英国の大手銀行のほとんどがウェブ セキュリティのベスト プラクティスに従っていないというThe Registerの最近の記事は、セキュリティ専門家の間で活発な議論を巻き起こしました。
6 つの銀行に対するテストにより、プロトコル ダウングレード攻撃や Cookie ハイジャックから Web サイトを保護するために 2012 年 10 月に導入された暗号化技術である HTTP Strict Transport Security (HSTS) のサポートが不十分であることが判明しました。
セキュリティ研究者のスコット・ヘルム氏と暗号化の専門家アラン・ウッドワード教授はともに、この技術をサポートするためのアップデートは簡単であることもあり、これは重大な失敗であると断言したが、他の専門家はそう確信していない。
セキュリティ研究者で業界誌Virus Bulletinの編集者であるマルティン・グローテン氏は、銀行による脆弱な暗号のサポートは「実質的な影響はほとんど、あるいは全くない」と主張した。対照的に、安全でない設定をしている顧客を排除することは、商業的に損害を与えるだろう。
「銀行が強固な暗号資産を頑なに主張しているために顧客がオンラインバンキングにアクセスできないことは、暗号資産が破られることよりもはるかに大きな懸念事項だ」とグローテン氏は述べた。「そして、それは当然のことだ」
El Reg が英国銀行の暗号通貨を評価: 誰がバカ帽子をかぶれるのか?
続きを読む
PasswordsConカンファレンスを設立した情報セキュリティ研究者のパー・トーシャイム氏は、銀行詐欺の大半はサーバー側の暗号化の脆弱性を悪用するのではなく、ユーザーのコンピュータにマルウェアを仕掛けたりフィッシング攻撃を仕掛けたりしていると述べた。「HSTSの欠如は怠慢ではあるが、今日ではそれほど脅威にはならない」と同氏は述べた。
El Regは、 RBS/NatWest(最も低い評価)に対し、ウェブサイトのセキュリティ評価の低さとHSTSへの対応不足に対する批判についてコメントを求めました。まだ具体的な回答は得られていません。しかし、独立したセキュリティ専門家は、銀行が最新の暗号技術の導入に明らかに遅れている理由について、根拠を示すことができました。
ソフトウェア エンジニアの Chris McKee 氏は次のようにコメントしています。「変更要求には、おそらく 200 回ほどの会議、変更を理解していない 5 階層の管理者、そして 9 マイルに及ぶ監査証跡が必要になります。」
セキュリティコンサルタントのケビン・ボーモント氏は、「多くのOSは最新の標準規格をサポートしていません。このため、PCIは標準規格の導入を数年間延期しました。TLS 1.1の要件さえも、今では無期限に延期されています。」と述べています。
TLS 1.1の要件は現時点では2018年6月ですが、何度も延期されています。皮肉なことに、POS(販売時点管理)デバイスは「免除」されていますが、最大の(そしておそらく唯一の)リスクとなっています。
サリー大学のコンピューター科学者アラン・ウッドワード教授は、私たちの最初の記事で自身の評価を貫いた。
「皆さんは激しく同意すると思います。HSTS は万能薬ではありませんが、特に銀行のような機密データの場合、これを実行しないことはほとんど意味がありません」と彼は結論付けました。®
