以前に「銀行がなぜ常時SSL(HTTPS)を実装しないのか」と指摘したが、2014年末にGoogleがHTTPSを推進し、将来は「HTTPを安全でない」と明示することを宣言した。そこで国内の銀行を調べてみたところ、意外な状況だと分かった。その事実とは?
2013年10月に「日本の金融機関はなぜ『常時SSL』を実装しないのか?」という記事を掲載した後、様々な問い合わせや一部嫌がらせのメールが届き、反響が大きいことに驚いた。さらに2014年12月、ついにGoogleが「『HTTPには情報セキュリティ対策が施されていない』という事実をもっとはっきりユーザーに示す必要があると提案し、『HTTPを安全でない』と明示する一方で、HTTPSについてはいずれ現在のHTTPのようにノーマークにすることを目指す」と表明した(→関連記事)
「常時SSL」について筆者が指摘してから1年以上が経過し、ネット専用銀行やサービスを提供している銀行が「常時SSL」にどう対応しているのかを2月上旬に調べてみた。
銀行 | HTTPS利用可能 | HTTPだと強制的にHTTPS | Google検索からHTTPS |
---|---|---|---|
A銀行 | 〇 | × | × |
B銀行 | 〇 | × | 〇 |
C銀行 | × | × | × |
D銀行 | 〇 | 〇 | 〇 |
新生銀行 | × | × | × |
セブン銀行 | × | × | × |
ソニー銀行 | × | × | × |
楽天銀行 | × | × | × |
HTTPS利用可能:銀行のTOPページにHTTPSでアクセスできるか?
HTTPだと強制的にHTTPS:HTTPでTOPページにアクセスすると、強制的にHTTPSに変更されるか?
Google検索からHTTPS:Googleで銀行名を検索し、その結果からTOPページにアクセスするとHTTPSになっているか?
上記の銀行に編集部を通じて質問をしたところ、一部を除いて回答をいただいた。回答を得られなかった銀行については、上記の表では行名を伏せている。回答いただいた銀行のコメントを紹介したい。
「Webサイト『www.shinseibank.com』では現時点でHTTP通信によるセキュリティ面でのトラブルや被害などは確認されておりません。SSL暗号化通信を全面導入する場合は、その効果に加えて導入による影響を慎重に検討する必要があると考えており、技術動向も注視して包括的に精査を行いながら、継続的に検討したいと考えています。なお、インターネットバンキングや来店予約など顧客情報を保護すべきページにつきましては既にHTTPS対応を実施しております」
「ホームページは社外向けの公開情報のみですので、今後もHTTP通信で問題はありません。ダイレクトバンキングサービスは顧客情報をお預かりしていますので、現在HTTPS通信を行っています。ホームページへのHTTPS通信は、ご利用者がURLをHTTPSへ変更しない限り発生しません。この場合、証明書の有効期限エラーが表示されることがありますが、過去にHTTPS通信を使用していた際の証明書が残存しているためであり、今後は証明書エラーが発生しないよう対応する予定です」
「ログイン前のページはHTTPSでの通信には対応していませんが、個別にSSL証明書を取得し、ノートンセキュアドシールを掲載しています。ログイン後のページについても利用者の利便性を鑑みながら、HTTPSでの通信以外にも様々なセキュリティの強化を行っています。Googleの見解については弊社も認識しており、ログイン前ページのHTTPS通信の対応については検討を行っていますが、時期は未定です」
「SSL化の重要性は理解しております。セキュリティ面において重要と考えている複数のページではSSL化を推進していく所存です。なお、ログイン後のページでは既にSSL化しています」
各銀行の状況については、誰でも容易に調べて確認できる事実だ。この状況に、様々な立場の専門家から様々なコメントがあるだろう。
HTTPSについて国際的には数年前から指摘されるようになり、Googleは盗聴問題やプライバシー問題の観点から「HTTPSを標準」とし、原則としてHTTPは使わない。もしHTTPを利用しようとすると、「そのWebサイトはセキュアではない」といった表示を実施するとも予告している。
ネットにおけるGoogleの影響力はそれなりに大きいものであるだけに、筆者としては一部の銀行を除いて対応が進んでいないというのが、不思議でならない。
なお銀行側を擁護するなら、一律に「HTTP=危険」というわけではなく、あくまで「環境やWebサイトの条件が同じなら危険性がある」という条件が伴う。その対策が済んでいるというのなら、決してHTTPが危険というものではない。しかし、Googleのような動きを知ってしまうと、「HTTP=危険」と誤解されやすいという事実もあるだろう。
Copyright © ITmedia, Inc. All Rights Reserved.