Scan Incident Report Vol．005〜008

出版社/著者からの内容紹介
　【Scan Incident Report】は、情報漏えい、クロスサイトスクリプティング脆弱性、Ｗｅｂ改ざん、ウイルス送信など、ネットワーク上で起こった事件を検証し、そのレポートを掲載する、事件情報に特化したメールマガジンです。その他、インターネット関連の規格・法制度、企業の対応法などを、過去の事例とともにご紹介しています。今回は、2002年5月の本誌バックナンバーVol.005〜Vol.008を掲載します。

抄録（「電子書店パピレス」より）
　2002年5月にはいって、主要な金融関係会社のWebに多数のクロスサイトスクリプティング脆弱性などの問題点が発見、報告された。これらを列挙すると以下の通りである。

　みずほアセット信託銀行（5/1 Web相談窓口、5/7 Web相談登録申し込みページ)
　UFJカード（5/2 メインページフレーム構成部）
　UFJ銀行（5/7 採用ページ会員登録ページ、検索ページ、5/8 採用ページ会員登録ページ、UFJダイレクト申し込みページ）
　大和銀行（5/8 検索ページ）
　あさひ銀行（5/8 Not Found 表示ページ）（発見者：スターダスト）
　大和銀行−あさひ銀行共同Webサイト（5/8）（発見者：スターダスト）
　三井住友銀行（5/11 検索ページ、Bad Request 表示ページ、5/14 検索システムデバッグ途中のページ）
　東京三菱銀行（5/11 途中採用サイト Bad Request 表示ページ）
　新生銀行（4/8報告、5/4公開 PowerFlex口座申し込みページ）

　（発見者について特記のないものは全て筆者の発見である）

　みずほ銀行にもクロスサイトスクリプティング脆弱性があったことは4月3日に
　https://www.netsecurity.ne.jp/article/1/4636.html

　などで報道しており、今回発見された分を合わせると、全ての都銀のWebにクロスサイトスクリプティング脆弱性が発見されたことになる。銀行のWebが如何に杜撰に作られているかがこの事実だけからも明らかである。

　特に上記リストのうち、「ログインページ」「申し込みページ」「窓口」に問題があったケースは、ログイン情報や、銀行口座番号、あるいは申し込みに必要な個人情報などが漏洩するようなページ構成が極めて容易にとれるため、悪用される確率が高く、また悪用された場合のユーザ被害の度合いが確実に高く、非常に危険なケースである。一方、「検索ページ」「Not Found 表示ページ」「Bad Request 表示ページ」に脆弱性が発見されたケースについては、その脆弱点を悪用するためには、偽のページを一から創出しなければならないため、悪用にはWeb技術や、ソーシャルハッキング技術などを駆使する必要があり、悪用される確率的・頻度的な可能性・危険性は比較的低いと言える。ただし、後者の場合も、実際に悪用されてしまった場合のユーザの被害の大きさは、必ずしも小さいとは限らない。

　さて、クロスサイトスクリプティング脆弱性自身は極めて単純なWebシステムの技術的問題であるが、それに関連する危機管理について各々のケースを見ると、それぞれの状況は全く異なっており、「危険なシステム管理の見本市」の様相を呈していることがわかってくる。そこで、上に列挙した各金融各社の状況についてその詳細を以下で検討してみる。