147銀行の4分の1にフィッシング対策で問題あり、URLを表示せず:ITpro
トーマツによる、銀行のインターネットバンキングのフィッシング対策状況をまとめたそうです。
1/4しか問題が存在しないそうです。優秀じゃないかなぁ。
監査法人トーマツは11月29日、国内147銀行のインターネット・バンキング・サイトにおけるフィッシング対策の現状について調査した結果を発表した。結果として、約4分の1のサイトに問題があることが分かった。
フィッシングは、偽造サイトにユーザーを誘導してIDやパスワードなどを盗もうとする行為。偽造サイトかどうかを確認するには、サイトのURLをよくチェックしなければならないが、トーマツの調査によると、24%のサイトにおいてURLを表示するアドレス・バーが隠されてしまうことが分かった。悪意を持つ第三者が、アドレス・バーを隠した形で偽造サイトを作ると、ユーザーは疑いなく個人情報を盗られてしまう危険性が高い。
SSL取得は標準だけど使用は標準なのかなぁ?!。
セキュリティを一から見直すべきサイトもあるそうですねぇ・・・・・147銀行ご協力でやったのかな?!?!
サイトの正当性を証明する「SSL証明書」は全行が取得していた。ただし、マイクロソフトなどがフィッシング対策として推進している「EV SSL証明書」を取得しているのは2%(3行)にとどまった。またログイン時に、ID/パスワード以外の認証方法を併用している銀行は8%だった。
調査は8月20〜31日に実施。「クロスサイト・スクリプティングのぜい弱性を持つとみられる銀行が2〜3行、パスワード入力フィールドで文字が伏字にならない銀行も1行見つかった」(山本シニアマネジャー)というように、セキュリティ対策を一から見直すべきサイトも散見されたという。
