トーマツは11月29日、銀行147行のWebサイトにおけるフィッシングへの対応状況の調査結果を公表した。調査期間は8月20日から27日まで。銀行のWebサイトを閲覧し、外部に発信される情報から得られる範囲で、フィッシング等の対策に関連すると考えられる事項の状況を調べた。
まず、ログイン画面が当該銀行のものであることを容易に確認できるかどうかをチェックしたところ、76%のWebサイトで、当該銀行のドメイン名とログイン画面のドメイン名が一致していないことがわかった。そもそもドメイン名を表示する部分を除去してしまったログイン画面を表示しているWebサイトも24%存在していた。
フィッシングに関する注意喚起を行なっていないWebサイトは26%に上り、自行のセキュリティに対する方針を示していなかったWebサイトも16%だった。また、なりすまし防止策として、通常のパスワードによる認証方法に加え、他の認証方法でも顧客本人であることを確認することを推奨していたWebサイトは、8%にとどまった。
このほか、一部のWebサイトでは、Webアプリケーションを不正に操作できる脆弱性が残されていることが発見された。また、一般顧客が参照する必要がないと考えられる、システムの運用や管理業務を行なうためのマニュアルが、外部から誰でも参照できる状態となっていたサイトもあったという。
関連情報
■URL
ニュースリリース
http://www.tohmatsu.co.jp/news/2007/press1129.shtml
( 増田 覚 )
2007/12/03 21:02
- ページの先頭へ-
|