企業の多くが情報提供用の自社サイトを開設している。セキュリティを守るため、サイトの運営に利用しているサーバーのOSや各種ソフトウエアの脆弱性(セキュリティホール)に関する情報収集が重要であることは広く知られている。しかし、それだけでは万全とは言えないようだ。
たとえば先月、こんな記事が掲載された。
ネット銀、個人情報が危ない 米大「4分の3に欠陥」(2008年7月28日)
インターネットでの銀行口座取引について、米ミシガン大の研究チームが米国の銀行のウェブサイトを調べたところ、全体の4分の3に何らかの欠陥があり、顧客の個人情報が漏れたりする恐れがあることがわかった。
金融関係の情報は機密性が高く、情報のやり取りは暗号化して行うのが普通。だが、同大チームが06年、米国の214のサイトを調べた結果、47%のサイトは顧客がログインするときに暗号技術を使っておらず、IDやパスワードを盗まれる恐れがあった。
また55%のサイトは、お客さま相談窓口の電話番号などを暗号技術を使わず表示。悪意のある第三者が勝手に作った窓口に顧客が誘導され、個人情報を話してしまう可能性があったとしている。
暗号技術を使っていることは、サイトのアドレスがhttpではなく、httpsで始まっていることでわかる。同じ仕組みを使っている日本の銀行のサイトを使う際にも、気をつけたほうが良さそうだ。
米ミシガン大の調査結果で指摘されているのは、機密性の高い情報やセキュリティ上重要な情報を、安全ではない方法でやり取りしているケースがとても多いということだ。
記事にある「ログインの暗号化」は、利用者が送信するユーザー名とパスワードを暗号化していない、ということではない。ユーザー名とパスワードを入力する画面の表示自体が暗号化されていないことを問題視している。それがなぜ安全性にかかわるのかというと、本物そっくりに作った偽のログイン画面に誘導される可能性と、それに気付かない可能性の両方が高まるからだ。今回の調査で記事中の「お客様相談窓口の電話番号」に加えセキュリティに関する情報提供のページの表示に暗号技術を使っていない点が指摘されているのも同じ理由だ。
一般に、通信の暗号化は通信途中での「盗聴」を防ぐために利用されていると理解されているのだが、ウェブで利用される暗号化通信(アドレス欄に「https」と表示される)にはもう一つ重要な役割がある。通信を暗号化する際に、専門の認証機関が発行している「電子証明書」というデータを利用しており、これにより通信相手のサーバーが信頼に値することをある程度(完全ではない)保証できるのだ。
「そんなものはアドレスを見ればわかる」と思っている人は甘い。7月30日には国内でもフィッシング詐欺で入手したIDとパスワードを悪用してインターネット銀行の顧客口座から自分の口座に送金していた人物が逮捕される事件が起きており、押収されたパソコンには約150件分のIDとパスワードが保存されていたという。アドレスを見てそれが正しいと判断できるだけの知識がある人は少ないのだ。それに、画面に表示されるアドレスを偽装する方法や、正しいアドレスを入れても別のページに誘導してしまう方法も存在する。暗号化通信を使えば100パーセント安全になるわけではないが、財産に直接的な被害が生じる可能性がある金融機関のウェブサイトでは、できるだけ安全性を高める手段を取り入れる必要があるのだ。
今回の調査で指摘されている問題は、ページを暗号化して表示していない点だけではない。ウェブサイト上での取引の途中でいきなり外部のウェブサイトに移動させられてしまう銀行が30パーセントあった。アドレスだけでなくページの外観も変わってしまい、一般の利用者は信頼していいのかわからなくなってしまうという。多くは、セキュリティ機能を外部の企業に委託していて、委託先のウェブサイトに切り替わっているのが、あらかじめそのことを表示しておくか、すべてのページを同じサイト内に置いておかないと、利用者は混乱してしまう。
ユーザーIDやパスワードの扱いも不十分なようだ。たとえば28パーセントのサイトが、個人を特定しやすい社会保障番号やメールアドレスをユーザーIDに利用させていたり、パスワードの設定時にそれが十分に推測されにくくなるようアドバイスやチェックを行っていない。
また、31パーセントのサイトでは、ユーザーのパスワードや取引明細の情報を電子メールでそのまま送っている。電子メールは一般に平文で送られており、複数のサーバーを経由して配送されているため安全とは言えない。メールソフトとサーバー間で通信を暗号化する方法はあるが、通信途中は暗号化されていないのだ。取引明細が更新されたことを通知するだけならよいが、ウェブサイトで取引明細を確認できる場合、そのページのアドレスやログインに必要なパスワードをメールに記入するのは問題がある。
さて、今回の調査報告全体を通じて、記事では触れられていない非常に重要な点がある。指摘された「欠陥」がいずれもウェブサイトのデザイン(構成や構造の設計)に起因するものだということだ。サーバーにパッチ(修正ファイル)を適用すれば解決するような「バグ」、いわゆる「ぜい弱性」が原因ではない。ソフトの更新情報を収集しているだけでは決して解決できない問題なのだ。
現在では企業の多くが顧客向けに自社サイトを開設している。ビジネスの規模や内容にもよるだろうが、金融機関と同じだけのセキュリティを確保する必要性は必ずしも高くない。しかし、今回の調査報告は自社サイトの運営や情報の扱いについて参考になる点も多そうだ。
今回の調査については、ミシガン大のウェブサイトで概要を読むことができる(英語)。