【本当？】2017年日本の大手企業のWebサイトは保護されてなかった！

はじめに

 

前回第一弾としてWeb通信のSSL（暗号化）に関して世の中の動きを紹介しました。

第二弾では管理人が独断で選んだ、ちょっと気になったサイトをご紹介します。
ご笑覧頂けると良いのですが。 

（注）この記事は2017年6月5日にはてなブログで公開したもので、記事で説明したWebサイトは現在すべてSSL化されてます。

 

一部SSL化のリスク

常時SSL化のサイトだから100％安全という保証はありませんが、SSL化しない場合は低コストで盗聴され大規模な攻撃を受けてしまいます。

また偽造したSSL証明書を利用した詐欺サイトも見つかっており、ユーザがこれに気づけるよう、GoogleはChromeの警告表示のレベルを上げると宣言してます。

次に一部のみSSL化しているサイトのリスクを例えてみます。

Bは商売で集金したお金を毎週A銀行に預けに行ってます。A銀行は監視カメラと警備員を金庫の前のみに配置してます。強盗が来ても1分で警察が来るので、防犯対策はこれで十分だと思ってました。
泥棒はA銀行の構内を自由にウォチングし、どんなお客が来ているか密かに調査してました。そしてBが毎週たくさんお金を預けていることを知りました。
泥棒はBの個人情報を可能な限り集め、Bに成りすましてBの預金をすべて引き出すことに成功しました。

このような銀行に大切な財産を預けたり、相談に来る人は居ないと思いますが、常時SSL化されてないサイトは、危険な状態で機密情報のやり取りをしていると言えます。

ところで皆さんは世界で一番常時SSL化が進んでいる場所をご存知でしょうか。
アメリカ政府系サイト？違います。お父さん・お兄さんは知っているはずです。

正解はアダルトサイトです。インターネットが急速に発展したのはアダルトサイトのおかげですが、SSL化についても一番熱心に取り組んでます。（笑）

夜な夜な熱心にアクセスされているお父さん・お兄さん、Chromeのシークレットモードでは、あぶないサイトの警告レベルが上がるので、より安心してご鑑賞頂けるようになります。

一方、SSL化が進んでないのは、真面目な企業・専門組織の方です。有名企業に限ってそんなことはないだろう、と思っていたら少し違うようです。

では、これから管理人が気になる15サイトを紹介して行きます。

最初にお断りしておきますが、このサイトは「安全でない」と言っているのはブラウザであって管理人ではありません。どこが安全なのか疑問に思ったことを、正直に呟いているだけです。

注意事項

これから紹介するサイトは、悪意のあるユーザに情報を盗まれる恐れがあるので、閲覧のみとし、機密情報は絶対入力しないで下さいね。（注）現在はSSL化されてます。

 

常時SSL化の遅れが気になるサイトあれこれ

トップページがSSL化されてないのは山のようにありますが、順不同に紹介して行きます。Chromeを使うと詳細な説明が出来るのですが、解説を簡単にする為、Firefoxでの警告表示を掲載します。

セブン-イレブン

トップサイトの広告と警告の表示がアンマッチです。「安全な接続」と表示されると、相乗効果で好印象になるのですが、非常にもったいないです。

コンビニ関係はセブン・イレブン、ローソン、ファミリーマートの大手３社で9兆円近い売上となってます。3社全部トップページがSSL化されてませんが、毎日お世話になっておるセブン・イレブンが1番に常時SSL化して欲しいですね。

偽サイト注意のお知らせに逆行する表示になってますね。ユーザの誤解を招かないよう、SSL化すべきだと思います。

ジャパネットたかた

昔情報漏洩が発覚した時の対応が素晴らしかったので万全の体制かと思っていたら意外でした。内部統制はしっかり実施されているのかも知れませんが、世間に宣言している基本方針に沿って業界トップレベルのWeb対応を実現して欲しいです。

まだ記憶に新しいもう一社はどうでしょうか。

ベネッセ

世界最高レベルの情報セキュリティを実現しているとのことですが、本当なのでしょうか。それはいつのことかは"あトん"は存じません。

ランサムウェアの被害が大きかったメーカに日立製作所がありますが、セキュリティ・システムを開発している関係会社はどうでしょうか。

日立ソリューションズ

日立製作所がこのシステムを利用していたかは不明ですが、今後の営業への影響は大きいと思います。

トップサイトを顧客に見られて「そもそも基本的な所が出来てないんじゃないの」と突っ込まれないよう早急に改善した方が宜しいのではないでしょうか。

日本年金機構

我々の老後のことを考えると、早くサイト全体を安全にして頂かないと心配です。
噂ではシステム管理はNTTデータのようですね。

（株）NTTデータ

報告書を一読させて頂きました。SSL、httpsの言葉は1回も登場しませんでしたが、連結子会社が263社もあり、統制が大変だということは良く分かりました。

プロバイダ関係はどうか見てみましょう。

OCN

どの会社にも、理屈を説くのは大変上手だが、面倒なことは他人に押し付けて逃げる人が必ず居ますよね。有言不実行は信頼を失いチームの結束力を低下させ何のメリットもないと思います。

「常時SSLでセキュリティ対策を」と紹介しているのですから、まず自分で見本を示して頂けると分かりやすいと思います。

実はOCNは「インターネット接続サービス安全・安心マーク推進協議会」で1番目に登録されれているプロバイダです。

インターネット接続サービス安全・安心マーク

インターネット接続サービス安全・安心マークのトップページです。

www.isp-ss.jp  

「インターネット接続サービス安全・安心マーク」は日本インターネットプロバイダー協会とテレコムサービス協会が2002年に創設したものです。

審査基準はありますが、書面審査で119点中92点以上取ればマークを取得できる仕組みになっており、現在105社がマークを付与されてます。

一番手のOCNがこのような状態でしたが、登録されている他のプロバイダを調べると、常時SSL化しているプロバイダは何と10％以下でした。

また105社中3社はブラウザで「この接続は安全ではありません」と警告を表示されてました。その一社を見て見ましょう。

 生協インターネット

これはマズイですね。SSLで保護されていると表示されてますが、ブラウザはそうは判断してません。証明書が期限切れになっているのか、そもそも取得してないのでしょうか。

余談

「インターネット接続サービス安全・安心マーク推進協議会」のトップページはSSL化されてますが、そこに表示されているお知らせには気を付けて下さい。

2004年11月1日以前のお知らせをクリックすると「この接続ではプライバシーが保護されません」「攻撃者があなたの情報（パスワード、メッセージ、クレジット カード情報など）を不正に取得しようとしている可能性があります。」と警告が出るので、閲覧は控えて下さい。

それではもう一つ、安全を推進する協議会である「JASA - クラウドセキュリティ推進協議会」を見てみましょう。

JASA - クラウドセキュリティ推進協議会

 トップサイトはSSL化されてません。顧客の為にサイトの安全性にも取り組んだ方が良いでしょう。次に会員のページを見てみます。

これはマズイですね。生協インターネットと同じように、ログインの入力フォームが暗号化されてませんね。もっとも、この協議会を利用している企業は5社しかなく、3社は常時SSL化してません。

更に「JASA - クラウドセキュリティ推進協議会」という下部組織を作った「日本セキュリティ監査協会」を見てみましょう。

日本セキュリティ監査協会

期待を裏切らず常時SSL化されてませんでした。（笑）個人情報のフォームはSSL化するとプライバシーポリシーでお約束されてますが、確認してみましょう。

これもマズイですね。このページでＩＤ・パスワードを入力すると情報が抜かれるとブラウザが警告してます。日本セキュリティ監査協会のプライバシーポリシーは現在お飾りになっているようです。

更に気になる点に気づきました。インターネットバンクのページはすべてSSL化されてますが、15分以上操作がされなかった場合は自動ログアウトになります。

一方、「JASA - クラウドセキュリティ推進協議会」「日本セキュリティ監査協会」ではSSL化してない入力ページで60分も自動ログアウトにならないのは、如何なものでしょうか。

次に、「JASA - クラウドセキュリティ推進協議会」のCSシルバーマークを取得している企業の１つに、ニフティがありますが、ニフティのクラウドシステムを作っている親会社は富士通です。

では富士通のサイトを見てみましょう。

富士通

残念ながら富士通のサイトはブラウザで「安全ではない」と可視化されてます。こちらも早急な対応が必要ではないでしょうか。関係子会社のニフティも含めて対応して下さいね。

次に同業他社はどうか見てみましょう。

NEC

御社のサイトはブラウザに安全でないと診断されてます。他社を診断する前に自社サイトの対策状況を詳細に診断すべきではないでしょうか。

大手有名企業にセキュリティ対策を任せるのは厳しそうですね。

では専門会社はどうでしょう。SSLサーバ証明書を発行しているセコムを見てみます。

セコムトラストシステムズ株式会社

セコムトラストシステムズ株式会社はセコムグループの情報通信事業を担っている会社です。

SSLサーバ証明書のサイトは当然SSL化されてますが、そのページのみでした。親会社は常時SSL化されているのに、情報事業を担う会社のトップページが一般企業と同じレベルなのは不思議ですね。

次で情報セキュリティ関係は最後です。情報セキュリティの啓蒙活動は重要ですが、ランサムウェア「WannaCry」の注意喚起ビデオを公開した、IPA（情報処理推進機構）を見てみましょう。

IPA（情報処理推進機構）

トップページはSSL化されてますが、情報セキュリティ啓発のページはSSL化されてませんでした。子供達に突っ込まれる前に啓発のページを安全にする必要がありますね。

最後は日本のサイバーテロをたった110人で防衛しようとしている自衛隊はどうでしょうか。

サイバー防衛に自衛隊本腰　反撃なら…９条との関係課題：朝日新聞デジタル

　サイバー空間での実戦に向け、政府が本腰を入れ始めた。自衛隊のシステムをサイバー攻撃から守る模擬訓練のため攻撃要員を初めて配置。実戦で敵に反撃する能力の育成も視野に入れる。ただ、憲法との関係で課題は少…

www.asahi.com  

防衛省・自衛隊

まさか防衛省・自衛隊のサイトが他の省庁と同じレベルだとは思っても見ませんでした。北朝鮮のミサイル開発は大変心配ですが、日本のサイバー対策は大丈夫なのでしょうか。

まとめ

覗いてみて、あれっ、と思ったサイトを紹介したつもりですが、悪気があって取り上げた訳ではありません。探せば探すほど芋ずる式に沢山見つかってしまっただけです。

今そんな大げさに言わなくても、と思われるかも知れませんが、多くの人が、これ危なくない？と話題にすると思います。

対策が取られてないと特に大手は目立つ存在なので、お早目に修正されることをお祈りいたします。

なお、あぶないサイトを見るときは、くれぐれも深追いしないよう気を付けて下さい。 

気軽に足跡残してね！

この記事が「気になった・参考になった」と感じた方は、リアクションボタンか、ツイッターで♡いいねを押して、足跡を残して頂けると嬉しいです。

https://t.co/smStQxHohl

2017年日本のWebサイトのHHTPS化度合いがどうだったのかを説明した記事をBloggerに移転リライトしました。#HTTPS #SSL

— heavy-peat (@AfterWork_Lab) August 1, 2021

それでは今回の記事はこれでおしまい。