パスワードを忘れた? アカウント作成
11872756 story
セキュリティ

みずほ銀行のWebサイト、HTTPSでのアクセスをブロックして話題に 89

ストーリー by hylom
どうしてこうなった 部門より
あるAnonymous Coward 曰く、

みずほ銀行のWebサイト(http://www.mizuhobank.co.jp/)にHTTPSでアクセスすると、「ブックマーク(お気に入り)の登録変更をお願いします」というページが表示されるようになっている。このページによると、「https://www.mizuhobank.co.jp/~は2014年11月27日よりご利用いただけなくなりました」とのことで、HTTPSではアクセスができなくなった模様。

近年ではGoogleがHTTP接続時に「安全でない」と明示することを提案するなど、HTTPSの利用を推進する動きが強まっているが、みずほの動きはこれに逆行するものになる。

なお、企業サイトでHTTPSでのアクセスができない点については、セキュリティ研究者の高木浩光氏が2010年に取り上げており、『どこぞの糞コンサルが「https:// のページはhttp:///でアクセスできてはいけない」とかシドーしたんだろうかね。 』などと早速のツッコミが入っている。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 逆行 (スコア:4, すばらしい洞察)

    by Anonymous Coward on 2015年01月16日 12時57分 (#2744402)

    HTTPページのほうを廃止しろよ

    • by ymasa (31598) on 2015年01月16日 13時23分 (#2744418) 日記

      httpで良いサイトはhttpでいいんじゃないの?

      親コメント
      • by Anonymous Coward on 2015年01月16日 13時36分 (#2744431)

        その通りだけど、銀行ならhttpsにすべきかと。
        商売上セキュリティや信頼性・信用を重視しないといけないから、すべてhttpsを使うべきだと思う。
        今回ので見事にイメージ下げたはず。

        親コメント
        • Re:逆行 (スコア:3, 参考になる)

          by T.Ozaki (33169) on 2015年01月16日 14時58分 (#2744492) 日記

          "銀行はSSLにすべき"は激しく同意なんだけど、残念な事にほとんどそうなってないのが実状…。

          ざらっとメガバンクとネット専業銀行を調べてみたけど、ちゃんとしてるのは住信SBIだけだった。
          次点(非SSLと同一コンテンツを提供)がイオン銀行で、あとの調査対象の10行はどこもSSLでの一般コンテンツが存在しなかった。
          アクセスしてみたらakamaiの証明書がコンニチワ(第六種オレオレ証明書)して、許可したら404 Not Foundとかもうね…。

          各行ともネットバンク関係はちゃんとしてるからいいんだけど、最近の風潮のことを考えたら一般コンテンツもSSLにすべきだと思う。
          某銀行なんて「騙されないで」って毒々しい警告を掲載してるけど、非SSじゃあまり説得力ないしね。

          #地銀とか信金とかJA/FAとまで調査すんのは無理w 数多すぎるもん…

          親コメント
        • by Anonymous Coward

          同意です。
          フィッシングサイトの方がSSL(DV)対応だったりして悲しくなる。

          # https で接続できる方が偽物とかバッドノウハウができたら嫌だな。

      • by Anonymous Coward on 2015年01月16日 15時38分 (#2744522)

        銀行の問い合わせ先が信用に足るものか判断がつかないのは問題だと思いますよ。

        http://www.mizuhobank.co.jp/info/index.html [mizuhobank.co.jp]

        親コメント
      • by Anonymous Coward

        んなこたーない

    • by Anonymous Coward

      もうポート80をブロックしろよ(あれ?

  • 雨後の筍 (スコア:3, おもしろおかしい)

    by Anonymous Coward on 2015年01月16日 13時13分 (#2744410)

    https://www.mizuhobank.co.jp/ [mizuhobank.co.jp] のEV証明書の有効期限が月末に切れるのを機にコスト削減しようとしてるんだろうけど、本末転倒だな

    ・みずほダイレクト
     ・ログインページ https://web.ib.mizuhobank.co.jp/ [mizuhobank.co.jp]:今年8月末に証明書の期限切れる
     ・ログイン後 https://web4.ib.mizuhobank.co.jp/ [mizuhobank.co.jp] などwebの後ろの数字が変化する:今年8月末に証明書の期限切れる
    ・みずほマイレージ https://aa.mizuhobank.co.jp/ [mizuhobank.co.jp]:今年9月末に証明書の期限切れる

    とサブドメインが乱立してる自行のインターネットサービスをまとめて https://www.mizuhobank.co.jp/ [mizuhobank.co.jp] 直下に置き、証明書も1枚にすりゃいいのに

    • Re:雨後の筍 (スコア:5, 興味深い)

      by annoymouse coward (11178) on 2015年01月16日 13時57分 (#2744446) 日記

      銀行しかも大企業からみればEV証明書の費用なんて誤差の範囲です

      - EV証明書のコストは15万円/年ぐらい
      - サーバに積んでいるRAIDカードのキャッシュのバックアップ用バッテリーが2年おきに交換で30万円/年ぐらい
      - 銀行員の平均年収は1000万円/年ぐらい
      こういう世界なので,証明書を一枚にまとめる程度の工夫では,全く費用削減になりません

      何か他の理由(内部に無能なマネージャが居る・外注先が外れだった・派閥争いが絡んだ策略等)があると思います

      親コメント
      • by Anonymous Coward

        「わずかとは言え、費用削減になることは確かなんだろ? こういうのが積み重なるんだよ」って言ってる50代のおっさんが脳内に現れた

    • Re:雨後の筍 (スコア:5, 興味深い)

      by Anonymous Coward on 2015年01月16日 14時12分 (#2744460)

      https://www.ssllabs.com/ssltest/analyze.html?d=web.ib.mizuhobank.co.jp [ssllabs.com]
      ダイレクト:TLS 1.2非対応、SSL 3.0まだ生きてる、PFS利用不可、EXPORT系suiteがまだ生きてる、TLS向けPOODLEに対して脆弱

      https://www.ssllabs.com/ssltest/analyze.html?d=aa.mizuhobank.co.jp&latest [ssllabs.com]
      ダイレクト:TLS 1.2非対応、SSL 3.0まだ生きてる、PFS使えるけど優先順位がおかしいせいで実用できず、SSL 3.0向けPOODLEに対して脆弱

      どちらもボロボロ

      親コメント
    • by Anonymous Coward

      銀行内で派閥争いしてるからサービスを統合出来ないとかだったらやだなw

    • by Anonymous Coward

      そういえばセブン銀行も、 www.sevenbank.co.jp の証明書の有効期限が切れたっきり更新していないですね…。

      インターネットバンキングで使う ib.sevenbank.co.jp の方はちゃんと期限内の証明書になっているけど。

    • by Anonymous Coward

      この規模の企業で年間10や20万円のコスト削減とか笑ってしまう。
      それにこのコスト削減分よりイメージダウン・信用ダウンの損失の方が大きいはず。

      • by Anonymous Coward

        ./j だけでも今日だけで3本のストーリーが採用されている。あっ,2本でした。

  • さすがに、いちコンサルの言う事を鵜呑みにしてる訳じゃないでしょ。
    ちょっと聞きかじったユーザーからのhttpsのサイトがhttpでアクセス出来てるよ!的な苦情が後を絶たず、
    面倒くさいから対処しただけに思える。

    • by Anonymous Coward

      だとしたらgoogleやtwitterやfacebookみたく、httpでアクセスしたら
      httpsにリダイレクトされるように設定すれば良いだけでしょ。
      世の中の主流だし、さして設定が難しいわけでもない。
      リスクも殆どない。(影響受けるのはTLS非対応ブラウザくらいだろ)

      コスト削減の関連で、サーバ証明書の更新起案が通らなかったんでしょ。

      みずほの規模から言ったら大した額じゃないってコメントがあるけど、
      SSLの重要性が理解できないお偉方にとっちゃ、「そんなワケの
      分からないものに、一銭だって支払うものか!」でなもんよ。
      言われた経験ある人も多いでしょ。
      社内システム管理者のマンパワー削減も見込めるしな。

  • https をやめたわけじゃない。

  • by houji-tea (31727) on 2015年01月16日 21時01分 (#2744735) 日記
    ブラウザが証明書のエラー吐くのを嫌ったとかじゃないのん。
  • by w1allen (21025) on 2015年01月16日 21時31分 (#2744752)

    少し古いけれど、「これはひどい」がピッタリ

  • by Anonymous Coward on 2015年01月16日 22時46分 (#2744785)

    これ、クラックされてページを差し替えられたんじゃないの?
    そしてhttpも偽サイトにつながっていて、(以下自粛)

  • by Anonymous Coward on 2015年01月16日 13時08分 (#2744406)

    誰かに傍受されても、途中で改竄されても
    どうってことないような内容のページなんでしょ。

  • by Anonymous Coward on 2015年01月16日 13時11分 (#2744409)

    アクセスをブロックしたというより、HTTPSでのコンテンツ提供を廃止した、といったところかな。

  • by Anonymous Coward on 2015年01月16日 13時41分 (#2744434)

    これで究極のセキュアな運用だよ。

    多分、SEが何かをやらかす気がするけど。

  • by Anonymous Coward on 2015年01月16日 14時13分 (#2744462)

    まぁhttpsなら大丈夫ってわけではないですし
    今どきの攻撃手法だと、httpsだろうがhttpだろうが攻撃を防ぐ効果は低いからね(^^;

    • by Anonymous Coward on 2015年01月16日 14時55分 (#2744490)

      >今どきの攻撃手法だと、httpsだろうがhttpだろうが攻撃を防ぐ効果は低いからね(^^;

      今どきの攻撃手法に対しては、 https が攻撃を防ぐための十分条件でなくなっているのは
      確かですが、必要条件であることは変わらないはずです。
      それなのに敢えて https の使用を止めるとか、真っ当な理由があるとは思えない。

      親コメント
      • by Anonymous Coward

        フィッシングとか、マルウェアとかいろいろ攻撃方法が出てきてるけど
        httpsではその一部しか防げないと思うが・・・

        一番の問題は、使うユーザー側にスキルがないので
        httpsで防げる攻撃方法だったとしても、現実的には防げないことが多いんだよね(^^;

        • by Anonymous Coward

          馬鹿に合わせて防げる方法を廃止するバカ

    • by Anonymous Coward

      じゃパスワードも禁止しますか。

typodupeerror

にわかな奴ほど語りたがる -- あるハッカー

読み込み中...