ICT総研は2月12日、「インターネットバンキングのセキュリティ状況調査」の結果を発表した。同調査は、2013年8月~12月の期間に行なわれ、銀行やインターネットバンキングのWebサイト運営状況やセキュリティ評価を中心に実施している。
インターネットバンキングに関する問題では、インターネットバンキングの口座から預貯金が不正に送金されるなどの被害が増えており、昨年の被害額は過去最悪となったという。2013年の被害件数は1315件で総額14億600万円となり、2011年と比較して約4倍にのぼっている。
今回の調査では、インターネットバンキングサービスを提供している主要123行の銀行のホームページおよびインターネットバンキングサイトのセキュリティ動向が調査対象となっている。
インターネットバンキングサイトで利用されている証明書のセキュリティ状況を見ると、全体の4分の3にあたる75.8%がEV SSL(Extended Validation Secure Sockets Layer)とSGC(Server Gated Cryptography)に対応済みで、認証・暗号レベルがともに高い。
また、EV SSL証明書を取得し認証レベルは高いものの、SGC非対応の銀行は15.3%であった。次に、暗号強度が高く、認証レベルが弱いもの(SGCのみ対応済み)が8.1%、認証・暗号レベルともに弱いもの(証明書なし)も0.8%となっている。
これにより、セキュリティ上の信頼性が高いEV SSL証明書を取得しており、インターネットバンキングを安全に利用するための対応をしていると評価できるサイトは全体の91.1%に上っている。しかしながら、8.9%にあたるサイトではセキュリティ上改善すべき課題が見られた。
|
個人向けインターネットバンキングサイトにおける証明書の安全性評価 |
今回調査したインターネットバンキングサイト123件について、そのサイトのサービス提供会社を調べたところ、NTTデータのサービス(Anser ParaSOLなど)を利用している銀行が最も多く42.3%であった。
次いで日立製作所のサービス(FINEMAXなど)を利用している銀行が10.6%、NECのサービスを利用している銀行は2.4%であった。その他の銀行は、自社でサーバを運用したり、複数の銀行でサーバを共同運営している形態が多く、全体の44.7%を占めた。
|
個人向けインターネットバンキングサイトへのサービス提供会社 |
次に、銀行のホームページなどで利用されているWebサーバのセキュリティ状況について調査した結果、全体の17.1%にあたる21行のWebサーバ(アプリケーション)にセキュリティ上の課題が見られた。
一部の銀行のホームページでは、Webサーバの情報が外部から見えやすい状況になっており、場合によっては攻撃を受ける可能性もあった。
これらのWebサーバは、セキュリティ上問題となる脆弱性があり、システム関連の情報が漏えいするなどのセキュリティ上の課題があるため、今後さらにホームページを強化していく必要があるだろうとICTは指摘している。
|
銀行のホームページにおけるセキュリティの状況 |
銀行のWebサイトでは、WebサーバアプリケーションとしてApache HTTPサーバを利用するものが最も多く、全体の83.7%で圧倒的シェアを誇っている。近年、Microsoft IISなどのWebサーバソフトが台頭し、世界のWebサイトに占めるApacheのシェアは50%程度まで落ち込んできたが、国内銀行のWebサイトでは依然高い人気を保っているようだ。
銀行123行のホームページで利用されているWebサーバソフトのうち、IBM HTTPサーバやIISのシェアは2~3%となっている。このところ世界のWebサーバソフト市場でシェアを伸ばしているIISだが、銀行のホームページにおいては今のところあまり導入が進んでいない。
|
銀行のホームページにおけるWebサーバ利用状況 |
