yasumaroの日記: SMFGとみずほFGの議決権行使サイト フィッシングの脆弱性
日記 by
yasumaro
それぞれの議決権行使のページは、
SMFGは傘下の住友信託銀行に、みずほFGは傘下のみずほ信託銀行にある。
いずれの信託銀行も株式代行をしており、他の企業の株式も「インターネット議決権行使」ができるようになっている。
でその議決権行使のページにログインするページはそれぞれ、
三井住友:https://www01.jtas.jp/74HI/service?prm1=10
みずほ:https://daiko.mizuho-tb.co.jp/
だけれど、これらのページへのリンクを持つ直前のページは、
三井住友:http://www.sumitomotrust.co.jp/STA/retail/service/daiko/index.html
みずほ:http://www.mizuho-tb.co.jp/daikou/giketsuken_koushi/index.html
ぼくはこれらhttpのページは「必ずhttpsにすべき」と思うのだ。
偽装されたhttp://www.sumitomotrust.co.jp/略 や http://www.mizuho-tb.co.jp/略 を用意され、更にそこで偽装されたログインページhttps://www.nisemono.jp/へ誘導されたら、議決権は奪取されてしまう。
httpはサーバの実在証明をしないから、DNSポイズンキャッシュや、ウイルス感染の手法でのローカルhostsファイル書換などなどで誘導されてもブラウザは警告を発しない。
みずほの場合、ドメイン名がmizuho-tb.co.jpだから、議決権行使ログインのページも、https://www.mizoho-tb.co.jp/ のサーバに格納すれば良かったのに。
三井住友の場合、ログインページがサーバ名もドメイン名も全く異なるものになっているから、いくらhttpsでもより性質が悪い。
https://www01.jtas.jp/
なんて、グループ子会社のインテグレータらしいが、委託先なんて変わる可能性もあり。いくらhttpsでも暗号化の意味しかない。https://www.nisemono.jp/にアクセスするのと同じ論理。偽装者がwww.nisemono.jpの正規の証明書を持っていたら、ブラウザは警告を出さない。フィッシングの手法そのもの。
※ 定年退職しその退職金で株式の購入した方々の何人が「jtas?」と疑問を持ってwhoisを調べるだろうか?同様にnisemonoも疑問を持たない。
いづれも、現在のサーバでログインページを用意するならば、そこへのリンクを持つ直前のページもhttpsにすれば、サーバの実在証明も出来たのに。
そう、偽装サーバにアクセスしたらブラウザが警告を出すようなサイトデザインをしなきゃ駄目だと思う。
住友信託銀行には昨年の6月前半に知らせ、今年3月と4月にも再度知らせたら、
「9月に対応します」
と連絡が来た。1年と三ヶ月放置する気らしい。
みずほは未だ手付かず。一応は複数の方法で知らせた。どのような対策をとるのか、それ以前に対策をとるのかとらないのかも不明。
まあ、でも、みずほの場合は、
ログインページへのリンクを持つページはhttpsでも表示できる事が救い。知恵ある者はhttpsからログインページへいける。
httpのままの人は、そのhttpのページが正規か偽装か区別がつかない。
実はMUFGのIRお問合せのページにも同様のフィッシングの脆弱性があった。これを昨年の株主総会で指摘したら「株主の皆様!ファイアーウォールがあるからご安心下さい!」と担当役員の方は言った。
フィッシングはインターネットの任意の場所に偽装サーバを置かれる。サーバールームやデータセンターをいくら強固にしてもだめなのに。そんなことも判らない人がIT担当をしているのか。
でも、ドキュメントを起こして渡してきたら、理解はしたようで、昨年の9月末にはちゃんと手当てされた。同じ時期に注意したSMFGより対応は早い。
でもこれが、日本の3大メガバンクのセキュリティ意識なんだ。悲しい。
追記:議決権行使書に書いてあるURLはもっとひどい。
http://www.evote.jp/
http://www.webdk.net/
http://www.it-soukai.com/
なんて案内してる。
これが、それぞれの信託銀行の議決権行使のログインページにリダイレクトしているのだ。
これらのhttpのアドレスで偽装サーバ用意され、そこに誘導されて・・・。嗚呼。
SMFGは傘下の住友信託銀行に、みずほFGは傘下のみずほ信託銀行にある。
いずれの信託銀行も株式代行をしており、他の企業の株式も「インターネット議決権行使」ができるようになっている。
でその議決権行使のページにログインするページはそれぞれ、
三井住友:https://www01.jtas.jp/74HI/service?prm1=10
みずほ:https://daiko.mizuho-tb.co.jp/
だけれど、これらのページへのリンクを持つ直前のページは、
三井住友:http://www.sumitomotrust.co.jp/STA/retail/service/daiko/index.html
みずほ:http://www.mizuho-tb.co.jp/daikou/giketsuken_koushi/index.html
ぼくはこれらhttpのページは「必ずhttpsにすべき」と思うのだ。
偽装されたhttp://www.sumitomotrust.co.jp/略 や http://www.mizuho-tb.co.jp/略 を用意され、更にそこで偽装されたログインページhttps://www.nisemono.jp/へ誘導されたら、議決権は奪取されてしまう。
httpはサーバの実在証明をしないから、DNSポイズンキャッシュや、ウイルス感染の手法でのローカルhostsファイル書換などなどで誘導されてもブラウザは警告を発しない。
みずほの場合、ドメイン名がmizuho-tb.co.jpだから、議決権行使ログインのページも、https://www.mizoho-tb.co.jp/ のサーバに格納すれば良かったのに。
三井住友の場合、ログインページがサーバ名もドメイン名も全く異なるものになっているから、いくらhttpsでもより性質が悪い。
https://www01.jtas.jp/
なんて、グループ子会社のインテグレータらしいが、委託先なんて変わる可能性もあり。いくらhttpsでも暗号化の意味しかない。https://www.nisemono.jp/にアクセスするのと同じ論理。偽装者がwww.nisemono.jpの正規の証明書を持っていたら、ブラウザは警告を出さない。フィッシングの手法そのもの。
※ 定年退職しその退職金で株式の購入した方々の何人が「jtas?」と疑問を持ってwhoisを調べるだろうか?同様にnisemonoも疑問を持たない。
いづれも、現在のサーバでログインページを用意するならば、そこへのリンクを持つ直前のページもhttpsにすれば、サーバの実在証明も出来たのに。
そう、偽装サーバにアクセスしたらブラウザが警告を出すようなサイトデザインをしなきゃ駄目だと思う。
住友信託銀行には昨年の6月前半に知らせ、今年3月と4月にも再度知らせたら、
「9月に対応します」
と連絡が来た。1年と三ヶ月放置する気らしい。
みずほは未だ手付かず。一応は複数の方法で知らせた。どのような対策をとるのか、それ以前に対策をとるのかとらないのかも不明。
まあ、でも、みずほの場合は、
ログインページへのリンクを持つページはhttpsでも表示できる事が救い。知恵ある者はhttpsからログインページへいける。
httpのままの人は、そのhttpのページが正規か偽装か区別がつかない。
実はMUFGのIRお問合せのページにも同様のフィッシングの脆弱性があった。これを昨年の株主総会で指摘したら「株主の皆様!ファイアーウォールがあるからご安心下さい!」と担当役員の方は言った。
フィッシングはインターネットの任意の場所に偽装サーバを置かれる。サーバールームやデータセンターをいくら強固にしてもだめなのに。そんなことも判らない人がIT担当をしているのか。
でも、ドキュメントを起こして渡してきたら、理解はしたようで、昨年の9月末にはちゃんと手当てされた。同じ時期に注意したSMFGより対応は早い。
でもこれが、日本の3大メガバンクのセキュリティ意識なんだ。悲しい。
追記:議決権行使書に書いてあるURLはもっとひどい。
http://www.evote.jp/
http://www.webdk.net/
http://www.it-soukai.com/
なんて案内してる。
これが、それぞれの信託銀行の議決権行使のログインページにリダイレクトしているのだ。
これらのhttpのアドレスで偽装サーバ用意され、そこに誘導されて・・・。嗚呼。
SMFGとみずほFGの議決権行使サイト フィッシングの脆弱性 More ログイン