日本の銀行のSSL/TLS対応状況 2018年6月

セキュリティ基準であるPCI DSSのv3.2では2018年6月30日、つまり今月末をもって脆弱性のあるSSL3.0とTLSv1.0の実装(使用)を無効化しなければならないとなっている。TLSv1.1にも脆弱性があって非推奨になってる筈だけどPCI DSSでは1.1以上にしろということなので1.1は使えるのね。

最近ではYahoo! JAPANが2018年6月1日以降TLS1.0/1.1のサポートを順次終了っていうのがニュースになってたけど、これが本来のあり方で他のウェブサイトも倣って欲しいところだけど、PCI DSSでそうなってるから仕方なくといった感じでTLSv1.0だけ無効化してる業者をチラホラ見る程度。むしろ、うちはPCI DSS関係ないからって逃げてる企業が殆ど?

PCI DSSはクレジットカード業界用なので銀行には関係ないっちゃ関係ないんだけど、銀行も全く無関心ではなかった筈。そこで銀行コード1000番以下で信託銀行や外国の銀行を除いたものに「ゆうちょ銀行」を加えた銀行で「個人顧客向けのオンラインバンキングのログイン画面」のページを表示したときに使われているSSL/TLSがどうなっているか調べてみた。

銀行名 SSL
3.0
TLS
v1.0
TLS
v1.1
TLS
v1.2
ホスト名 その他
みずほ銀行 表示 弱いのしかない, RC4
三菱東京UFJ銀行 表示 一応普通 順序が一部変
三井住友銀行 表示 弱いのしかない, RC4
りそな銀行 表示 優先順が酷い 使われるのは弱いかも, RC4
埼玉りそな銀行 表示 優先順が酷い 使われるのは弱いかも RC4
ジャパンネット銀行 表示 普通だがRC4あり
セブン銀行 表示 普通
ソニー銀行 表示 普通だがRC4あり
楽天銀行 表示 普通
住信SBIネット銀行 表示 一応普通 順序が一部変
じぶん銀行 表示 普通
イオン銀行 表示 危険, 再ネゴ
大和ネクスト銀行 表示 普通
北海道銀行 表示 弱い順
青森銀行 表示 弱い順
みちのく銀行 表示 弱い順
秋田銀行 表示 弱い順, 秋田銀行ドメインは弱い+ssl3
北都銀行 表示 弱い順
荘内銀行 表示 弱い順
山形銀行 表示 弱いのしかない, RC4
岩手銀行 表示 弱い順
東北銀行 表示 弱い順
七十七銀行 表示 弱い順
東邦銀行 表示 弱い順
群馬銀行 表示 弱い順
足利銀行 表示 弱い順
常陽銀行 表示 普通だが弱め
筑波銀行 表示 弱いのしかない, RC4
武蔵野銀行 表示 弱いのしかない, RC4
千葉銀行 表示 弱い順
千葉興業銀行 表示 弱い順
きらぼし銀行 表示 弱い順
横浜銀行 表示 弱い順
第四銀行 表示 弱いのしかない, RC4
北越銀行 表示 弱い順
山梨中央銀行 表示 弱い順
八十二銀行 表示 弱いのしかない, RC4
北陸銀行 表示 弱い順
富山銀行 表示 弱い順
北國銀行 表示 弱いのしかない, RC4
福井銀行 表示 弱い順
静岡銀行 表示 弱い順
スルガ銀行 表示 弱い順, RC4
清水銀行 表示 弱い順
大垣共立銀行 表示 弱いのしかない, RC4, ROBOT
十六銀行 表示 普通
三重銀行 表示 弱い順
百五銀行 表示 弱い順, RC4
滋賀銀行 表示 弱い順
京都銀行 表示 弱い順
近畿大阪銀行 表示 優先順が酷い 使われるのは弱いかも, RC4
池田泉州銀行 表示 弱い順
南都銀行 表示 普通だが弱め
紀陽銀行 表示 弱い順
但馬銀行 表示 弱い順
鳥取銀行 表示 弱い順
山陰合同銀行 Windows IE以外で利用不能のため調査できず
中国銀行 表示 弱いのしかない, RC4
広島銀行 表示 弱いのしかない, RC4
山口銀行 表示 普通
阿波銀行 表示 弱いのしかない, RC4
百十四銀行 表示 弱いのしかない, RC4, POODLE
伊予銀行 表示 弱い順
四国銀行 表示 弱い順
福岡銀行 表示 弱い順
筑邦銀行 表示 弱い順
佐賀銀行 表示 弱い順
十八銀行 表示 弱いのしかない, ROBOT
親和銀行 表示 弱い順
肥後銀行 表示 弱い順
大分銀行 表示 弱い順
宮崎銀行 表示 弱いのしかない, RC4
鹿児島銀行 表示 弱い順 RC4
琉球銀行 表示 弱いのしかない, RC4
沖縄銀行 表示 弱い順
西日本シティ銀行 表示 弱い順
北九州銀行 表示 普通
新生銀行 表示 順は良いがRC4あり, POODLE
あおぞら銀行 表示 弱い順
北洋銀行 表示 弱い順
きらやか銀行 表示 弱い順
北日本銀行 表示 弱い順
仙台銀行 表示 弱い順
福島銀行 表示 弱い順
大東銀行 表示 弱い順
東和銀行 表示 弱い順
栃木銀行 表示 弱い順
京葉銀行 表示 弱い順
東日本銀行 表示 弱い順
東京スター銀行 表示 弱い順
神奈川銀行 表示 弱い順
大光銀行 表示 弱い順
長野銀行 表示 弱い順
富山第一銀行 表示 弱い順
福邦銀行 表示 弱い順
静岡中央銀行 表示 弱い順
愛知銀行 表示 弱い順
名古屋銀行 表示 弱いのしかない, RC4, ROBOT
中京銀行 表示 弱い順
第三銀行 表示 弱い順
関西アーバン銀行 表示 弱い順
大正銀行 表示 弱い順
みなと銀行 表示 弱い順, RC4
島根銀行 表示 弱い順
トマト銀行 表示 弱い順
もみじ銀行 表示 普通
西京銀行 表示 弱い順
徳島銀行 表示 弱い順
香川銀行 表示 弱い順
愛媛銀行 表示 弱い順
高知銀行 表示 弱い順
福岡中央銀行 表示 弱い順
佐賀共栄銀行 表示 弱い順
長崎銀行 表示 弱い順
熊本銀行 表示 弱い順
豊和銀行 表示 弱い順
宮崎太陽銀行 表示 弱い順
南日本銀行 表示 弱い順
沖縄海邦銀行 表示 弱い順
きらぼし銀行の旧八千代銀行用 表示 弱い順
ゆうちょ銀行 表示 弱いのしかない, ROBOT

リスト幅の制限でホスト名の「表示」にマウスカーソルを合わせるとホスト名を表示するようにした。クリックしちゃダメ。

これがまぁ驚いたことに6月8日の時点ではTLSv1.0を無効化しているところは1行も無い。それどころかいまだにSSL3.0を有効化しているのが2行、何をお考えなのかTLSv1.0だけを有効化しているのが1行というありさま。とりあえずこの3行のオンラインバンキングは滅べ。

TLSv1.1は本当は無効化が望ましいけどTLSv1.0を有効化している時点でもうどっちでも良い。でも、少なくともTLSv1.2は有効化しとけと言いたいのが百十四銀行。

採用している暗号スイートは銀行・オンラインバンキングを請け負ってる業者によってまちまちだけど、「普通」な設定(暗号強度の高いものを含み強度の高いものの優先順位を高くする)というのが意外と少なくて、弱い暗号スイートしか無いとか、強い暗号スイートが含まれるけど優先順位が弱い順なのでまず使われないというのが殆ど。これは銀行の変な横並び意識なのか金融庁の意味不明なご指導による賜物なのかは不明。
最初はIPAの「SSL/TLS暗号設定ガイドライン」のいうところの「セキュリティ例外型」にしてるのかと思ったけど、意味のある接続互換性優先でもなんでもなくて単に利用者全員が低い暗号強度で通信するようになってるだけなのよね。

で、接続互換性を大切にしてより多くの種類の端末・OS・ブラウザでオンラインバンキングを利用できるようにしているのかと思いきや、WindowsとIEを推奨とか、怪しいソフトウエアをインストールしないとダメ、その怪しいアプリはWindows専用だったり、酷いとWindows+IEでないとログインページに辿り着けないとか、どことはいわないけど山陰合同銀行とかもう何をしたいのか意味分かんない。
セキュリティ重視なら本来は強度が高く安全なプロトコル・暗号スイートを使える端末しか接続させるべきではなく、そういう方向で古いOS・ブラウザの切り捨てをすべき。

あと、銀行のサイトではフィッシング対策だとして怪しいアプリのインストールを推奨・強制するクセに、そして「フィッシング詐欺にお気をつけ下さい」「フィッシングサイトへの誘導にお気をつけ下さい」とさかんに警告するクセに、オンラインバンキングを利用しようとするとドメインが銀行のウェブサイトとは違う他所にあるところに案内も警告もなく移動させてログイン情報を入力させるのは、フィッシングサイトへの誘導と何ら変わらないんだけど銀行さんはどうお考えなのでしょうか。
ページを移動したらドメインが変わるというのに利用者が慣れてマヒするように仕向けてどうするよ?



1件のコメント

  1. 有用な情報ありがとうございます

    金融庁に報告してみてはいかがですか?

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です