分析大手銀行は優れたセキュリティの模範となるべきですが、暗号化のベストプラクティスに従うという点では、多くの銀行が不十分です。
セキュリティ研究者のスコット・ヘルム氏とThe Registerによるテストでは、パフォーマンスに顕著な差が見られました。SSL Labsのセキュリティツールとヘルム氏のSecurity Headers評価サイト*を用いて、英国の大手銀行6行が運営するオンラインログインサイトのセキュリティを評価しました。結果はまちまちでした。
一貫した問題は、2012 年 10 月に導入され、プロトコル ダウングレード攻撃や Cookie ハイジャックから Web サイトを保護するために設計された暗号化テクノロジである HTTP Strict Transport Security (HSTS) のサポート不足でした。
「プロトコルと暗号スイートに関するリスクは、銀行が最新の設定を常に把握しておらず、運用環境で古い設定を放置していることを示しています」とヘルメ氏はEl Regに語った。「最大の懸念は、銀行がHTTPSをサポートしているにもかかわらず、HSTSを導入していないことです。HSTSはブラウザとHTTPSの2つの深刻な欠陥を修正するために導入されたため、銀行はHSTSの導入を真剣に検討すべきです。」
暗号化の専門家で、サリー大学のコンピューター科学者であるアラン・ウッドワード教授も同意した。
「HTTPSサイトであればHSTSは当然の対策です。なぜ対策しないのか理解できません」と彼は述べた。「なぜ重要なのか? HSTSがなければ、攻撃者はユーザーが安全だと思っている接続を乗っ取り、中間者攻撃を仕掛ける方法を見つけられるからです。」
「トランスポート層セキュリティ(TLS)は、オンライン取引のセキュリティを確保するための最良の防御策の1つであるため、これを実施しないのは極めて理解しがたいことです。SSLStripなどのツールが利用できるため、HSTSなしで接続をハイジャックするのは非常に簡単です。」
バークレイズ
バークレイズ
SSL Labs:バークレイズのドメインはForward Secrecyをサポートしていません。これは「絶対にサポートすべき」機能です。ヘルメ氏は「サポートしない理由はありません」と述べました。同行の証明書チェーンも不完全で、複数のHSTSヘッダーが実装されています。これらの欠陥はいずれも設定ミスであり、対処が必要です。SSL LabsはバークレイズのオンラインバンキングサイトにBグレードを与えました。
セキュリティヘッダー:バークレイズはセキュリティヘッダースキャンでAを獲得しており、これは堅実な評価です。ヘルメ氏は、銀行が対処すべき警告がいくつかあるものの、それほど心配するほどではないと付け加えました。
HSBC
HSBC
SSL Labs:バークレイズと同様に、HSBCもForward Secrecyをサポートしていませんが、サポートすべきです。また、RC4暗号を依然としてサポートしているのも少し心配です。ヘルム氏は、これは今すぐ無効にすべきだと述べています。HSBCのオンラインバンキングサイトは、SSL LabsからグレードBの評価を受けています。
セキュリティ ヘッダー:ここでもグレード C とやや悪いです。銀行に欠けている最も重要なことは HSTS ポリシーです。これは、HTTPS を使用した安全な Web サイトには絶対的な要件です。
HSBCのセキュリティヘッダー
ロイズ
ロイズ
SSL Labs:ロイズにとってAという非常に優れた評価です。ヘルメ氏によると、A+の評価を阻んでいるのは、実に単純なHSTSだそうです。
セキュリティヘッダー:評価はC。ヘルメ氏は、HSTSの導入を急ぐ必要があると述べた。これにより、銀行はSSLラボでA+、セキュリティヘッダーでBの評価を獲得できる。さらに、セキュアなサイトにはHSTSが不可欠であり、コンテンツセキュリティポリシー(CSP)も検討すべきだと付け加えた。
ナットウエスト
ナットウエスト
SSL Labs: NatWestのCグレードは全銀行中最低スコアであり、この結果にはいくつか懸念すべき点があります。同行の証明書チェーンは更新が必要であり、依然として脆弱な暗号とDiffie-Hellmanパラメータが使用されています。これはおそらく、長い間注意が払われていなかった古い設定によるものでしょう。
セキュリティヘッダー:「またしてもCグレードで、また同じ問題が発生」とヘルメ氏は述べた。彼らのサイトにはHSTSもCSPも導入されていない。HSTSは絶対に必須であり、5年前からインターネット標準として定義されているため、導入には十分な時間があったはずだ。
ナットウエストのセキュリティヘッダー
RBS
RBS
SSL Labs:ヘルム氏によると、ナットウエスト銀行と全く同じ問題を抱えている。RBSはSSL Labsで平凡なC評価を受けている。
セキュリティ ヘッダー: NatWest によれば、HSTS または CSP が展開されていない場合、スコアは比較的低くなります。
サンタンデール
サンタンデール
SSL Labs: TLS(HTTPS)構成は、今回最も優れている。「またしてもForward Secrecy(前方秘匿性)の欠如について言及するのは残念ですが、これがA+評価を阻んでいるのです」とヘルメ氏は述べた。「サポート体制の強化が急務です。」サンタンデールのオンラインバンキングサイトは、SSL LabsからA-の評価を受けている。
セキュリティヘッダー:ここはグレードBでわずかに改善しており、銀行がHSTSを適切に導入していることは非常に喜ばしいとヘルメ氏は述べた。「もしコンテンツセキュリティポリシーと安全でないアップグレードリクエストを導入すれば、HSTSを完璧に補完し、グレードAに上がるでしょう。」
ヘルメ氏によると、銀行はいずれも、比較的簡単な手順をいくつか踏むことで、はるかに良い成績を達成できるという。
2016 年 3 月、Netcraft は、Web 管理者のわずか 5% しか HTTPS を正しく実装していないと報告しました。
「本当にショックでした」とウッドワード教授はエル・レグ紙に語った。「もちろん、誰もがHSTSを適用できるわけではありません(実際には元の場所まで遡れないサービスの背後にいることを想像してみてください)。しかし、大多数の大規模組織はそうした機能を制御しています。Netcraftの数字は全体的な数字です。」
銀行がTLSを強制適用しないのは、絶対にあってはならないことです。TLSを強制適用すべき通信を一つ挙げるとすれば、それは金融データ、特に口座に関連するデータが転送される通信です。
ネットクラフトは、ナットウエスト銀行がHSTSを導入していないことを特に非難した。ネットクラフトの痛烈な批判にもかかわらず、同銀行は18ヶ月が経過した現在もHSTSを導入していない。
エル・レグは火曜日、RBS/ナットウエストに対し、ウェブサイトのセキュリティ評価の低さとHSTSへの対応不足に対する批判についてコメントを求めました。コメントを求めたところ、3日間近く検討期間があったにもかかわらず、返ってきた回答はこれだけでした。広報担当者は次のように述べました。「Netcraftの記事で概説されているような中間者攻撃からウェブサイトを保護するため、複数のレイヤーを設けていることが確認されています。」
El Regは、銀行のホームページ(メインページ)ではなく、オンラインバンキングサイトのセキュリティに焦点を当てました。このプロジェクトは、ある読者が複数のコンピュータからバークレイズのウェブサイトにアクセスした際に警告が表示され、セキュリティについて懸念を抱いていたという話を聞いたことがきっかけで始まりました。これらの警告は実際には不具合であることが判明しましたが、HSTSへの対応不足に対する懸念は、私たちの比較研究が示すように、より深刻なものでした。®
ブートノート
*セキュリティ ヘッダーは、Web サイトによって設定された HTTP 応答ヘッダーを分析して、有効になっているセキュリティ機能と、それらが適切に構成されているかどうかを確認します。
