2015.01.15 17:34|カテゴリ:Security

みずほ銀行がトップページのブックマークをhttpsからhttpに変更するようにお願いしてる件


 みずほ銀行が利用者に対しトップページのブックマークをhttpsからhttpに変更するようにお願いしてる件が話題となっています。

mizuho-http-01.png


 「https://www.mizuhobank.co.jp/index.html」にアクセスすると以下のように記述されています。


目的のページにアクセスするには、アドレスバーの「https://www.mizuhobank.co.jp/~」を「http://www.mizuhobank.co.jp/~」に修正し(httpsの”s”を削除)、エンターキーを押してください。 https://www.mizuhobank.co.jp/~は2014年11月27日よりご利用いただけなくなりました。 https://www.mizuhobank.co.jp/~でブックマーク(お気に入り)に登録されているお客さまは、http://www.mizuhobank.co.jp/~に登録先の変更をお願いします(httpsの”s”を削除してください)。
みずほ銀行:ブックマーク(お気に入り)の登録変更をお願いします



 「2014年11月27日よりご利用いただけなくなりました」とありますが、ページそのものがなくなったのではなく「トップページとして利用できなくなった」というのが正確なところでしょう。メッセージにあるように「httpsの”s”を削除」してアクセスすると、従来同様のトップページが表示されます。
 
 つまり、以前はhttpでもhttpsでもトップページが表示できていたのに、2014年11月27日以降はhttpのみとなったわけです。

 
 これにより以下のような違いが発生します。
 
 以前は以下のようにすべてhttpsでページ遷移が可能だったと考えられます。
 
 トップページ(個人のお客様)
  https://www.mizuhobank.co.jp/index.html
  
 ログイン前にご注意ください
 ※このページは以前もhttpだった可能性があります。
  https://www.mizuhobank.co.jp/direct/start.html?rt_bn=top_login_02
 
 みずほダイレクトログイン画面
  https://web.ib.mizuhobank.co.jp/servlet/LOGBNK0000000B.do

 
 ところが現在は以下となります。
 
 トップページ(個人のお客様)
  http://www.mizuhobank.co.jp/index.html
  
 ログイン前にご注意ください
  http://www.mizuhobank.co.jp/direct/start.html?rt_bn=top_login_02
 
 みずほダイレクトログイン画面
  https://web.ib.mizuhobank.co.jp/servlet/LOGBNK0000000B.do


 これの何がまずいかというと、「トップページ」および「ログイン前にご注意ください」ページが偽装されてもURL以外で確認のしようがないという点です。

 ※「トップページ」
mizuho-http-04.png

 ※「ログイン前にご注意ください」ページ
mizuho-http-08.png


 SSLのページであれば、ブラウザのURLの横に表示される鍵のマークや証明書を表示することでそのページが偽装されたものか、正規のサイトのものかを確認できます。当然ですが上記2ページには鍵のマークは表示されません。
 
 まだ「https://www.mizuhobank.co.jp/index.html」はSSLでアクセス可能なので見てみましょう。警告付きではありますが、以下のように鍵のマークが表示され、証明書を見ればみずほ銀行のサイトであることが確認できます。

mizuho-http-02.png
mizuho-http-03a.png



 今後は「トップページ」および「ログイン前にご注意ください」ページが偽装されても証明書による確認はできません。

 むろん、最終的に「みずほダイレクトログイン画面」でSSLの確認をされる慎重な利用者であれば問題はありません。しかし、偽の「トップページ」(もしくは「ログイン前にご注意ください」ページ)を本物と誤認識してしまった場合、その中に「みずほダイレクト」と書いてあるリンクがあれば、信用してクリックしてしまうことでしょうし、その後表示された「みずほダイレクトログイン画面」を本物と誤認識する可能性はより高くなるでしょう。
 
 実は、他の大手オンラインバンクのサイトでもトップページがSSLでアクセスできないサイトは少なくありません。
 
 三菱東京UFJ銀行
 
 三井住友銀行
 
 りそな銀行
 
 
 しかし、最初から非SSLだったのならともかく、これまでSSLでもアクセスできていたのにあえてそれをなくす意味がわかりません。
  
 「https://www.mizuhobank.co.jp/~」の証明書の有効期限が2015年1月31日までとなっているので、何らかの理由で証明書の更新を行わないことに決定したのではないかと想像できますが、上記のようなフィッシング詐欺を助長するようなことをあえて行うのであれば、「httpsの”s”を削除してください」とお願いする前に理由を説明すべきではないでしょうか?

mizuho-http-03.png

   
 Google、TwitterをはじめSNS系のサイトは常時SSLに移行しています。また、住信SBIネット銀行のように常時SSLのオンラインバンクもあります。
(※住信SBIネット銀行はSSLに関しては常時SSLかつ強制SSLと適切です。だからといってオススメするわけではありませんが。)
  
 これは先のような偽サイトの問題だけでなく、「マン・イン・ザ・ミドル(中間者攻撃)」という攻撃が増えてきたことも関係していると考えられます。ここでは「マン・イン・ザ・ミドル(中間者攻撃)」については解説しませんが、セキュアなサイト構築において常時SSLは今や常識とも言えます。
 
 なにをいまさら逆行するのか。その理由が知りたいですね。

関連記事


みずほ銀行ネットバンキングで偽画面 不正送金被害も発生|I believe in technology
「時事ドットコム」によると、みずほ銀行のインターネットバンキングで偽画面が現れ、振込確認に必要な「第2暗証番号」やパソコンの利用環境が普段と異なる場合に使用する「合言葉」を盗みとられる被害が発生しているとのこと。

 

検索フォーム
スポンサードリンク
はてブ人気記事
スポンサードリンク
Twitter
スポンサードリンク
スポンサードリンク
おすすめApp
スポンサードリンク
プロフィール

reynotch

Author:reynotch
Twitter:@reynotch
Facebook
Google


セキュリティネタやiPhone、iPad、Android関連の記事を中心に気になったことを書いています。
IT系のネタはあまり難しくならないように、わかりやすい言葉で書きたいと考えています。