メガバンク3行のセキュリティスコア比較
日本の3大メガバンクのWebサイトについて、セキュリティヘッダーおよびメール認証の設定状況を比較しました。
| 銀行 | ドメイン | スコア | ランク |
|---|---|---|---|
| みずほ銀行 | www.mizuhobank.co.jp | 75点 | B |
| 三井住友銀行 | www.smbc.co.jp | 55点 | D |
| 三菱UFJ銀行 | www.mufg.jp | 45点 | D |
項目別の比較
| 項目 | みずほ | 三井住友 | MUFG |
|---|---|---|---|
| HTTPS | ✅ | ✅ | ✅ |
| HSTS | ✅ | ❌ | ❌ |
| CSP | ❌ | ❌ | ❌ |
| X-Content-Type-Options | ✅ | ✅ | ❌ |
| X-Frame-Options | ✅ | ✅ | ✅ |
| Referrer-Policy | ✅ | ❌ | ❌ |
| Permissions-Policy | ❌ | ❌ | ❌ |
| SPF | ✅ | ✅ | ✅ |
| DKIM | ✅ | ✅ | ✅ |
| DMARC | ✅ | ❌ | ❌ |
業界全体の傾向
メガバンク3行の平均スコアは約58点と、金融業界に期待される水準と比較してやや低い結果となりました。以下の傾向が見られます:
- HTTPSは全行対応済み:基本的な暗号化通信は確保されています
- HSTSの導入が遅れている:みずほ銀行のみが設定済みで、他2行はHTTPからの中間者攻撃リスクが残ります
- CSPは全行未設定:XSS対策の要であるCSPが3行とも未導入です。金融機関としては早急な対応が望まれます
- DMARCの導入に差:みずほ銀行はDMARCを設定していますが、他2行はフィッシングメール対策が不十分な可能性があります
- レガシーシステムの影響:銀行のWebサイトは大規模なシステム構成を持つため、新しいセキュリティヘッダーの導入に時間がかかる傾向があります
改善ポイント
- 全行共通:CSP(Content-Security-Policy)の導入が最優先。まずはReport-Onlyモードから開始することを推奨
- 三井住友・MUFG:HSTSの設定により、HTTP経由のアクセスを自動的にHTTPSに変換する対策が必要
- 三井住友・MUFG:DMARCを導入し、フィッシングメール対策を強化。銀行を騙るなりすましメールは被害が大きいため重要度が高い
- 全行共通:Permissions-Policyでブラウザ機能へのアクセス制御を実施
金融機関はフィッシング攻撃の主要なターゲットであり、Webセキュリティ設定の強化は顧客保護に直結します。特にDMARCとCSPの導入は優先度の高い課題と言えるでしょう。
各行の詳細分析
免責事項:本記事は、HTTPレスポンスヘッダーおよびDNS情報の公開情報に基づく分析であり、実際のセキュリティ設定を保証するものではありません。スコアは独自の採点基準によるものです。情報は調査時点のものであり、最新の状況とは異なる場合があります。