JTBのセキュアページのSSLセキュリティ評価(Overrall Rating)は「F」です。(2016.06.14現在)
2016.11.06追記
JTBは2016.06に関連子会社が標的型メール攻撃で793万人の個人情報が流出しました。
その際。「bsk.jtb.co.jp」のSSL評価を調べたところ「F」でPOODLE脆弱性への対応ができていないと、このブログに書きましたが、2016.11でもこの対応はできていません。
JTBの「member.jtb.co.jp」についても調べましたが、「F」になっています。2016.06の原因が標的型メールによるもので、SSLの脆弱性を狙ったものではないにしろ、脆弱性を放置しているところは問題があるように感じます。
(以下2016.06.14掲載)
どんな状況で個人情報が流出したのか知りませんが、POODLE脆弱性への対応が全くできていません。
これではハッカーにエサを蒔いているようなものです。
サーバーの脆弱性はSSLの設定だけでは決まりません。
サイトで使用している全てのプログラムに関連してきます。
しかし、せっかく暗号化しているのにSSLに脆弱性があるのは残念です。
Leave a reply