前回は6月上旬に日本の銀行のSSL/TLS対応状況を調べてみた。
で、PCI DSSのv3.2で脆弱性のあるSSL3.0とTLSv1.0の実装(使用)を無効化しなければならないとなっていた期限の2018年6月30日を挟んで、今回は7月下旬の日本の銀行のSSL/TLS対応状況を調べてみた。
結論から書くと、SSL/TLSプロトコルについて変更した銀行は無かった。
PCI DSSはクレジットカード業界のセキュリティ基準なので銀行のオンラインバンキングでそれに従わなくてはならないというのは無いんだけど、「クレジット業界に倣ってお客様のお取引の通信をより安全なものにします」という良い言い訳を使えるチャンスだったのになんで変えなかったんだろというのが正直な気持ち。まぁ、変えたいと思ってもいろいろ大変だってのはあるのかもしれないけど。
確認対象は前回と同じで、今回は変更があったところと新たな注意点のあるところだけ。SSL/TLSプロトコルバージョンについては変わってないんだから要らない気はするけど残している。
| 銀行名 | SSL 3.0 |
TLS v1.0 |
TLS v1.1 |
TLS v1.2 |
ホスト名 | その他 | |
| みずほ銀行 | 表示 | 弱いのしかない, RC4, 使ってるSymantecの証明書が9月以降ヤバい | |||||
| ジャパンネット銀行 | 表示 | 前回は確かRC4ありだった筈(間違ってたらスンマセン)たが非対応になってる。(GOOD) | |||||
| セブン銀行 | 表示 | 普通, 使ってるSymantecの証明書が9月以降ヤバい | |||||
| ソニー銀行 | 表示 | 普通だがRC4あり, 前回と変わらずだが、ここは他のスイートの選択の関係でRC4を残す意味がない筈なので早く外せばいいのに。 | |||||
| イオン銀行 | 表示 | ||||||
| 大和ネクスト銀行 | 表示 | 普通, 使ってるSymantecの証明書が9月以降ヤバい | |||||
| 山形銀行 | 表示 | 弱いのしかない, RC4, 使ってるSymantecの証明書が9月以降ヤバい | |||||
| 武蔵野銀行 | 表示 | 弱いのしかない, RC4, 使ってるSymantecの証明書が9月以降ヤバい | |||||
| 八十二銀行 | 表示 | 弱いのしかない, RC4, 使ってるSymantecの証明書が9月以降ヤバい | |||||
| 北國銀行 | 表示 | 弱いのしかない, RC4, 使ってるSymantecの証明書が9月以降ヤバい | |||||
| スルガ銀行 | 表示 | 弱い順, RC4, 使ってるSymantecの証明書が9月以降ヤバい | |||||
| 三重銀行 | 表示 | 弱い順, 使ってるSymantecの証明書が9月以降ヤバい | |||||
| 山陰合同銀行 | 表示 | 弱い順, 前回はWin+IE以外では利用不能で確認できなかったが、Win+IE以外使えるようになったみたい? | |||||
| 中国銀行 | 表示 | 弱いのしかない, RC4, 使ってるSymantecの証明書が9月以降ヤバい | |||||
| 広島銀行 | 表示 | 弱いのしかない, RC4, 使ってるSymantecの証明書が9月以降ヤバい | |||||
| 阿波銀行 | 表示 | 弱いのしかない, RC4, 使ってるSymantecの証明書が9月以降ヤバい | |||||
| 百十四銀行 | 表示 | 弱いのしかない, RC4, POODLE, 使ってるSymantecの証明書が9月以降ヤバい | |||||
| 十八銀行 | 表示 | 弱いのしかない, ROBOT, いろいろダメだが、何故かDNS CAAに対応しているのはGOOD、前回は非対応だったような(見落としだったらスンマセン) | |||||
| 肥後銀行 | 表示 | 弱い順, 使ってるSymantecの証明書が9月以降ヤバい | |||||
| 鹿児島銀行 | 表示 | 弱い順, RC4, 使ってるSymantecの証明書が9月以降ヤバい | |||||
| あおぞら銀行 | 表示 | 弱い順, 使ってるSymantecの証明書が9月以降ヤバい | |||||
| 東京スター銀行 | 表示 | 弱い順, 使ってるSymantecの証明書が9月以降ヤバい | |||||
| 愛知銀行 | 表示 | 弱い順, 使ってるSymantecの証明書が9月以降ヤバい | 愛媛銀行 | 表示 | 弱い順, 使ってるSymantecの証明書が9月以降ヤバい | ||
| ゆうちょ銀行 | 表示 | 弱いのしかない, 前回存在したROBOT脆弱性対応したらしい(GOOD) | |||||
オンラインバンキングにwww.parasol.anser.ne.jpを使ってる全部の銀行について、使ってるSymantecの証明書が9月以降ヤバい。(以下43行)
- 北海道銀行
- 青森銀行
- 秋田銀行
- 北都銀行
- 荘内銀行
- 岩手銀行
- 東北銀行
- 七十七銀行
- 足利銀行
- 千葉興業銀行
- 横浜銀行
- 北越銀行
- 山梨中央銀行
- 北陸銀行
- 富山銀行
- 福井銀行
- 清水銀行
- 京都銀行
- 池田泉州銀行
- 紀陽銀行
- 但馬銀行
- 四国銀行
- 筑邦銀行
- 佐賀銀行
- きらやか銀行
- 仙台銀行
- 福島銀行
- 東和銀行
- 東日本銀行
- 神奈川銀行
- 長野銀行
- 富山第一銀行
- 福邦銀行
- 関西アーバン銀行
- 島根銀行
- 西京銀行
- 福岡中央銀行
- 佐賀共栄銀行
- 長崎銀行
- 豊和銀行
- 宮崎太陽銀行
- 南日本銀行
- 沖縄海邦銀行
- きらぼし銀行の旧八千代銀行用
Symantecの証明書がChromeで信頼されなくなる9月中旬?(Firefoxは10月)まであまり日が無いように思うけど未対応が多いのが気になった。のんびりしてるなぁ、大丈夫なのかしら?