ネットバンキングは生活に欠かせないインフラとなりつつある(出典:写真AC)

米国に本拠地を置くPositive Technologies社は、情報システムの脆弱性のアセスメントやインシデント分析、アプリケーションやデータの保護など、情報セキュリティに関する様々な製品やサービスを提供している企業である。同社が 2018 年4月に発表した調査報告書「Financial Application Vulnerabilities」の 2018 年版は、銀行業における同社の顧客企業のインターネットバンキングについて脆弱性を調査した結果をまとめたものである。同社はこのような調査を毎年行っているようであり、本稿で紹介する2018年版には、2017年の間に調査された41の取引処理用アプリケーションに関する調査結果がまとめられている。なお調査対象のうち61%がスマートフォン用モバイルバンキング用アプリケーション(注 1)で、残り39%がPC による取引のためのアプリケーションとの事である。

本報告書によると、平均して1アプリケーションあたり7つの脆弱性が見つかっており、これは前年より1つ増えている。しかしながらリスクの高い脆弱性を含むアプリケーションは減少しているという。図1は脆弱性が発見されたアプリケーションの割合が過去3年間でどのように変化したかを、そのリスクの度合ごとに表したものである。リスクの高い脆弱性が見つかったアプリケーションの割合が着実に減少している様子が分かる。

図 1: 脆弱性が見つかったアプリケーションの割合(出所)Positive Technologies / Financial Application Vulnerabilities

また本報告書では、アプリケーションが自社開発のものなのか、それとも外部で開発された既成品なのかという違いに着目した集計が行われている(注2)。図 2は脆弱性が見つかったアプリケーション数の平均を、自社開発のものと既成品とに分けて集計したもので、平均すると既成品のアプリケーションの方が脆弱性が少ないことが分かる(注3)。自社開発アプリケーションにおいてはプログラムコードに含まれる脆弱性が最も多いことから、銀行においては社内プログラマーに対して、よりセキュアなプログラム開発を行うためのトレーニングをさせるべきだと述べられている。

また既成品のアプリケーションについては、販売者が個々の顧客の状況やニーズに応じたカスタマイズを十分に行わないことがあり、このようなプログラム以外の原因によるセキュリティの低下が起こりうることが指摘されている。

図2:アプリケーションごとに含まれる脆弱性の数の平均値(出所)Positive Technologies / Financial Application Vulnerabilities

本報告書には他にも様々な観点からデータを集計した結果が掲載されており、全体的にはインターネットバンキングにおけるセキュリティは改善されてきているというのが、本報告書の結論のひとつである。しかしながらソフトウェアの脆弱性を突く攻撃が多様化していく中で、インターネットバンキングを含む金融システムが社会のインフラとして正常に稼働し続けられるようにするためには、様々な対策を継続的に実施する必要があり、その対策状況を客観的に評価する本報告書の存在意義は大きいと言えるのではないだろうか。

■ 報告書本文の入手先(PDF15ページ/約0.6MB)
https://www.ptsecurity.com/ww-en/about/news/292137/

注1)その内訳は Android 用アプリケーションが 22%、iOS 用アプリケーションが20%、サーバー側のアプリケーションが19%となっている。

注2)原文では「in-house」(自社開発)および「off-the-shelf」(既成品)と表現されている。

注3)2016 年の時点では既成品の方に脆弱性が多かったものが逆転したとの事である。

(了)