大手銀行サイトのログイン手続きの安全性に疑問あり──セキュリティ専門家が指摘

（2006年04月21日）

　著名なセキュリティ研究者が、米国の大手インターネット・バンキング・サイトの多くは、顧客を個人情報盗難の危険にさらしている可能性があると警告を発している。問題とされているのは、Chase.comやAmericanexpress.comなどのバンキング・サイトに設けられ、ユーザーに対してユーザーIDとパスワードの入力を求めるユーザー・ログイン・エリアである。

　これらのユーザー・ログイン・エリアのフォームは暗号化されているかもしれないが、それらが正規のものであることを証明できる認証技術を使用していないと、SANSインスティチュートの最高研究責任者ヨハネス・ウルリッチ氏は指摘する。

　より安全なアプローチは、ユーザーにHTTPSページでのログインを強制することだ。HTTPSページでは、ページ上の情報を暗号化するだけでなく、デジタル証明書の提供により当該のWebサイトが正規のものであることを保証するSSLセキュリティ・プロトコルが使用される。SSL対応ページにアクセスすると、FirefoxやInternet Explorerの画面最下部に黄色いカギのアイコンが表示される。

　「ログイン・フォームがHTTPSでなければ、それが本物かどうかはわからない」（ウルリッチ氏）

　こうした安全な通信技術を使用しないWebページは、DNS情報の書き換えによってユーザーを偽のサイトに誘導するDNSスプーフィングと呼ばれる攻撃を受けやすい。だが、この種の攻撃は技術的に困難であり、一般に悪意のあるハッカーにとってはフィッシングによってユーザーを欺くほうがはるかに簡単だ、とウルリッチ氏は説明する。

　だからといって、バンキング・サイトが、SSLを使用しないページでユーザーがログインできるようにしてもよいということにはならない。ウルリッチ氏は銀行によるSSL認証の使用状況などをまとめ、「securewebbank.com」サイトで公開している。

　ユーザーにSSL認証を強制している銀行にはキャピタル・ワン・バンク、シティグループ、ウェルズ・ファーゴなどがある。

　ウルリッチ氏によると、銀行は多くの場合、SSLログイン・ページをオプションとして用意しているが、これらは見つけにくい。バンキング・サイトの多くでは、ユーザーがホーム・ページで誤ったパスワードを入力すると、SSLログイン・ページにリダイレクトされるようになっているという。

　セキュリティ・コンサルタントのリチャード・スミス氏もウルリッチ氏と同様に、バンキング・サイトは、ユーザーをログインのためにHTTPSページに導く仕組みになっているほうが安全だと語る。「手順が1つ増えるだけにもかかわらず、銀行は手順が1つ増えるのはユーザーにとって面倒だと思っているのではないか」

　トップ・ページでSSLログインを採用していない銀行の1つとしてバンク・オブ・アメリカがある。同行のトップ・ページでは、顧客はオンラインIDを入力するが、パスワードは入力しない。

　同行では、オンラインIDを入力したユーザーをHTTPSページに導き、SiteKeyという技術を使って、ユーザーがパスワードを入力する前に、正規サイトにアクセス中であることをユーザーに保証するようにしている。

　「われわれの顧客にとってこの方法はより便利であり、そして安全だ」と同行の広報担当者ベティ・リース氏は話している。

(ロバート・マクミラン／IDG News Service サンフランシスコ支局)