みずほ銀行のセキュリティ対策が酷すぎるのでまとめてみた
【悲報】三菱東京UFJ銀行のセキュリティ強化(SHA-2移行)中止のお知らせ
発端はこれ(みずほ銀行のネットバンキングに素のXPや2000でアクセスできる件)なんですが…
もっとひどいことになっていました…
1. SSLを使用しない(厳密にはSSLとHTTP混在にするらしい)
みずほ銀行:ブックマーク(お気に入り)の登録変更をお願いします
|
目的のページにアクセスするには、アドレスバーの「https://www.mizuhobank.co.jp/~」を「http://www.mizuhobank.co.jp/~」に修正し(httpsの”s”を削除)、エンターキーを押してください。 https://www.mizuhobank.co.jp/~は2014年11月27日よりご利用いただけなくなりました。 https://www.mizuhobank.co.jp/~でブックマーク(お気に入り)に登録されているお客さまは、http://www.mizuhobank.co.jp/~に登録先の変更をお願いします(httpsの”s”を削除してください)。 |
SSL自体を使わなくするらしい。フィッシングサイトの検証できないじゃん…。
Firefox 23 サイト互換性情報 - Mozilla | MDN
| Firefox 18 で、SSL (https) ページ上で非 SSL (http) サイトのコンテンツ読み込みをブロックする設定が追加されました。ユーザのセキュリティを高めるため、これらの設定のうち security.mixed_content.block_active_content が初期設定で有効化されました。つまり、安全なページ上で、安全でないスクリプト、スタイルシート、プラグインコンテンツ、<iframe>、XMLHttpRequest、Web フォント (@font-face)、WebSockets がブロックされ、代わりに通知が表示されるようになります。画像、動画、音声といった「表示系コンテンツ」はブロックされません。 |
HTTPSとHTTPが混在してるとブラウザによっては警告が出ます。
まぁ、セキュリティを考えるならHTTPSに統一すべきで、混在させるのは良くないって話。
2. なぜか新しいサーバーの方が脆弱性だらけな件
ちなみに、元のサイトはQualys SSL Labs - Projects / SSL Server Test の検証結果は B Grade
ところが…現在 ネットバンキングなどで使われている web.ib.mizuhobank.co.jp のアドレス
セキュリティ的にボロボロで韓国と変わりません ・ω・
後から立てたサーバーだからセキュリティ対策のこと忘れてるんですかね。
みずほ銀行のネットバンキングは危険だから使うのはやめましょう
以下みずほの他のSSLサーバーの診断結果です
| info.www.mizuhobank.co.jp (219.127.146.146) B Grade (お知らせや問い合わせ) pweb.mizuhobank.co.jp (133.250.190.199) F Grade pweb2.mizuhobank.co.jp (133.250.190.232) F Grade プロムナードウェブ tentou-info.mizuhobank.co.jp (202.215.243.183) F Grade 店頭情報 mpc.mizuhobank.co.jp (211.132.15.8) F Grade みずほプレミアムクラブ |
zdnet にアクセスできないので調べてみた所…
他の銀行などはこちら
住友や東京三菱はネットバンキングはセーフでした
3. お勧めフィッシングサイト防止セキュリティソフトについて
SaAT Netizenのご利用をおすすめします|りそな銀行・埼玉りそな銀行
【修正】nProtect Netizen が SaAT Netizen に改名して何が変わったか
大手の地方銀行では韓国製のセキュリティソフト Netizen Saat を日本製であるかのように偽って導入させてるのですが、実はこのセキュリティソフト大きな問題点があって、インストール方法がGOMPlayerと同じなんですよね…。
「GOM Player」のマルウェア感染問題、期間を特定 - ITmedia ニュース
なんでGOM Player のインストール方式がダメなのかというのはこの事件が参考に。
韓国人が作ったということまで同じなので、再現しないとも限らないわけで…。
ニュース - CDNetworksのサーバー改ざん問題、バッファローとリクルートはAWSに切り替え:ITpro
つまり、こういうことがあると、セキュリティソフトをインストールしたつもりがマルウェアをインストールしていたなんてこともある訳ですが
みずほ銀行:みずほビジネスWEB(旧みずほ WEB ANSER)
| インターネットバンキング専用ウイルス対策ソフト「Rapport(ラポート)」のご案内(2014年12月5日更新) パソコンのウイルス感染等によるインターネットバンキングの不正送金被害を防止するため、IBM社が提供するインターネットバンキング専用のウイルス対策ソフト「Rapport(ラポート)」(無料)のご案内を開始しております。 |
|・ω・)。o ( 訳の分からない韓国製セキュリティソフトではなくIBM製のちゃんとしたセキュリティソフト薦めてる点だけは評価しよう )
4.おまけ
みずほがらみではこんなこともありました
みずほ証券のWin2000が話題になってますが問題はそこじゃなかった!
みずほ銀行:みずほe-ビジネスサイト Javaソフトウェアのダウンロード・インストールガイド(旧みずほ銀行の店舗の口座をご利用のお客さま)
| バージョンが1.6.0_xxで、チェックボックスがオンになっていない場合は、手動でチェックボックスをオンにした後、ブラウザを再起動させてください。新たにJavaソフトウェアをインストールする必要はありません。 |
解説が Java 6 🙂
みずほ銀行:金融機関コードマスタ更新サービス
ダウンロード実行って書いてる(実際の中身はデータ)のにSSLを使用していない
不正なアプリケーションがフィッシングサイトから仕込まれていても気づかなくなるんじゃね・ω・?
Translate
じぶん銀行も危険です。
https://www.ssllabs.com/ssltest/analyze.html?d=bk02.jibunbank.co.jp
見事にFランク。みずほもそうですが、POODLE対策ぐらいしろよ・・・と思います。
ほかの銀行もセキュリティ対策サボってるところが少なくなさそうです。
セキュリティ最低=韓国と同等
○価と繋がってる=韓国と繋がってる
社員(日本人ではない)が顧客の金を払戻請求書などを偽造して勝手に引き出して豪遊(被害額1200万+2千数百万)
結論:み○ほを信用・使用してはいけない
出来ればまともなネット銀行もやってほしいです。