監査法人トーマツは11月29日、国内147銀行のインターネット・バンキング・サイトにおけるフィッシング対策の現状について調査した結果を発表した。結果として、約4分の1のサイトに問題があることが分かった。

 フィッシングは、偽造サイトにユーザーを誘導してIDやパスワードなどを盗もうとする行為。偽造サイトかどうかを確認するには、サイトのURLをよくチェックしなければならないが、トーマツの調査によると、24%のサイトにおいてURLを表示するアドレス・バーが隠されてしまうことが分かった。悪意を持つ第三者が、アドレス・バーを隠した形で偽造サイトを作ると、ユーザーは疑いなく個人情報を盗られてしまう危険性が高い。

 オンライン・バンキングのログイン・ページのURLが、銀行のトップ・ページのドメイン名から変わってしまう銀行も76%と多かった。トップ・ページが「bank.co.jp」、ログイン・ページが「bank.com」といった違いならまだいい方である。オンライン・バンキングのサービスをITベンダーなどに委託していて、「まったく異なるURLになる銀行も多かった」(監査法人トーマツ エンタープライズリスクサービスの山本満シニアマネジャー)。フィッシングにより、サイトを偽造されてもユーザーが気付かない可能性が高くなる。

 フィッシングを狙う犯罪者は、銀行本来のドメイン名に似せたURLで偽造サイトを作る場合が多い。その意味で、自行のURLに似たドメイン名は、あらかじめ押さえておくのが有効だが、その対応が遅れている銀行も多かった。例えば本来のURLが「bank.co.jp」のとき、「bank.com」を第三者が取得可能な状態だった銀行は15%に及んだ。誰でも「bank.com」というURLで偽造サイトを作れる状態であり、ユーザーはだまされる危険性が高くなる。銀行とは関係ない第三者が、「bank.com」を取得済みと見られる銀行は69%に及んだ。

 サイトの正当性を証明する「SSL証明書」は全行が取得していた。ただし、マイクロソフトなどがフィッシング対策として推進している「EV SSL証明書」を取得しているのは2%(3行)にとどまった。またログイン時に、ID/パスワード以外の認証方法を併用している銀行は8%だった。

 調査は8月20~31日に実施。「クロスサイト・スクリプティングのぜい弱性を持つとみられる銀行が2~3行、パスワード入力フィールドで文字が伏字にならない銀行も1行見つかった」(山本シニアマネジャー)というように、セキュリティ対策を一から見直すべきサイトも散見されたという。