調査対象の銀行は、S&P Global 100 に掲載されている銀行です。スペインでは、Santander、BBVA、Caixabank、Sabadell、BFA など 5 つの銀行がそのランキングに含まれています。これは、その銀行が調査で示された影響を受ける銀行の中に含まれるという意味ではありませんが、銀行の 97% が Web サイトとモバイル アプリケーションの両方に対する攻撃に対して脆弱であるという結論に達するために分析された銀行の中に含まれることを意味します。
銀行のセキュリティ: 97% が Web およびモバイル攻撃に対して脆弱
これら 100 の銀行のうち、 100 の Web ページ、2,366 のサブドメイン、102 の電子バンキング Web アプリケーション、55 のモバイル アプリケーション、および 298 のバンキング API が分析され、SSL セキュリティ テスト、Web セキュリティ テスト、モバイル アプリケーションのセキュリティ テスト、およびフィッシング テストが実施されました。
SSL 暗号化 でグレード A+ の最高スコアを達成しているのは 4 社だけであり、スペインでは 1 社もありません。サブドメインに関しては、分析されたドメインのうち最大スコアを達成したのは 58 個だけでした。 1,408 ものサブドメインに脆弱性またはセキュリティ構成の問題があります。興味深いことに、分析された各銀行ページには、平均して 2 つの古い Web コンポーネントがあります。合計のうち、29 の Web ページにはパッチが適用されていない、すでに公開されている脆弱性が含まれています。
分析された銀行のモバイル アプリケーションに関しては、 100% の銀行に少なくとも 1 つの低リスクの脆弱性が存在します。 92% が少なくとも 1 つの中リスクの脆弱性を抱えています。また、アプリケーションの 20% には少なくとも 1 つの重大な脆弱性があります。
最後に、主に米国の銀行に影響を及ぼしているものの、29 件の活発なフィッシング キャンペーンが検出されました。 JP モルガン チェースは合計 227 のキャンペーンで成功し、そのうち 3 つはアクティブです。バンク・オブ・アメリカは 179 件のキャンペーンの対象となっていますが、現時点ではそのうち 8 件がまだ活動中です。
つまり、私たちは常に Windows の脆弱性、WhatsApp のセキュリティの欠如、または Google によるデータ悪用の可能性に注目していますが、インターネット上での利用に関して適切に下調べをしない銀行システムへの依存度が高まっていることにはほとんど気づいていません。
参考資料一覧
- https://platform.mi.spglobal.com/web/client?auth=inherit#news/article?id=44027195&cdid=A-44027195-11060