装しないのか?」という記事を掲載した後、様々な問い合わせや一部嫌がらせのメールが届き、反響が大きいことに驚いた。さらに2014年12月、ついにGoogleが「『HTTPには情報セキュリティ対策が施されていない』という事実をもっとはっきりユーザーに示す必要があると提案し、『HTTPを安全でない』と明示する一方で、HTTPSについてはいずれ現在のHTTPのようにノーマークにすることを目指す」と表明した(→関連記事)
「常時SSL」について筆者が指摘してから1年以上が経過し、ネット専用銀行やサービスを提供している銀行が「常時SSL」にどう対応しているのかを2月上旬に調べてみた。
ネット専用もしくはネットが主体の銀行の調査結果
| 銀行 | HTTPS利用可能 | HTTPだと強制的にHTTPS | Google検索からHTTPS |
|---|---|---|---|
| A銀行 | 〇 | × | × |
| B銀行 | 〇 | × | 〇 |
| C銀行 | × | × | × |
| D銀行 | 〇 | 〇 | 〇 |
| 新生銀行 | × | × | × |
| セブン銀行 | × | × | × |
| ソニー銀行 | × | × | × |
| 楽天銀行 | × | × | × |
[凡例]
HTTPS利用可能:銀行のTOPページにHTTPSでアクセスできるか?
HTTPだと強制的にHTTPS:HTTPでTOPページにアクセスすると、強制的にHTTPSに変更されるか?
Google検索からHTTPS:Googleで銀行名を検索し、その結果からTOPページにアクセスするとHTTPSになっているか?
上記の銀行に編集部を通じて質問をしたところ、一部を除いて回答をいただいた。回答を得られなかった銀行については、上記の表では行名を伏せている。回答いただいた銀行のコメントを紹介したい。
新生銀行
「Webサイト『www.shinseibank.com』では現時点でHTTP通信によるセキュリティ面でのトラブルや被害などは確認されておりません。SSL暗号化通信を全面導入する場合は、その効果に加えて導入による影響を慎重に検討する必要があると考えており、技術動向も注視して包括的に精査を行いながら、継続的に検討したいと考えています。なお、インターネットバンキングや来店予約など顧客情報を保護すべきページにつきましては既にHTTPS対応を実施しております」
セブン銀行
「ホームページは社外向けの公開情報のみですので、今後もHTTP通信で問題はありません。ダイレクトバンキングサービスは顧客情報をお預かりしていますので、現在HTTPS通信を行っています。ホームページへのHTTPS通信は、ご利用者がURLをHTTPSへ変更しない限り発生しません。この場合、証明書の有効期限エラーが表示されることがありますが、過去にHTTPS通信を使用していた際の証明書が残存しているためであり、今後は証明書エラーが発生しないよう対応する予定です」
ソニー銀行
「ログイン前のページはHTTPSでの通信には対応していませんが、個別にSSL証明書を取得し、ノートンセキュアドシールを掲載しています。ログイン後のページについても利用者の利便性を鑑みながら、HTTPSでの通信以外にも様々なセキュリティの強化を行っています。Googleの見解については弊社も認識しており、ログイン前ページのHTTPS通信の対応については検討を行っていますが、時期は未定です」
楽天銀行
「SSL化の重要性は理解しております。セキュリティ面において重要と考えている複数のページではSSL化を推進していく所存です。なお、ログイン後のページでは既にSSL化しています」
各銀行の状況については、誰でも容易に調べて確認できる事実だ。この状況に、様々な立場の専門家から様々なコメントがあるだろう。
HTTPSについて国際的には数年前から指摘されるようになり、Googleは盗聴問題やプライバシー問題の観点から「HTTPSを標準」とし、原則としてHTTPは使わない。もしHTTPを利用しようとすると、「そのWebサイトはセキュアではない」といった表示を実施するとも予告している。
ネットにおけるGoogleの影響力はそれなりに大きいものであるだけに、筆者としては一部の銀行を除いて対応が進んでいないというのが、不思議でならない。
なお銀行側を擁護するなら、一律に「HTTP=危険」というわけではなく、あくまで「環境やWebサイトの条件が同じなら危険性がある」という条件が伴う。その対策が済んでいるというのなら、決してHTTPが危険というものではない。しかし、Googleのような動きを知ってしまうと、「HTTP=危険」と誤解されやすいという事実もあるだろう。
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 爆売れだった「ノートPC」が早くも旧世代の現実
- HOYAに1000万ドル要求か サイバー犯罪グループの関与を仏メディアが報道
- GoogleやMetaは“やる気なし”? サポート詐欺から自力で身を守る方法
- PAN-OSにCVSS v4.0「10.0」の脆弱性 特定の条件で悪用が可能に
- PHPやRust、Node.jsなどで引数処理の脆弱性を確認 急ぎ対応を
- Appleの生成AI「MM1」は何ができるの? 他のLLMを凌駕する性能とは
- VPNやSSHを狙ったブルートフォース攻撃が増加中 対象となる製品は?
- OTセキュリティ関連法改正で何が変わる? 改正のポイントと企業が今やるべきこと
- Google、ゼロデイ攻撃を分析した最新レポートを公開 97件の攻撃から見えたこと
- 生成AIは便利だが“リスクだらけ”? 上手に使いこなすために必要なこと
ITmediaはアイティメディア株式会社の登録商標です。