英国の大手銀行は取引の安全確保に最新技術を活用していない

新たな調査によると、英国の大手銀行は、オンラインバンキング取引の安全性を確保するために、最新のウェブ技術を活用していない。TSB、HSBC、ネーションワイド・ビルディング・ソサエティといった大手金融グループは、銀行業界が求める暗号化規格に準拠したウェブサイトへの更新をまだ行っていない。

合計14の銀行が、古くて安全性に問題がある可能性のある暗号化バージョンを使用しているブラウザでウェブサイトへのアクセスを許可しています。この結果は、スウォンジー大学のコンピュータサイエンス専攻の学生、エドワード・ウォール氏が英国の銀行と住宅金融組合25行を調査した結果です。

ウォール氏の分析では、各銀行のウェブサイトの技術的セキュリティ対策について100点満点でスコアが付けられている。サンタンデール銀行とヴァージン・マネー銀行は53点でトップ、コープ・オペレーティブ銀行とスマイル銀行は12点で最下位となった。このスコアは、ユーザーデータが漏洩した、あるいはウェブサイトにセキュリティ上の脆弱性があるという意味ではなく、セキュリティのベストプラクティスが遵守されていない領域を浮き彫りにしている。

これらの銀行のうち14行は、ウェブサイトをアップグレードし、最新のTLS（トランスポート層セキュリティ）暗号化ハンドシェイクプロトコルの使用を義務付けていません。これは、銀行業界のPCIデータセキュリティ基準（PCI DSS）で要求されている最新の暗号化基準で求められています。

ペイメントカード業界セキュリティ標準協議会が発行した標準によれば、カード決済を受け入れる企業は、2018年6月30日までに TLS 1.1 を使用することが義務付けられています。カード発行銀行は PCI DSS 認証を取得する必要はありませんが、プロセッサや販売業者と同じセキュリティ標準を満たすことが求められています。

古いバージョンの TLS および SSL には、Heartbleed、POODLE、BEAST などのセキュリティ上の脆弱性があり、データを傍受する中間者攻撃を容易にする可能性があります。

最新のTLSプロトコルがサイト側で強制されていない場合、古いOSやブラウザを使用しているユーザーは、検知されないまま攻撃を受ける可能性が最も高くなります。TLS 1.1は2006年に導入されましたが、多くのウェブブラウザがデフォルトで導入するまでには長い時間がかかりました。Statcounterのウェブ分析データによると、英国でオンライン接続するコンピューターユーザーの1.17%が依然としてWindows XPを使用し、0.99%がVistaを使用しており、TLS 1.1をサポートしていない古いブラウザを使用している可能性が非常に高いことが示されています。

現在のインターネット使用統計に基づくと、この問題は英国の成人約100万人に影響を及ぼす可能性がある。

Android（4.1より前）およびiOS（4.0より前）の古いバージョンに組み込まれているブラウザもTLS 1.1をサポートしていません。安全性の低いシステムからの接続を許可すると、中間者攻撃のリスクにさらされます。残念ながら、古いスマートフォンやブラウザを使用している銀行の顧客は、高齢者や貧困層、あるいはハードウェアやソフトウェアのアップグレードが容易ではない状況にある人々である可能性が高くなります。

ウォール氏のテストで最新の暗号化プロトコルを使用していないことが検出された14の銀行は、スコットランド銀行、TSB、ハリファックス、テスコ銀行、ロイズ銀行、ネーションワイド住宅金融組合、HSBC、M&S銀行、セインズベリー銀行、バークレイズ、スコティッシュ・ウィドウズ、ヨークシャー住宅金融組合、ファースト・ダイレクト、コーオペラティブ銀行、スマイルである。

ウォール氏の調査結果をコープ・バンクと話し合ったところ、広報担当者は、TLS 1.2 を使用しないブラウザでもログイン ページにはアクセスできるものの、オンライン バンキング サービスは利用できないと述べた。

コープ・オペレーティブ・バンクは現在、最新のPCIデータセキュリティ基準（PCI DSS）ガイドラインの要件を満たし、TLSv1.0を無効化しています。お客様は古いブラウザ（TLSv1.0以前）を使用して銀行のサイトにアクセスすることはできますが、取引を行うことはできず、基本的にエラーメッセージが表示されます。

この措置の背後にある理由は、銀行が現在、古いブラウザから銀行サービスにアクセスしようとしているユーザーの数を把握できるようになるためです。「当行は、他の銀行と同様に、段階的に古いブラウザのサポートを無効化しており、古いブラウザ経由で当行にアクセスする顧客の数を積極的に監視し、特別な顧客コミュニケーションが必要かどうかを特定しています。段階的なプロセスの終了時には、古いブラウザへのアクセスは完全に無効化され、サポートは終了します。」

これは、HSBCなど他の多くの銀行で見られた動作と一致しています。HSBCは、いくつかの古いブラウザから口座へのログインは許可しましたが、オンラインバンキングサービスが表示されませんでした。しかし、このような動作は、古いソフトウェアを使用しているオンラインバンキングの顧客がこれらのページに送信するログインデータのセキュリティについて疑問を投げかけます。

ウォール氏が分析したオンラインバンキングのサイトには、現時点でセキュリティ上の脆弱性を抱えているものはないが、その多くは、ユーザー側または銀行側の脆弱性から顧客を保護するために設計された一連の推奨ウェブ技術を実装しておらず、その一部は、無害ではあるものの、HTTPS アドレスと転送の取り扱いが不規則である。

例えば、https://smile.co.uk/ は銀行のウェブサイトを読み込めず、（機能的な）www. プレフィックスに転送されないことが、Avast のセキュリティ研究者によって指摘されています。一方、Scottish Widows のオンラインバンキング ログインページに HTTP 経由でアクセスしようとすると、HTTPS バージョンに正しくリダイレ​​クトされず、従来の 404 エラーも表示されず、不明瞭なエラーページが表示されます。

Wall 氏の Bank Grade Security プロジェクトでは、世界中の 153 の銀行で使用されている Web セキュリティ技術を分析し、さまざまな要素に基づいて 100 点満点でスコア付けしています。

これらには、安全でない HTTP 接続から安全な HTTPS 接続への適切なリダイレクト、クロスサイト スクリプティング (XSS) 攻撃 (ログイン時にオンライン バンキングの詳細をキャプチャする悪意のあるコードを挿入するように設計されたブラウザー拡張機能など) に対する保護に役立つヘッダー、および、サーバーの秘密キーが取得された場合でも、記録されたバンキング セッションが後で復号化されるのを防ぐための前方秘匿性が含まれます。

ウェブ全般における主要なセキュリティ問題は、HTTP（ハイパーテキスト転送プロトコル）の継続的な使用です。HTTPは、ブラウザとサーバー間ですべてのデータをプレーンテキストで送受信します。HTTPS（HTTPセキュア）は、TLS（旧バージョンではSSL）と呼ばれるプロトコルを使用してデータを暗号化するため、誰かが傍受しても読み取ることはできません。多くの銀行が長年HTTPSを使用していますが、その実装方法は銀行によって異なり、TLS 1.2暗号化の強制など、最も優れたセキュリティオプションの中には、最新のウェブブラウザを使用できないユーザーを締め出す可能性があるものもあります。

ウォール氏は、「銀行レベルのセキュリティ」という表現はユーザー保護のレベルが高いことを示すためによく使われるが、実際には「銀行のセキュリティは脆弱だ」と述べている。これは多くの場合、やや誇張した表現かもしれないが、銀行ウェブサイトのセキュリティ対策を分析し、改善の進捗状況を追跡する研究は、さまざまなセキュリティ上の懸念事項を浮き彫りにしている。

「人々は銀行が自分たちの安全を守ってくれると信頼している」と彼は言う。「そして、銀行は顧客を危険にさらすことで彼らを失望させていると感じた。」

ペンテストパートナーズのセキュリティ研究者、デイビッド・ロッジ氏は、ユーザーがパニックに陥ったり、インターネットバンキングを諦めたりする必要はないと強調しています。「これらの要因のほとんどは、通常であれば低リスクの問題として挙げられるものです。これらは、通信を安全な経路に強制したり、ウェブサイトにクロスサイトスクリプティングなどの脆弱性がある場合にブラウザに保護を強化するよう指示したりする、追加の制御に関するものです。これらは脆弱性そのものではなく、攻撃の経路を示すものではありません。」

続きを読む: 10億ユーロ規模のサイバー銀行強盗容疑者の摘発の内幕

ウォール氏が指摘した問題は実際の脆弱性には繋がらないものの、ロッジ氏は改善が必要な重大な問題がいくつかあると述べています。「暗号化はおそらく最も重要で、特にTLSと記されたセクションが重要です」とロッジ氏は言います。「古い形式のSSL/TLSの実装とアルゴリズムには、いくつかの暗号上の欠陥が見つかっており、現在推奨されているのはTLS 1.2と1.3のみです。」PCI DSSでは、最新の暗号化規格の使用が義務付けられています。

幸いなことに、最新のブラウザを使用している場合は、サポートされている最新バージョンのTLSを使用して接続していることが確認されます。標準以下のTLS実装によって顕著なリスクにさらされるのは、レガシーコンピューターやソフトウェアを使い続けている場合のみです。

Bank Grade Securityの統計によると、評価対象となった銀行のうち、TLS 1.1以上を必須としているのはわずか24%で、最新のTLS 1.3規格をサポートしている銀行は1行もありません。TLS 1.3は2018年3月23日にインターネット技術タスクフォース（IETF）によって承認されましたが、銀行にとっては難題となっており、以前は業界規制への準拠を目的として、ネットワークトラフィックの復号と監視を容易にするため、TLS 1.3のセキュリティを低下させる提案を行っていました。

ビットディフェンダーのグローバルサイバーセキュリティアナリスト、リビウ・アルセーヌ氏は、銀行によるHTTPSの取り扱いは特に重要だが、銀行のウェブサイトは詐欺師やフィッシング詐欺師の標的となることが最も多いため、銀行はできる限り多くのセキュリティ保護策を講じるべきだと言う。

「特に銀行や金融業界では、社内ネットワークのセキュリティについて話している場合でも、ウェブサイトのセキュリティ制度について話している場合でも、十分なセキュリティなど存在しない」と彼は言う。

ウォール氏が分析した銀行の85%は、顧客を常にHTTPSページにリダイレクトする安全なリダイレクトチェーンを備えており、79%はすべてのHTTPトラフィックをHTTPSサイトに即座に送信しています。一方、ユーザーを容易にスヌーピング可能なHTTPプロトコルにダウングレードさせようとする攻撃に対するHSTS保護をサポートしているのはわずか47%です。調査対象となった153行のうち、現在HSTSプリロードをサポートしているのはわずか2行で、これらの銀行は、ブラウザに対し、サイトに最初に接続する際にHSTSを使用するよう指示するリストに掲載されています。

銀行は、信頼できるドメイン証明書の使用を優先し、あらゆる場所で HTTPS を有効にし、TLS バージョン 1.1 以降を適用し、適切にフォーマットされたセキュリティ ヘッダーを使用してクロスサイト スクリプティング攻撃を防ぐ必要があると Arsene 氏は言います。

ロッジ氏によると、おそらくもっと重要なのは、銀行がサイトをアップグレードする際に、プラットフォーム自体が適切に設計、開発、テストされていることを確認する必要があるということだ。特に、SQLインジェクションやクロスサイトスクリプティングなど、顧客データに影響を与える可能性のある脆弱性がサイトに存在しないことを確実にすることに注力すべきだ。「bankgradesecurity.comに掲載されている項目は、追加の保護メカニズムとして重要ですが、あらゆる攻撃から保護できるわけではありません」とロッジ氏は語る。

ヨークシャー・ビルディング・ソサエティの広報担当者は、調査結果を受けて、使用しているTLSのバージョンの改善に取り組んでいると述べた。「SSL Labsによるセキュリティ評価では現在、『A』の評価を受けています」と広報担当者は述べた。

しかし、これは、進化する脅威や新たな脅威に対して私たちが無関心であることを意味するものではありません。当社のウェブサイトはTLS 1.2を使用するように設定されており、最新のブラウザでは自動的にデフォルトで使用されます。古いバージョンのTLSも現在サポートされていますが、まもなく削除される予定です。

M&S銀行の広報担当者は、「当行はお客様のセキュリティを極めて重視しており、最先端の技術を用いて金融犯罪の抑止と検知に努めています」と述べています。また、使用している技術について詳しく説明し、「オンラインバンキングをご利用のお客様を保護するため、パスワード保護、高度な暗号化技術、そして高度な不正行為監視など、様々なセキュリティ対策を講じています。オンラインバンキングサービスへのアクセスには、M&S PASSという形で二要素認証とワンタイムパスワードの入力が必須となっており、お客様を不正行為から保護しています」と述べています。

テスコ銀行の広報担当者は、「当社は顧客口座のセキュリティを極めて重視しており、必要に応じてシステムとプロセスを継続的に見直し、更新しています」と述べた。他の銀行はコメント要請に応じなかった。

続きを読む: ブリティッシュ・エアウェイズのハッキングは驚くほどひどい

銀行が最新のウェブセキュリティ技術をまだ導入していない場合、個人でできることはあまりないとウォール氏は言います。銀行はウェブサイトに変更を加える必要がありますが、顧客が懸念事項を指摘すれば、変更を促すことも可能です。当面は、自社のオンラインセキュリティ対策が万全であることを確認することが重要です。

「ほとんどのバンキングマルウェアは、認証情報を盗み出したり、ユーザーに代わって電子バンキングの操作を密かに実行したりしようとします」と、リビウ・アルセーヌ氏は述べています。「一部のセキュリティソリューションは、マルウェアに侵入されない安全なブラウザを提供し、アクセスした電子バンキングのウェブサイトが実際に正規のものであり、巧妙な詐欺ではないことを検証します。攻撃者は通常、銀行ではなくエンドユーザーを狙うため、また、適切に保護されていない場合は、両者間の通信を盗聴することもあります。そのため、双方が自らのセキュリティを確保する責任があります。」

この記事はWIRED UKで最初に公開されました。