読者です 読者をやめる 読者になる 読者になる

以下省略!

タイダルウ(ry 毎日1記事執筆運動実施中。

何気に銀行コード0033〜0041までの銀行のネットバンキングのSSLサーバーをテストしてみた

雑記ネット セキュリティ

f:id:abyssluke:20150928183212p:plain:w200:left何気にSSL Server Test新形態銀行のネットバンキングのサーバーに対して実行したらB以上が出なかったアレについて。中にはTLSでPOODLE脆弱性があったりするものも。セキュリティ重視するならAくらいは欲しいけどC以下ということは大人の事情かなぁ(
というわけで軽くテスト結果を貼ってみるアレ。詳細は結果ページへのリンク参照ということで。なお記事の画像はソニー銀行での結果。長いので続きを読むから。

目次

結果の内容について

銀行コード - 銀行名(「銀行」は省略) : 評価

(結果ページへのリンク)

  • 評価:A+〜F(カッコ内は評価C以下となった理由)
    • Cert: Certificateの点数
    • Prot: Protocol Supportの点数
    • Key: Key Exchangeの点数
    • Ciph: Cipher Strengthの点数

※(プラス(緑背景)要素がある場合は記載)

結果

0033 - ジャパンネット : C

SSL Server Test: login.japannetbank.co.jp (Powered by Qualys SSL Labs)

  • 評価: C(SSL3.0でのPOODLE脆弱性あり)
    • Cert: 100
    • Prot: 90
    • Key: 90
    • Ciph: 90

TLS_FALLBACK_SCSV対応

0034 - セブン : C

SSL Server Test: ib.sevenbank.co.jp (Powered by Qualys SSL Labs)

  • 評価: C(TLS1.2未対応)
    • Cert: 100
    • Prot: 50
    • Key: 90
    • Ciph: 90

TLS_FALLBACK_SCSV対応

0035 - ソニー : F

SSL Server Test: o2o.moneykit.net (Powered by Qualys SSL Labs)

  • 評価: F(MITM可能な脆弱性あり、SSL3.0でのPOODLE脆弱性あり、TLS1.2未対応)
    • Cert: 100
    • Prot: 0
    • Key: 90
    • Ciph: 90
0036 - 楽天 : F

SSL Server Test: fes.rakuten-bank.co.jp (Powered by Qualys SSL Labs)

  • 評価: F(MITM可能な脆弱性あり、TLS1.2未対応)
    • Cert: 100
    • Prot: 0
    • Key: 90
    • Ciph: 90
0038 - 住信SBIネット : F

SSL Server Test: netbk.co.jp (Powered by Qualys SSL Labs)

  • 評価: F(TLSでのPOODLE脆弱性あり/モダンブラウザでもRC4が利用されている)
    • Cert: 100
    • Prot: 0
    • Key: 90
    • Ciph: 90
0039 - じぶん : C

SSL Server Test: bk02.jibunbank.co.jp (Powered by Qualys SSL Labs)

  • 評価: C(SSL3.0でのPOODLE脆弱性あり)
    • Cert: 100
    • Prot: 70
    • Key: 80
    • Ciph: 90

TLS_FALLBACK_SCSV対応

0040 - イオン : F

SSL Server Test: ib.aeonbank.co.jp (Powered by Qualys SSL Labs)

  • 評価: F(TLSでのPOODLE脆弱性あり、MITM可能な脆弱性あり)
    • Cert: 100
    • Prot: 0
    • Key: 90
    • Ciph: 90
0041 - 大和ネクスト : C

SSL Server Test: next.bank-daiwa.co.jp (Powered by Qualys SSL Labs)

  • 評価: C(SSL3.0でのPOODLE脆弱性あり)
    • Cert: 100
    • Prot: 90
    • Key: 90
    • Ciph: 80

TLS_FALLBACK_SCSV対応

蛇足

  • 都市銀行(みずほ、三菱東京UFJ、三井住友、りそな)も調べたがB評価以上は出なかった。
  • 地方銀行が使っているネットバンキングサイト(www.parasol.anser.ne.jp)はなんとA-評価(ちょっと惜しい…)。他の銀行も見習って欲しいよ…
実験中:よい子は次のアドレスにメールを絶対に送らないでください。場合によっては晒しあげされますよ。 ivyrush+htnb.20170313@rita-ch.com oi@super-kitakami.net viande@rita-ch.com