セキュリティ基準であるPCI DSSのv3.2では2018年6月30日、つまり今月末をもって脆弱性のあるSSL3.0とTLSv1.0の実装(使用)を無効化しなければならないとなっている。TLSv1.1にも脆弱性があって非推奨になってる筈だけどPCI DSSでは1.1以上にしろということなので1.1は使えるのね。
最近ではYahoo! JAPANが2018年6月1日以降TLS1.0/1.1のサポートを順次終了っていうのがニュースになってたけど、これが本来のあり方で他のウェブサイトも倣って欲しいところだけど、PCI DSSでそうなってるから仕方なくといった感じでTLSv1.0だけ無効化してる業者をチラホラ見る程度。むしろ、うちはPCI DSS関係ないからって逃げてる企業が殆ど?
PCI DSSはクレジットカード業界用なので銀行には関係ないっちゃ関係ないんだけど、銀行も全く無関心ではなかった筈。そこで銀行コード1000番以下で信託銀行や外国の銀行を除いたものに「ゆうちょ銀行」を加えた銀行で「個人顧客向けのオンラインバンキングのログイン画面」のページを表示したときに使われているSSL/TLSがどうなっているか調べてみた。
| 銀行名 | SSL 3.0 |
TLS v1.0 |
TLS v1.1 |
TLS v1.2 |
ホスト名 | その他 | ||
| みずほ銀行 | 表示 | 弱いのしかない, RC4 | ||||||
| 三菱東京UFJ銀行 | 表示 | 一応普通 順序が一部変 | ||||||
| 三井住友銀行 | 表示 | 弱いのしかない, RC4 | ||||||
| りそな銀行 | 表示 | 優先順が酷い 使われるのは弱いかも, RC4 | ||||||
| 埼玉りそな銀行 | 表示 | 優先順が酷い 使われるのは弱いかも RC4 | ||||||
| ジャパンネット銀行 | 表示 | 普通だがRC4あり | ||||||
| セブン銀行 | 表示 | 普通 | ||||||
| ソニー銀行 | 表示 | 普通だがRC4あり | ||||||
| 楽天銀行 | 表示 | 普通 | ||||||
| 住信SBIネット銀行 | 表示 | 一応普通 順序が一部変 | ||||||
| じぶん銀行 | 表示 | 普通 | ||||||
| イオン銀行 | 表示 | 危険, 再ネゴ | ||||||
| 大和ネクスト銀行 | 表示 | 普通 | ||||||
| 北海道銀行 | 表示 | 弱い順 | ||||||
| 青森銀行 | 表示 | 弱い順 | ||||||
| みちのく銀行 | 表示 | 弱い順 | ||||||
| 秋田銀行 | 表示 | 弱い順, 秋田銀行ドメインは弱い+ssl3 | ||||||
| 北都銀行 | 表示 | 弱い順 | ||||||
| 荘内銀行 | 表示 | 弱い順 | ||||||
| 山形銀行 | 表示 | 弱いのしかない, RC4 | ||||||
| 岩手銀行 | 表示 | 弱い順 | ||||||
| 東北銀行 | 表示 | 弱い順 | ||||||
| 七十七銀行 | 表示 | 弱い順 | ||||||
| 東邦銀行 | 表示 | 弱い順 | ||||||
| 群馬銀行 | 表示 | 弱い順 | ||||||
| 足利銀行 | 表示 | 弱い順 | ||||||
| 常陽銀行 | 表示 | 普通だが弱め | ||||||
| 筑波銀行 | 表示 | 弱いのしかない, RC4 | ||||||
| 武蔵野銀行 | 表示 | 弱いのしかない, RC4 | ||||||
| 千葉銀行 | 表示 | 弱い順 | ||||||
| 千葉興業銀行 | 表示 | 弱い順 | ||||||
| きらぼし銀行 | 表示 | 弱い順 | ||||||
| 横浜銀行 | 表示 | 弱い順 | ||||||
| 第四銀行 | 表示 | 弱いのしかない, RC4 | ||||||
| 北越銀行 | 表示 | 弱い順 | ||||||
| 山梨中央銀行 | 表示 | 弱い順 | ||||||
| 八十二銀行 | 表示 | 弱いのしかない, RC4 | ||||||
| 北陸銀行 | 表示 | 弱い順 | ||||||
| 富山銀行 | 表示 | 弱い順 | ||||||
| 北國銀行 | 表示 | 弱いのしかない, RC4 | ||||||
| 福井銀行 | 表示 | 弱い順 | ||||||
| 静岡銀行 | 表示 | 弱い順 | ||||||
| スルガ銀行 | 表示 | 弱い順, RC4 | ||||||
| 清水銀行 | 表示 | 弱い順 | ||||||
| 大垣共立銀行 | 表示 | 弱いのしかない, RC4, ROBOT | ||||||
| 十六銀行 | 表示 | 普通 | ||||||
| 三重銀行 | 表示 | 弱い順 | ||||||
| 百五銀行 | 表示 | 弱い順, RC4 | ||||||
| 滋賀銀行 | 表示 | 弱い順 | ||||||
| 京都銀行 | 表示 | 弱い順 | ||||||
| 近畿大阪銀行 | 表示 | 優先順が酷い 使われるのは弱いかも, RC4 | ||||||
| 池田泉州銀行 | 表示 | 弱い順 | ||||||
| 南都銀行 | 表示 | 普通だが弱め | ||||||
| 紀陽銀行 | 表示 | 弱い順 | ||||||
| 但馬銀行 | 表示 | 弱い順 | ||||||
| 鳥取銀行 | 表示 | 弱い順 | ||||||
| 山陰合同銀行 | Windows IE以外で利用不能のため調査できず | |||||||
| 中国銀行 | 表示 | 弱いのしかない, RC4 | ||||||
| 広島銀行 | 表示 | 弱いのしかない, RC4 | ||||||
| 山口銀行 | 表示 | 普通 | ||||||
| 阿波銀行 | 表示 | 弱いのしかない, RC4 | ||||||
| 百十四銀行 | 表示 | 弱いのしかない, RC4, POODLE | ||||||
| 伊予銀行 | 表示 | 弱い順 | ||||||
| 四国銀行 | 表示 | 弱い順 | ||||||
| 福岡銀行 | 表示 | 弱い順 | ||||||
| 筑邦銀行 | 表示 | 弱い順 | ||||||
| 佐賀銀行 | 表示 | 弱い順 | ||||||
| 十八銀行 | 表示 | 弱いのしかない, ROBOT | ||||||
| 親和銀行 | 表示 | 弱い順 | ||||||
| 肥後銀行 | 表示 | 弱い順 | ||||||
| 大分銀行 | 表示 | 弱い順 | ||||||
| 宮崎銀行 | 表示 | 弱いのしかない, RC4 | ||||||
| 鹿児島銀行 | 表示 | 弱い順 RC4 | ||||||
| 琉球銀行 | 表示 | 弱いのしかない, RC4 | ||||||
| 沖縄銀行 | 表示 | 弱い順 | ||||||
| 西日本シティ銀行 | 表示 | 弱い順 | ||||||
| 北九州銀行 | 表示 | 普通 | ||||||
| 新生銀行 | 表示 | 順は良いがRC4あり, POODLE | ||||||
| あおぞら銀行 | 表示 | 弱い順 | ||||||
| 北洋銀行 | 表示 | 弱い順 | ||||||
| きらやか銀行 | 表示 | 弱い順 | ||||||
| 北日本銀行 | 表示 | 弱い順 | ||||||
| 仙台銀行 | 表示 | 弱い順 | ||||||
| 福島銀行 | 表示 | 弱い順 | ||||||
| 大東銀行 | 表示 | 弱い順 | ||||||
| 東和銀行 | 表示 | 弱い順 | ||||||
| 栃木銀行 | 表示 | 弱い順 | ||||||
| 京葉銀行 | 表示 | 弱い順 | ||||||
| 東日本銀行 | 表示 | 弱い順 | ||||||
| 東京スター銀行 | 表示 | 弱い順 | ||||||
| 神奈川銀行 | 表示 | 弱い順 | ||||||
| 大光銀行 | 表示 | 弱い順 | ||||||
| 長野銀行 | 表示 | 弱い順 | ||||||
| 富山第一銀行 | 表示 | 弱い順 | ||||||
| 福邦銀行 | 表示 | 弱い順 | ||||||
| 静岡中央銀行 | 表示 | 弱い順 | ||||||
| 愛知銀行 | 表示 | 弱い順 | ||||||
| 名古屋銀行 | 表示 | 弱いのしかない, RC4, ROBOT | ||||||
| 中京銀行 | 表示 | 弱い順 | ||||||
| 第三銀行 | 表示 | 弱い順 | ||||||
| 関西アーバン銀行 | 表示 | 弱い順 | ||||||
| 大正銀行 | 表示 | 弱い順 | ||||||
| みなと銀行 | 表示 | 弱い順, RC4 | ||||||
| 島根銀行 | 表示 | 弱い順 | ||||||
| トマト銀行 | 表示 | 弱い順 | ||||||
| もみじ銀行 | 表示 | 普通 | ||||||
| 西京銀行 | 表示 | 弱い順 | ||||||
| 徳島銀行 | 表示 | 弱い順 | ||||||
| 香川銀行 | 表示 | 弱い順 | ||||||
| 愛媛銀行 | 表示 | 弱い順 | ||||||
| 高知銀行 | 表示 | 弱い順 | ||||||
| 福岡中央銀行 | 表示 | 弱い順 | ||||||
| 佐賀共栄銀行 | 表示 | 弱い順 | ||||||
| 長崎銀行 | 表示 | 弱い順 | ||||||
| 熊本銀行 | 表示 | 弱い順 | ||||||
| 豊和銀行 | 表示 | 弱い順 | ||||||
| 宮崎太陽銀行 | 表示 | 弱い順 | ||||||
| 南日本銀行 | 表示 | 弱い順 | ||||||
| 沖縄海邦銀行 | 表示 | 弱い順 | ||||||
| きらぼし銀行の旧八千代銀行用 | 表示 | 弱い順 | ||||||
| ゆうちょ銀行 | 表示 | 弱いのしかない, ROBOT | ||||||
リスト幅の制限でホスト名の「表示」にマウスカーソルを合わせるとホスト名を表示するようにした。クリックしちゃダメ。
これがまぁ驚いたことに6月8日の時点ではTLSv1.0を無効化しているところは1行も無い。それどころかいまだにSSL3.0を有効化しているのが2行、何をお考えなのかTLSv1.0だけを有効化しているのが1行というありさま。とりあえずこの3行のオンラインバンキングは滅べ。
TLSv1.1は本当は無効化が望ましいけどTLSv1.0を有効化している時点でもうどっちでも良い。でも、少なくともTLSv1.2は有効化しとけと言いたいのが百十四銀行。
採用している暗号スイートは銀行・オンラインバンキングを請け負ってる業者によってまちまちだけど、「普通」な設定(暗号強度の高いものを含み強度の高いものの優先順位を高くする)というのが意外と少なくて、弱い暗号スイートしか無いとか、強い暗号スイートが含まれるけど優先順位が弱い順なのでまず使われないというのが殆ど。これは銀行の変な横並び意識なのか金融庁の意味不明なご指導による賜物なのかは不明。
最初はIPAの「SSL/TLS暗号設定ガイドライン」のいうところの「セキュリティ例外型」にしてるのかと思ったけど、意味のある接続互換性優先でもなんでもなくて単に利用者全員が低い暗号強度で通信するようになってるだけなのよね。
で、接続互換性を大切にしてより多くの種類の端末・OS・ブラウザでオンラインバンキングを利用できるようにしているのかと思いきや、WindowsとIEを推奨とか、怪しいソフトウエアをインストールしないとダメ、その怪しいアプリはWindows専用だったり、酷いとWindows+IEでないとログインページに辿り着けないとか、どことはいわないけど山陰合同銀行とかもう何をしたいのか意味分かんない。
セキュリティ重視なら本来は強度が高く安全なプロトコル・暗号スイートを使える端末しか接続させるべきではなく、そういう方向で古いOS・ブラウザの切り捨てをすべき。
あと、銀行のサイトではフィッシング対策だとして怪しいアプリのインストールを推奨・強制するクセに、そして「フィッシング詐欺にお気をつけ下さい」「フィッシングサイトへの誘導にお気をつけ下さい」とさかんに警告するクセに、オンラインバンキングを利用しようとするとドメインが銀行のウェブサイトとは違う他所にあるところに案内も警告もなく移動させてログイン情報を入力させるのは、フィッシングサイトへの誘導と何ら変わらないんだけど銀行さんはどうお考えなのでしょうか。
ページを移動したらドメインが変わるというのに利用者が慣れてマヒするように仕向けてどうするよ?
