ロイズ・バンキング・グループ(LBG)傘下の銀行のセキュリティ水準が低いと、IT担当者2人が批判した。同グループは、サイバーセキュリティに関する業界のベストプラクティスに従っていると主張し、いかなる問題も否定している。
LBG傘下の3つの銀行(ロイズ、ハリファックス、バンク・オブ・スコットランド)はそれぞれ、httpsによるトランスポート層セキュリティ(TLS)を実装し、取引が安全なサーバーで行われるようにしています。しかし、それでもなお、これら3つの金融機関は、フィッシング詐欺師に悪用されることが多い、一般的なWebセキュリティ脆弱性、すなわちクロスサイトスクリプティング(XSS)の脆弱性に対して脆弱です。
ソフトウェア開発者と情報セキュリティ研究者はそれぞれ、ロイズ、ハリファックス、スコットランド銀行が管理するウェブサイトにはすべてXSS脆弱性があり、攻撃者がログインフォームの内容だけでなく、安全な銀行セッションにおける口座情報などの後続ページを読み取って変更できる可能性があると述べている。
ロイズ・バンキング・グループの3つの子会社における問題は、ソフトウェア開発者のジム・レイ氏によって発見され、各銀行に報告されました。しかし、対応が不十分だったため、彼はThe Register紙に連絡を取りました。
レイ氏は、各銀行について、未解決のウェブの欠陥を利用してログイン情報を収集するフィッシング攻撃を実行する方法を示すライブ概念実証を開発し、The Regが確認した。
このことは、欠陥が解決されない限り、ウェブセキュリティの欠陥を悪用した説得力のあるフィッシング詐欺が開発される危険性があることを示している、と彼は警告した。
独立系セキュリティ研究者のポール・ムーア氏は、本誌の情報提供者の警告を確認し、ハリファックス銀行も多少関連した問題に対して脆弱であると付け加えた。
「[ハリファックス銀行の]適切なセキュリティヘッダーの欠如により、TLSに関係なく、ユーザーが入力したあらゆる情報を収集および変更する悪意のあるスクリプトが挿入される可能性があります」とムーア氏はEl Regに語った。
「銀行は、サードパーティの依存関係が悪用される前に、正しいセキュリティ ヘッダーを導入する必要があります。セキュリティ ヘッダーを正しく導入しないと、多くのサイトが脆弱になります」と、同氏は付け加えました。
ハリファックス銀行のセキュリティヘッダー評価はB
ハリファックス銀行は、スコット・ヘルムのセキュリティヘッダーベンチマークで「B」の評価を受けています。一見すると合格点のように見えますが、実はそこに問題があります。ムーア氏によると、問題は細部に潜んでいるとのことです。
「『B』は悪い評価ではありませんが、『A』と『B』の違いは、CSP(コンテンツ・セキュリティ・ポリシー)1ヘッダーの有無です。インラインスクリプトを禁止していれば、『A』となり、この攻撃に対して脆弱ではなくなるでしょう」とムーア氏は述べた。
ムーア氏が Twitter を通じて情報セキュリティ コミュニティに報告した、ハリファックス銀行による (無害な) 概念実証デモは、こちらでご覧いただけます。
エル・レグ銀行は、これらの批判をLBGの担当者に伝え、コメントを求めた。同銀行は、報道を歓迎しつつも、その重要性を軽視していると述べた。
当社では、システム全体に多層的なセキュリティ管理を導入しています。責任ある情報開示を真摯に受け止め、常に最善の手段が講じられているか確認しています。
二人の技術者はこの返答に不満を漏らした。それぞれが、LBGへの問題報告が難しかったと述べた。「報告プロセスがもっと簡単になれば、もっと嬉しいのですが」とムーア氏はコメントした。
Regは、LBGのデジタルセキュリティチームからムーア氏に送られた電子メールを確認した。同チームは「この問題を認識している」と述べており、技術者らは「すでに対応に取り組んでいる」と付け加えている。®
ブートノート
1コンテンツ セキュリティ ポリシーは、主に XSS の問題を最小限に抑えるために設計されたセキュリティ テクノロジです。
