パスワードを忘れた? アカウント作成
12058 story

あなたの使ってる銀行、フィッシング詐欺は大丈夫? 89

ストーリー by yoosee
政府が最低限のガイドラインを作るべきではないかと… 部門より

von_yosukeyan曰く、"IT Mediaの記事によると、JP Morgan Chase & Co.傘下の米大手銀行Chaseや米オークションサイトeBayを標的としたフィッシングサイトに、中国四大国有銀行の一つである中国建設銀行(CCB)上海分行(支店)に割当てられたIPアドレスが使用されているとの英Netcraftのレポートが紹介されている。
レポートによると、今月の11日にChaseとeBayを装ったアンケートメールが発信され、CCB上海分行のサイトに誘導。ChaseやeBayのサイトを真似た入力フォームに、IDやパスワード、社会保障番号(SSN)などを入力を促すもので、フォームに入力されたデータはインドのサイトに転送する仕組みになっているという。
(続く...)

CCBは昨年四大国有銀行では初となる株式上場を達成し、分行数38店、支行数約2万店を抱える中国第二位の銀行で、近年急激に成長している銀行の一つ。中国の大手銀行は非常に規模が大きく、地域を統括する分行を中心に、数百の支行がぶらざがる組織構造になっているが、銀行によっては、分行やより大きな地域ごとにシステムが分断されている場合もあり、セキュリティ上の問題も数多いと言われている。こう言った問題は、中国に限らず国際的に展開する大手金融機関の中でも、本国サイトとは別に運用されている海外拠点のサイトなどで、脆弱な運用体制が数多く見られる。今回の事例では、銀行を装ったフィッシングサイトを、別の本物の銀行のサイトで運用している点が新しいと言える。

実際にタレコミ者が2月下旬、国内の都市銀行5行, 信託銀行8行, ネット銀行等4行, 地方銀行63行, 外国銀行在日支店4行, その他銀行2行の提供する、ログインを必要とするインターネットサービス延べ158サービスを対象に調査を行ったところ、うち136サービスでログイン画面を再利用せず、新しいウィンドウかポップアップによってログイン画面を表示していた。更にうち32サービスではアドレスバーを隠蔽する仕組みを、さらにうち6サービスではステータスバーの非表示を行っており、「ポップアップでログイン画面を表示しない」「アドレスバーを表示してSSL通信状態やサーバを確認できる」「ステータスバーを表示してサイト証明書を確認できる」といった基本的対策を講じているサイトは22サービスに止まった。

論外な事に、サイト証明書を他の証明書を流用したり期限切れになっている、いわゆるオレオレ証明書を使用しているサービスが、地方銀行4行, 外国銀行支店1行の合計5サイトで確認された。また IE5.5 以外のブラウザでのアクセスを拒否するサービスも信託銀行1行で、銀行に対するサービスの質問サービスで質問者とその回答がアクセス制限なしで閲覧でき、質問者と回答者のIPアドレスを表示する銀行も外国銀行支店1行で確認されるなど、フィッシング詐欺対策以前の低レベルな運用体制も散見された。

銀行別では、三菱UFJ信託銀行など大手銀行でもステータスバー隠蔽を行ってるサービスもあり、また使用しているパッケージ別でも、あるベンダーのインターネットバンキングASPパッケージで極端に問題が多いサイトが多かったものの、他社のパッケージでも少数ながら問題のあるサイトが散見され、中にはサービスのリニューアルで旧サービスより新サービスで脆弱性が増えた銀行すらあり、基本的にベンダー側ではなく利用銀行側の意識が総じて低いことが推察される。

フィッシング詐欺対策として、ソフトウェアキーボードによるログイン手段を提供したり、ワンタイムパスワードやICカード認証サービスなど有料のセキュリティ対策を講じ、セキュリティを売りにする銀行も増えているが、ICカード認証サービスを提供している新銀行東京など、アドレスバーやステータスバー隠蔽を続けている銀行もある。銀行側がノーガード戦法を取る限りユーザーの自衛手段にも限界があるように思えるが、スラドの諸兄諸姉はどう思われるだろうか?"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 内容うんぬんにはあまりコメントを言える技能といいうか知識というかがないのでアレですが、

    > 実際にタレコミ者が2月下旬、国内の都市銀行5行, 信託銀行8行, ネット銀行等4行, 地方銀行63行,
    > 外国銀行在日支店4行, その他銀行2行の提供する、ログインを必要とする
    > インターネットサービス延べ158サービスを対象に調査を行ったところ、

    タレコミ者自身でこれだけ調べてみた、というのは大変えらいと思いますです。
    ぼかぁまだタレコミしたことないのであんまり大口は叩きたくないのではありますが、
    /.に限らず、定性的な、あるいは単なる印象かなんかでやる議論よりも、
    より定量的な議論で話が進められなきゃ深まった議論ができるとは思わないし、
    自分自身もそういう定量的な評価が出来る人間でありたいなぁと思います。

    ……ん、話がちとずれたか。
    とりあえず言いたいことは158個もサービス調べたvon_yosukeyan氏はえらい、ということで。
  • フィッシング詐欺対策? (スコア:3, すばらしい洞察)

    by nobuhiro (5244) on 2006年03月15日 11時40分 (#901738) ホームページ
    タレこみ文へのツッコミですまんが、
    フィッシング詐欺対策として、ソフトウェアキーボードによるログイン手段を提供したり...
    ソフトウェアキーボードはキーロガー対策(の一部)にはなっても、フィッシング対策にはならんと思うのだが。
    --
  • by bikeman (14466) on 2006年03月15日 11時26分 (#901725)
    Paypalを狙ったフィッシングもあります。
    うちにもメールが来ました。
  • タレコミ後半部 (スコア:2, 参考になる)

    by docile-jp (16652) on 2006年03月15日 11時37分 (#901735) 日記
    三菱UFJ信託銀行など大手銀行でもステータスバー隠蔽を行ってるサービスもあり
    見付けられなかったんだけど、何のサービスのことだろう??

    あと、アドレスバーやステータスバーが隠されたりするのはダメだと思うけれども、ログインウインドウを新しいウインドウで開くこと自体は責められるような話ではないと思う。

    また、
    クレジットカード業界は最もWebセキュリティを理解していない業界 [takagi-hiromitsu.jp]

    銀行のインターネットバンキングでは、以前から、パスワード入力画面は、サイトのトップページにはなく、ボタンを押して進んで現れる専用画面に設置されていて、入力画面からして https:// になっているというところがほとんどだった。

    それに対しクレジットカード会社は、どういうわけか、そのような構成ではなく、カード会社トップページにパスワード入力欄を設けており、画面は SSLを使わずに http:// のままとなっているところがやたら目につく。
    という話もありますな

    --
    とはいえ、タレコミの「ログインウインドウ」が何をさしているのかよくわからないのですが。

    • by Anonymous Coward on 2006年03月15日 11時49分 (#901742)
      DCカード [dccard.co.jp]は以前はそのようなページ構成だったのですが,数ヶ月前から独立したhttpsのログインページ [dccard.co.jp]を用いるようになりました。
      高木氏に指摘されたから…だったりするのかも?
      親コメント
    • by von_yosukeyan (3718) on 2006年03月15日 23時31分 (#902114) ホームページ 日記
      タレコミ者です

      すみません。当該サービスはアドレスバー隠蔽でステータスバー隠蔽ではありませんでした。当該サービスは、三菱UFJ信託銀行の株式代行サービスを利用している企業の株主向けに提供されている、インターネット議決権行使サービス [tr.mufg.jp]で、議決権行使書に記載された議決権行使コードを入力後、電子証明書を取得し、インターネット上で議決権行使を行うシステムです

      これ以外にも、調査対象とした銀行のサービスは

      a)個人向けインターネットバンキングサービス
      b)法人向けインターネットバンキングサービス
      c)法人向け信用状(L/C)確認サービス
      d)法人向け外国為替取引サービス
      e)個人向け投資信託/外貨預金取引サービス
      f)法人向け情報提供サービス
      g)信託銀行の議決権行使サービス/投資信託受益権者向けサービス
      h)信託銀行の法人向け確定拠出年金管理サービス

      などです
      親コメント
  • 銀行名は? (スコア:2, すばらしい洞察)

    by akudaikan (26016) on 2006年03月15日 14時13分 (#901835)
    そんだけ調査したんなら、銀行名を出して欲しい。>タレコみ者
    日記でもいいからさ。
    そうすることが、糞銀行のサービスを向上させることにつながるんだと思うんだけど。
    • by KAHRA (27594) on 2006年03月15日 20時02分 (#901987) 日記
      たまたま今、良いからといって明日どうなるかわからないのですから
      理解した上で、自分で判断することが重要だと思います。
      --
      #自称グルメの第一声は「柔らか~い」
      親コメント
  • by nenoneno (28388) on 2006年03月15日 16時19分 (#901880) 日記
    新生銀行ではログイン時にセキュリティーキーボードがデフォルトで設定されているのだが、動作が緩慢でキーを取りこぼす有様。
    これでログインを失敗した事数知れず。
    Windows起動しないと取引出来ないので、最近はあまりこの銀行使ってないなぁ

    メインはMacなのでSafari 1.2とFirefox 1.5.0.1をインストールしていて、これ以上ブラウザを入れたくない。
    (ちなみに上記両者のブラウザは未対応。MacではNetscape 6.x/7.0x/7.1xのみ。対応してるだけでマシ だけど...)

    セキュリティと使い勝手は相反する部分もあるが、もう少しバランスを考えて欲しい。
    • by hogeyui (29762) on 2006年03月15日 17時32分 (#901930) 日記
      Safari2.0.3で問題なく新生銀行使用してますが、
      セキュリティーキーボードだと動作故に失敗するので、キーボードで入力してます。
      #何の為のセキュリティーキーボードだか(w
      #流れで、Pass入力後returnでログインしようとすると、失敗しますが…。

      #それよりも、振込先の名義人を”半角カタカナ”‘で入力させる仕様を何とかして欲しい…
      親コメント
  • ネットバンキングは基本的にパソコンとかは使わずに
    imodeでやってます。まあ完全にセキュアとは言い切れませんが、
    どこかの回線を使ってIEでやるよりは安全ということで。

    ただ、実際にはコンビニにATMが設置されたり、24時間稼動の
    ATMが増えたことでネットバンキングの優位性が薄れてきた
    ように感じます。
    (もちろん暗証番号の盗み見とかに気をつけなければなりませんが)

    #そもそも下ろす貯金すらほとんど無いgesaku
  • 問い合わせる (スコア:1, おもしろおかしい)

    by Anonymous Coward on 2006年03月15日 11時04分 (#901705)
    ぼくのカード一枚しかないんですけど…
  • by hororo (29482) on 2006年03月15日 11時16分 (#901718)
    ネットバンキングには、専用PCを使って、、

    ワクチンソフト以外は、メーラーも、何も入れず、
    ブラウザは、銀行以外のWEBは一切見ないようにして、
    ワクチンやブラウザのセキュリティは、最高にして、
    ルーターを使用しても、他のPCは、同じ回線に繋がない、
    または、VLANを使用してポート間の通信カット、、
    必要のときだけ、PCの電源を入れる。

    これなら、相当安心できるのではないでしょうか。
    あとは、PC本体の盗難対策でしょうか。
  • by Anonymous Coward on 2006年03月15日 11時23分 (#901724)
    ・トンデモガイドラインになりそう
    ・また天下り団体か!
    ・実情に即した柔軟・迅速な対応が期待できない

    とりあえず既存団体、たとえば全銀協 [zenginkyo.or.jp]あたりが音頭を取ればいいんじゃないの? ただ、偽造キャッシュカード対応のように銀行側に都合のよい解釈を延々おこなっていた事を考えると、こいつらだけに任せられないという気もしないでもないけどね。
  • by satomi (9415) on 2006年03月15日 11時49分 (#901743)
    ファーミングがあんまり流行ってないですよね。
    せっかく(といっては御幣が有りますが)Winnyと言う
    ばら撒く為の母体があるのに、流行らないのはなんでかな。
    短期集中で巻き上げないといけないから順次蔓延では おそいのかな・・。
  • 一方ロシアは、銀行の窓口を使った
  • 「フィッシング詐欺は大丈夫?」は「フィッシング詐欺が可能ですか?」という意味にも取れるんだけど……。
  • by tiatia (22244) on 2006年03月15日 13時42分 (#901824) 日記
    オレオレ証明書って、ネーミングが悪いと思う。
    どうしても、「オレオレ詐欺」の手法が思い起こされてしまって、実態とは違う印象を受ける。
    オレオレ詐欺の場合、「オレオレ」と名乗る事によって不特定の人間に成りすます手法を指す。
    じゃぁ、オレオレ証明書も、あいまいな証明書によって、不特定のサイトに成りすますのか?って思っちゃう。
    でも、オレオレ証明書の場合、「オレオレ」ってのは、証明書の認証をするのも、認証されるのも共に「オレ」だから「オレオレ」なわけだ。
    「オレオレ」の部分の意味が違うから、当然対処方法もまったく違う。
    証明書の意味と仕組みを理解している人なら、この違いに意味は無いけど、一般人にとってはけっこう重要だと思う。
    名前のイメージから、対処方法を間違える可能性がある。
    「オレオレ証明書?証明書の名前確かめたから大丈夫」みたいな感じにならないだろうか?
    • by kawaz (15398) on 2006年03月15日 13時50分 (#901830) ホームページ
      「オレオレ」って言葉自体に危険信号を感じてくれるようになってくれれば、名前確かめたら大丈夫とか思う以前の人(何も気にせず前に進む人)にとって、

      オレオレ証明書=注意が必要

      と意識がいくようになる効果があるならいいんじゃないですかね?
      親コメント
      • by tiatia (22244) on 2006年03月15日 14時37分 (#901846) 日記
        >オレオレ証明書=注意が必要

        そこで、間違った確認方法をしてしまえば、本当は「オレオレ証明書」なのに、「オレオレ証明書じゃなかった」=「安全」って思っちゃいませんかね?
        親コメント
    • Re:オレオレ? (スコア:1, おもしろおかしい)

      by Anonymous Coward on 2006年03月15日 15時48分 (#901868)
      「オレオレ証明書」よりは「俺様証明書」と呼びたい気がする。


      「俺様がオレだって証明してんのに気にいらねぇのか?」
      by ジャイアン
      親コメント
  • 「米大手銀行Chaseや米オークションサイトeBayを標的としたフィッシングサイト」がまた一つ増えました、ということよりも
    「中国建設銀行(CCB)上海分行(支店)に割当てられたIPアドレス」を持っているコンピュータがクラックされていて、
    ここの口座の内容が改竄されていたり、こことの取引の内容を盗み見られていたかもしれないってことの方が重要な気がする。

    自分の使っている銀行のサイトのフィッシング対策については、この件がなくても注意しておきましょうということで。
    --
    # SlashDot Light [takeash.net] やってます。
  • by Anonymous Coward on 2006年03月15日 10時41分 (#901690)
    金融機関のサイトで資金移動などを行うときはね。
    ログインとかせずに情報だけ見るならリンク踏むこともありますが。
  • by Anonymous Coward on 2006年03月15日 10時47分 (#901693)
    フィッシング詐欺が国営で行われている、という理解でよろしいのでしょうか?
    • Re:これはつまり (スコア:3, おもしろおかしい)

      by Anonymous Coward on 2006年03月15日 16時42分 (#901890)
      うん、国営。

      #レベルが小学生以下なのでAC
      親コメント
    • by junichi308 (15687) on 2006年03月15日 13時19分 (#901801)
      ちょっとまって!
      これ、こっそりフィッシングやってて見つかったら
      「ハッキング」されてました。
      って言えば今回と同様な事になるんじゃないの??
      親コメント
    • by ruto (17678) on 2006年03月15日 23時27分 (#902109) 日記
      とりあえず中国建設銀行のサイト(英語版)のほうにはこの件に関してはまだ何も書いてないですね。
      親コメント
      • Re:これはつまり (スコア:2, 参考になる)

        by w1allen (21025) on 2006年03月16日 0時52分 (#902196)
        これ、めちゃくちゃ怖い話ですよね。
        銀行に割り振られているはずのIPアドレスが、何故かフィッシングサイトで使われている。
        本家でも、Slashdot | Hacked Chinese Bank Server Phishes for US Banks [slashdot.org]というトピックで話題になっていますが、そこでのタレコミ文を読むと、「ハッキングされた、中国建設銀行上海市分行のサーバーが、ChaseやeBayの偽造サイトとして、稼動している」と書かれています。
        でも、欢迎访问中国建设银行网站 [www.ccb.cn]を見ると、稼動しているように見えます。(中国語はわかりませんが)
        普通、ハッキングされてたのなら、サービスをストップして、原因を究明し、事実を公表するという流れになるはずです。
        この件に関する銀行の対応が見物です。
        親コメント
    • by Anonymous Coward
      「国営で行われているのか?」と書かれているってことは、「国が詐欺を行っているのか?」って言ってるんだろうな…。

      たとえば、東京都の組織に詐欺サイトが仕込まれたら「フィッシング詐欺が都営で行われている」ということなのか??

      --
      馬鹿馬鹿しいと思いつつコメントする AC
typodupeerror

私は悩みをリストアップし始めたが、そのあまりの長さにいやけがさし、何も考えないことにした。-- Robert C. Pike

読み込み中...