みずほ銀行のWebサイト、HTTPSでのアクセスをブロックして話題に 89
ストーリー by hylom
どうしてこうなった 部門より
どうしてこうなった 部門より
あるAnonymous Coward 曰く、
みずほ銀行のWebサイト(http://www.mizuhobank.co.jp/)にHTTPSでアクセスすると、「ブックマーク(お気に入り)の登録変更をお願いします」というページが表示されるようになっている。このページによると、「https://www.mizuhobank.co.jp/~は2014年11月27日よりご利用いただけなくなりました」とのことで、HTTPSではアクセスができなくなった模様。
近年ではGoogleがHTTP接続時に「安全でない」と明示することを提案するなど、HTTPSの利用を推進する動きが強まっているが、みずほの動きはこれに逆行するものになる。
なお、企業サイトでHTTPSでのアクセスができない点については、セキュリティ研究者の高木浩光氏が2010年に取り上げており、『どこぞの糞コンサルが「https:// のページはhttp:///でアクセスできてはいけない」とかシドーしたんだろうかね。 』などと早速のツッコミが入っている。
逆行 (スコア:4, すばらしい洞察)
HTTPページのほうを廃止しろよ
Re:逆行 (スコア:2)
httpで良いサイトはhttpでいいんじゃないの?
Re:逆行 (スコア:1)
その通りだけど、銀行ならhttpsにすべきかと。
商売上セキュリティや信頼性・信用を重視しないといけないから、すべてhttpsを使うべきだと思う。
今回ので見事にイメージ下げたはず。
Re:逆行 (スコア:3, 参考になる)
"銀行はSSLにすべき"は激しく同意なんだけど、残念な事にほとんどそうなってないのが実状…。
ざらっとメガバンクとネット専業銀行を調べてみたけど、ちゃんとしてるのは住信SBIだけだった。
次点(非SSLと同一コンテンツを提供)がイオン銀行で、あとの調査対象の10行はどこもSSLでの一般コンテンツが存在しなかった。
アクセスしてみたらakamaiの証明書がコンニチワ(第六種オレオレ証明書)して、許可したら404 Not Foundとかもうね…。
各行ともネットバンク関係はちゃんとしてるからいいんだけど、最近の風潮のことを考えたら一般コンテンツもSSLにすべきだと思う。
某銀行なんて「騙されないで」って毒々しい警告を掲載してるけど、非SSじゃあまり説得力ないしね。
#地銀とか信金とかJA/FAとまで調査すんのは無理w 数多すぎるもん…
Re: (スコア:0)
同意です。
フィッシングサイトの方がSSL(DV)対応だったりして悲しくなる。
# https で接続できる方が偽物とかバッドノウハウができたら嫌だな。
Re:逆行 (スコア:1)
銀行の問い合わせ先が信用に足るものか判断がつかないのは問題だと思いますよ。
http://www.mizuhobank.co.jp/info/index.html [mizuhobank.co.jp]
Re: (スコア:0)
んなこたーない
Re: (スコア:0)
もうポート80をブロックしろよ(あれ?
雨後の筍 (スコア:3, おもしろおかしい)
https://www.mizuhobank.co.jp/ [mizuhobank.co.jp] のEV証明書の有効期限が月末に切れるのを機にコスト削減しようとしてるんだろうけど、本末転倒だな
・みずほダイレクト
・ログインページ https://web.ib.mizuhobank.co.jp/ [mizuhobank.co.jp]:今年8月末に証明書の期限切れる
・ログイン後 https://web4.ib.mizuhobank.co.jp/ [mizuhobank.co.jp] などwebの後ろの数字が変化する:今年8月末に証明書の期限切れる
・みずほマイレージ https://aa.mizuhobank.co.jp/ [mizuhobank.co.jp]:今年9月末に証明書の期限切れる
とサブドメインが乱立してる自行のインターネットサービスをまとめて https://www.mizuhobank.co.jp/ [mizuhobank.co.jp] 直下に置き、証明書も1枚にすりゃいいのに
Re:雨後の筍 (スコア:5, 興味深い)
銀行しかも大企業からみればEV証明書の費用なんて誤差の範囲です
- EV証明書のコストは15万円/年ぐらい
- サーバに積んでいるRAIDカードのキャッシュのバックアップ用バッテリーが2年おきに交換で30万円/年ぐらい
- 銀行員の平均年収は1000万円/年ぐらい
こういう世界なので,証明書を一枚にまとめる程度の工夫では,全く費用削減になりません
何か他の理由(内部に無能なマネージャが居る・外注先が外れだった・派閥争いが絡んだ策略等)があると思います
Re: (スコア:0)
「わずかとは言え、費用削減になることは確かなんだろ? こういうのが積み重なるんだよ」って言ってる50代のおっさんが脳内に現れた
Re:雨後の筍 (スコア:1)
その50代のおっさんを放逐する方が費用削減になるな
Re:雨後の筍 (スコア:5, 興味深い)
https://www.ssllabs.com/ssltest/analyze.html?d=web.ib.mizuhobank.co.jp [ssllabs.com]
ダイレクト:TLS 1.2非対応、SSL 3.0まだ生きてる、PFS利用不可、EXPORT系suiteがまだ生きてる、TLS向けPOODLEに対して脆弱
https://www.ssllabs.com/ssltest/analyze.html?d=aa.mizuhobank.co.jp&latest [ssllabs.com]
ダイレクト:TLS 1.2非対応、SSL 3.0まだ生きてる、PFS使えるけど優先順位がおかしいせいで実用できず、SSL 3.0向けPOODLEに対して脆弱
どちらもボロボロ
Re: (スコア:0)
銀行内で派閥争いしてるからサービスを統合出来ないとかだったらやだなw
Re:雨後の筍 (スコア:1)
それぞれの下請け先が違う、ってのもありそうだな
Re: (スコア:0)
そういえばセブン銀行も、 www.sevenbank.co.jp の証明書の有効期限が切れたっきり更新していないですね…。
インターネットバンキングで使う ib.sevenbank.co.jp の方はちゃんと期限内の証明書になっているけど。
Re: (スコア:0)
この規模の企業で年間10や20万円のコスト削減とか笑ってしまう。
それにこのコスト削減分よりイメージダウン・信用ダウンの損失の方が大きいはず。
Re: (スコア:0)
./j だけでも今日だけで3本のストーリーが採用されている。あっ,2本でした。
Re: (スコア:0)
元コメの投稿者だけど、それぞれのサブドメインを示しただけで実コンテンツを示したわけじゃないので
揚げ足取りだのDNS汚染圏内だの頓珍漢なレスはやめてくれ
実コンテンツ見たければ↓からどうぞ
ダイレクトログインページ: https://web.ib.mizuhobank.co.jp/servlet/LOGBNK0000000B.do [mizuhobank.co.jp]
ダイレクトログイン後はダイレクト契約者じゃないと見れないから割愛
マイレージログインページ:
知ったかぶりユーザーからの苦情でしょ (スコア:2)
さすがに、いちコンサルの言う事を鵜呑みにしてる訳じゃないでしょ。
ちょっと聞きかじったユーザーからのhttpsのサイトがhttpでアクセス出来てるよ!的な苦情が後を絶たず、
面倒くさいから対処しただけに思える。
Re: (スコア:0)
だとしたらgoogleやtwitterやfacebookみたく、httpでアクセスしたら
httpsにリダイレクトされるように設定すれば良いだけでしょ。
世の中の主流だし、さして設定が難しいわけでもない。
リスクも殆どない。(影響受けるのはTLS非対応ブラウザくらいだろ)
コスト削減の関連で、サーバ証明書の更新起案が通らなかったんでしょ。
みずほの規模から言ったら大した額じゃないってコメントがあるけど、
SSLの重要性が理解できないお偉方にとっちゃ、「そんなワケの
分からないものに、一銭だって支払うものか!」でなもんよ。
言われた経験ある人も多いでしょ。
社内システム管理者のマンパワー削減も見込めるしな。
Re:知ったかぶりユーザーからの苦情でしょ (スコア:2)
mizuhobank.co.jpの証明書はありますよ、オンラインバンキングでは普通に使っています
Re:知ったかぶりユーザーからの苦情でしょ (スコア:2)
ありゃ、大企業さんのEV証明書にはワイルドカードオプションなんてないのか、勘違いした(^_^;)
ミスリード狙ってるの? (スコア:1)
https をやめたわけじゃない。
Re: (スコア:0)
いやいやhttpsやめてるでしょ。わざわざ
> https://www.mizuhobank.co.jp/ [mizuhobank.co.jp]~は2014年11月27日よりご利用いただけなくなりました
って書いてあるくらいなんだし。
httpsでアクセスするとすべて https://www.mizuhobank.co.jp/index.html [mizuhobank.co.jp] にリダイレクトされるから意味なし。
Re: (スコア:0)
今回は https://www.mizuhobank.co.jp/ [mizuhobank.co.jp] の一般コンテンツの方のことだが?
おそらく (スコア:1)
これはひどい (スコア:1)
少し古いけれど、「これはひどい」がピッタリ
クラックされたんじゃないかな (スコア:1)
これ、クラックされてページを差し替えられたんじゃないの?
そしてhttpも偽サイトにつながっていて、(以下自粛)
httpでいいじゃん (スコア:0)
誰かに傍受されても、途中で改竄されても
どうってことないような内容のページなんでしょ。
ブロック? (スコア:0)
アクセスをブロックしたというより、HTTPSでのコンテンツ提供を廃止した、といったところかな。
もうNICぶち抜けよ (スコア:0)
これで究極のセキュアな運用だよ。
多分、SEが何かをやらかす気がするけど。
Re: (スコア:0)
それじゃあんまりなんで半二重1200bpsモデムセンターに直接接続。
Re:もうNICぶち抜けよ (スコア:1)
2400bps MNP7の半二重モデムが20年前には給与振込のために利用できたのでそこまでは許容してもよいと思います。
逆かと思ったら、暗号化されてる方を停止か!? (スコア:0)
まぁhttpsなら大丈夫ってわけではないですし
今どきの攻撃手法だと、httpsだろうがhttpだろうが攻撃を防ぐ効果は低いからね(^^;
Re:逆かと思ったら、暗号化されてる方を停止か!? (スコア:3, 参考になる)
>今どきの攻撃手法だと、httpsだろうがhttpだろうが攻撃を防ぐ効果は低いからね(^^;
今どきの攻撃手法に対しては、 https が攻撃を防ぐための十分条件でなくなっているのは
確かですが、必要条件であることは変わらないはずです。
それなのに敢えて https の使用を止めるとか、真っ当な理由があるとは思えない。
Re: (スコア:0)
フィッシングとか、マルウェアとかいろいろ攻撃方法が出てきてるけど
httpsではその一部しか防げないと思うが・・・
一番の問題は、使うユーザー側にスキルがないので
httpsで防げる攻撃方法だったとしても、現実的には防げないことが多いんだよね(^^;
Re: (スコア:0)
馬鹿に合わせて防げる方法を廃止するバカ
Re: (スコア:0)
じゃパスワードも禁止しますか。
Re:この対応って問題なの? (スコア:1)
掲載されてる内容が正規の確かなものであることが確認できる。
信用を扱う銀行なら当然かと。ただでさえフィッシング詐欺のターゲットになってるのに。
通常ならお客に「https以外でアクセスしないで」というべきものだよ。
ただこれでもリテラシーの高くない人は、URLと証明書を確認しないから、証明書付きの偽サイトと区別つかなかったりするのは問題。
こればかりはどうしようもないけど、httpsでない偽サイトは排除できるから有効。
Re:この対応って問題なの? (スコア:1)
関心のフォーカスが違うんだと思う。https にすれば安心だ万全だなんて話をしているんじゃない。リテラシーに依存するところが大きいからって SSL では閲覧禁止にした方がいいって話にはならんでしょ。効果が低いとかいうならともかく、無意味なわけじゃない。わざわざ廃止する理由にはならない。
LIVE-GON(リベゴン)
Re:この対応って問題なの? (スコア:1)
その同意はありがたい。一歩進んで、わざわざ禁止しないほうがよいという点についてはどうだろうか? みずほがそれをやめたのを「おいおい、なんでだよ」とツッコミを入れる反応についても理解はできると思うのだが。
いままでSSLを可にしてたことで何か問題あったんですか?っていう話もしたいですな。
LIVE-GON(リベゴン)
Re:この対応って問題なの? (スコア:1)
その手の挑発に乗っても、他のスレッドにあるように、また十分条件必要条件の説明ループに戻るのが目に見えてるもん。説明しても、二言目には「それで万全になるわけではない」「そんなことをする必要はない」「無視できるほど影響は少ない」とかその手の問答に戻るじゃん。
SSLオフにすることで安全性が向上するわけじゃないでしょ。オフにするメリットの方だって(証明書のコストくらいしか)提示できてないじゃん。関連ストーリーにもある通り、これは、基本的には全部SSLでよくて――とくに銀行だの政府機関だのといったサイトは――積極的にそれをオフにする理由はなかろうって話に関連してると思うよ。全部SSLにしてしまえって話は極論だろうってコメントはあちこちに付いてるけどさ。
LIVE-GON(リベゴン)
Re:この対応って問題なの? (スコア:1)
そのこしたことがないのをみずほがやめたのがこのストーリー。こしたことがないのをやめるのは問題でしょう。何が問題なのか分からないというなら、なぜこしたことはないのかも分かってないのでは?
LIVE-GON(リベゴン)
Re:この対応って問題なの? (スコア:1)
申し訳ない。「SSLであるにこしたことないのは分かっている。SSLをやめたことに問題があるかは分からない」というのが意味不明で、私にはとても説明できるように思えない。何が分からないのか分からないので説明のしようがない。できれば疑問に答えてあげたいのだけど、疑問の内容が分からない以上、これ以上説明ができない。このストーリーに付いた他のコメントや関連ストーリーなどを読んで、何が問題なのか私以外の力を借りて理解して欲しい。お力になれず申し訳ない。
LIVE-GON(リベゴン)
Re:この対応って問題なの? (スコア:1)
書き込んだあとにふと思ったけど「SSLをやめることの問題のほかに、SSLをやめることに問題があるか?」って聞いてるんじゃないよね? さすがに違うと思うんだけど。
# 私は君のことをバカだとは思ってないのだけど、一応、確認のため。
LIVE-GON(リベゴン)
Re:この対応って問題なの? (スコア:1)
DNSを偽装してサイトAとサイトBと思わせても、攻撃者はサイトAの証明書は持っていないから、サイトBであることしか証明できない。
Re:この対応って問題なの? (スコア:1)
見た目合わせた偽サイトと区別つきやすく。
コンテンツ自体への署名等々、対策は尽きない。
ゼロは無理だが、やるべきことやらなすぎと思う。
利益は俺のもの、被害はお前のものと公言してると同じ。
Re:この対応って問題なの? (スコア:1)
その点はまったくその通り。しかし、無条件に安心、無条件にNGなんて話をしているわけではないので、そういう話をしたいならそっちで話せばいい。
LIVE-GON(リベゴン)
Re:この対応って問題なの? (スコア:1)
元のコメントは「HTTPSであれば安心!HTTPなら無条件にNG!はどうかと思うよ」とか言い出してますからねえ。そんな話してないのに、そういう極論に話を逸らそうとしている感じ。
LIVE-GON(リベゴン)