あなたの使ってる銀行、フィッシング詐欺は大丈夫? 89
政府が最低限のガイドラインを作るべきではないかと… 部門より
von_yosukeyan曰く、"IT Mediaの記事によると、JP Morgan Chase & Co.傘下の米大手銀行Chaseや米オークションサイトeBayを標的としたフィッシングサイトに、中国四大国有銀行の一つである中国建設銀行(CCB)上海分行(支店)に割当てられたIPアドレスが使用されているとの英Netcraftのレポートが紹介されている。
レポートによると、今月の11日にChaseとeBayを装ったアンケートメールが発信され、CCB上海分行のサイトに誘導。ChaseやeBayのサイトを真似た入力フォームに、IDやパスワード、社会保障番号(SSN)などを入力を促すもので、フォームに入力されたデータはインドのサイトに転送する仕組みになっているという。
(続く...)
CCBは昨年四大国有銀行では初となる株式上場を達成し、分行数38店、支行数約2万店を抱える中国第二位の銀行で、近年急激に成長している銀行の一つ。中国の大手銀行は非常に規模が大きく、地域を統括する分行を中心に、数百の支行がぶらざがる組織構造になっているが、銀行によっては、分行やより大きな地域ごとにシステムが分断されている場合もあり、セキュリティ上の問題も数多いと言われている。こう言った問題は、中国に限らず国際的に展開する大手金融機関の中でも、本国サイトとは別に運用されている海外拠点のサイトなどで、脆弱な運用体制が数多く見られる。今回の事例では、銀行を装ったフィッシングサイトを、別の本物の銀行のサイトで運用している点が新しいと言える。
実際にタレコミ者が2月下旬、国内の都市銀行5行, 信託銀行8行, ネット銀行等4行, 地方銀行63行, 外国銀行在日支店4行, その他銀行2行の提供する、ログインを必要とするインターネットサービス延べ158サービスを対象に調査を行ったところ、うち136サービスでログイン画面を再利用せず、新しいウィンドウかポップアップによってログイン画面を表示していた。更にうち32サービスではアドレスバーを隠蔽する仕組みを、さらにうち6サービスではステータスバーの非表示を行っており、「ポップアップでログイン画面を表示しない」「アドレスバーを表示してSSL通信状態やサーバを確認できる」「ステータスバーを表示してサイト証明書を確認できる」といった基本的対策を講じているサイトは22サービスに止まった。
論外な事に、サイト証明書を他の証明書を流用したり期限切れになっている、いわゆるオレオレ証明書を使用しているサービスが、地方銀行4行, 外国銀行支店1行の合計5サイトで確認された。また IE5.5 以外のブラウザでのアクセスを拒否するサービスも信託銀行1行で、銀行に対するサービスの質問サービスで質問者とその回答がアクセス制限なしで閲覧でき、質問者と回答者のIPアドレスを表示する銀行も外国銀行支店1行で確認されるなど、フィッシング詐欺対策以前の低レベルな運用体制も散見された。
銀行別では、三菱UFJ信託銀行など大手銀行でもステータスバー隠蔽を行ってるサービスもあり、また使用しているパッケージ別でも、あるベンダーのインターネットバンキングASPパッケージで極端に問題が多いサイトが多かったものの、他社のパッケージでも少数ながら問題のあるサイトが散見され、中にはサービスのリニューアルで旧サービスより新サービスで脆弱性が増えた銀行すらあり、基本的にベンダー側ではなく利用銀行側の意識が総じて低いことが推察される。
フィッシング詐欺対策として、ソフトウェアキーボードによるログイン手段を提供したり、ワンタイムパスワードやICカード認証サービスなど有料のセキュリティ対策を講じ、セキュリティを売りにする銀行も増えているが、ICカード認証サービスを提供している新銀行東京など、アドレスバーやステータスバー隠蔽を続けている銀行もある。銀行側がノーガード戦法を取る限りユーザーの自衛手段にも限界があるように思えるが、スラドの諸兄諸姉はどう思われるだろうか?"
一銭も入るわけでもないのに大変だったろうに (スコア:4, すばらしい洞察)
> 実際にタレコミ者が2月下旬、国内の都市銀行5行, 信託銀行8行, ネット銀行等4行, 地方銀行63行,
> 外国銀行在日支店4行, その他銀行2行の提供する、ログインを必要とする
> インターネットサービス延べ158サービスを対象に調査を行ったところ、
タレコミ者自身でこれだけ調べてみた、というのは大変えらいと思いますです。
ぼかぁまだタレコミしたことないのであんまり大口は叩きたくないのではありますが、
/.に限らず、定性的な、あるいは単なる印象かなんかでやる議論よりも、
より定量的な議論で話が進められなきゃ深まった議論ができるとは思わないし、
自分自身もそういう定量的な評価が出来る人間でありたいなぁと思います。
……ん、話がちとずれたか。
とりあえず言いたいことは158個もサービス調べたvon_yosukeyan氏はえらい、ということで。
Re:一銭も入るわけでもないのに大変だったろうに (スコア:1, おもしろおかしい)
フィッシング詐欺対策? (スコア:3, すばらしい洞察)
の
銀行じゃないけど(オフトピ:-1) (スコア:2, 興味深い)
うちにもメールが来ました。
Re:銀行じゃないけど(オフトピ:-1) (スコア:1, 参考になる)
本当の連絡のことを考えると使い捨てはまずいです。
Gmailのように後ろに「+ドコソコ」とか入れて、どこに登録したかわかると便利ですが、この機能は知られているから抜いたメールアドレスでPhishingメールが届くでしょうねぇ。
注:たとえば「hogehoge@gmail.com」のメールアドレスを持っているユーザーには「hogehoge+slashdot@gmail.com」とか「hoge.hoge@gmail.com」、「ho.ge.ho.ge@gmail.com」などのメールアドレスに送られたものもすべて受信できます。
Re:銀行じゃないけど(オフトピ:-1) (スコア:1)
そのうちに、@gmail.comについては、「+ドコソコ」を自動削除してSPAMを送ってくるようになるんじゃないかと思ってます。
まぁgmailにはSPAM filterサービスがあるのでSPAMの餌食になっても大丈夫だとは思いますが。
#でもgmailのSPAM filterを使った事が無い
タレコミ後半部 (スコア:2, 参考になる)
あと、アドレスバーやステータスバーが隠されたりするのはダメだと思うけれども、ログインウインドウを新しいウインドウで開くこと自体は責められるような話ではないと思う。
また、
という話もありますなクレジットカード業界は最もWebセキュリティを理解していない業界 [takagi-hiromitsu.jp]
--
とはいえ、タレコミの「ログインウインドウ」が何をさしているのかよくわからないのですが。
Re:タレコミ後半部 (スコア:2, 参考になる)
高木氏に指摘されたから…だったりするのかも?
Re:タレコミ後半部 (スコア:2, 参考になる)
すみません。当該サービスはアドレスバー隠蔽でステータスバー隠蔽ではありませんでした。当該サービスは、三菱UFJ信託銀行の株式代行サービスを利用している企業の株主向けに提供されている、インターネット議決権行使サービス [tr.mufg.jp]で、議決権行使書に記載された議決権行使コードを入力後、電子証明書を取得し、インターネット上で議決権行使を行うシステムです
これ以外にも、調査対象とした銀行のサービスは
a)個人向けインターネットバンキングサービス
b)法人向けインターネットバンキングサービス
c)法人向け信用状(L/C)確認サービス
d)法人向け外国為替取引サービス
e)個人向け投資信託/外貨預金取引サービス
f)法人向け情報提供サービス
g)信託銀行の議決権行使サービス/投資信託受益権者向けサービス
h)信託銀行の法人向け確定拠出年金管理サービス
などです
銀行名は? (スコア:2, すばらしい洞察)
日記でもいいからさ。
そうすることが、糞銀行のサービスを向上させることにつながるんだと思うんだけど。
Re:銀行名は? (スコア:1)
理解した上で、自分で判断することが重要だと思います。
#自称グルメの第一声は「柔らか~い」
セキュリティキーボード (スコア:2, 参考になる)
これでログインを失敗した事数知れず。
Windows起動しないと取引出来ないので、最近はあまりこの銀行使ってないなぁ
メインはMacなのでSafari 1.2とFirefox 1.5.0.1をインストールしていて、これ以上ブラウザを入れたくない。
(ちなみに上記両者のブラウザは未対応。MacではNetscape 6.x/7.0x/7.1xのみ。対応してるだけでマシ だけど...)
セキュリティと使い勝手は相反する部分もあるが、もう少しバランスを考えて欲しい。
Re:セキュリティキーボード (スコア:2, 参考になる)
セキュリティーキーボードだと動作故に失敗するので、キーボードで入力してます。
#何の為のセキュリティーキーボードだか(w
#流れで、Pass入力後returnでログインしようとすると、失敗しますが…。
#それよりも、振込先の名義人を”半角カタカナ”‘で入力させる仕様を何とかして欲しい…
ネットバンキングの必要性 (スコア:1)
imodeでやってます。まあ完全にセキュアとは言い切れませんが、
どこかの回線を使ってIEでやるよりは安全ということで。
ただ、実際にはコンビニにATMが設置されたり、24時間稼動の
ATMが増えたことでネットバンキングの優位性が薄れてきた
ように感じます。
(もちろん暗証番号の盗み見とかに気をつけなければなりませんが)
#そもそも下ろす貯金すらほとんど無いgesaku
Re:ネットバンキングの必要性 (スコア:1)
SSL使っていればTCPのプロキシか単なるパケットのルーティングかのどちらがより盗聴されやすいとかに、大した差はないのではないかと思います。
Re:ネットバンキングの必要性 (スコア:2, すばらしい洞察)
違います。
PCなどから使うISP利用の場合、ユーザが勉強して知識が向上すれば、ある程度接続先のサイトに付いて自力で調査することができます。
しかし、携帯電話のi-modeやEzwebは、ユーザが調べる手段が限られてしまいます。
更に、携帯電話に感染してネットバンクのパスワードを盗むウイルスの存在も確認されています。
Java対応の携帯電話など、今後は危険度はIEなんかよりも比較できないほど危険な状態に陥る可能性もあります。
そのような被害に今の携帯電話はほとんど無防備状態です。
>SSL使っていればTCPのプロキシか単なるパケットのルーティングかのどちらがより盗聴されやすいとかに、大した差はないのではないかと思います。
携帯電話に感染し、キーロガーと同様の情報収集をするウイルス・Trojanが存在する以上、PC上のIEと違って防御手段がほとんどない携帯電話のほうが危険でしょう。
問い合わせる (スコア:1, おもしろおかしい)
そろそろ、専用PC使用で (スコア:1)
ワクチンソフト以外は、メーラーも、何も入れず、
ブラウザは、銀行以外のWEBは一切見ないようにして、
ワクチンやブラウザのセキュリティは、最高にして、
ルーターを使用しても、他のPCは、同じ回線に繋がない、
または、VLANを使用してポート間の通信カット、、
必要のときだけ、PCの電源を入れる。
これなら、相当安心できるのではないでしょうか。
あとは、PC本体の盗難対策でしょうか。
Re:そろそろ、専用PC使用で (スコア:2, すばらしい洞察)
Re:偽造が怖くて (スコア:1)
Re:そろそろ、専用PC使用で (スコア:1)
こんなワイヤ [elecom.co.jp]をつけます。
Re:そろそろ、専用PC使用で (スコア:1)
手持ちのDELLにも自作機にもありました。
さすがに盗難対策はやってないけど、ノートと同様にワイヤかけることは出来ますね。
Re:そろそろ、専用PC使用で (スコア:1)
これ [vmware.com]ぐらいでいいんじゃない?
政府にガイドラインを作らせたくない (スコア:1, すばらしい洞察)
・また天下り団体か!
・実情に即した柔軟・迅速な対応が期待できない
とりあえず既存団体、たとえば全銀協 [zenginkyo.or.jp]あたりが音頭を取ればいいんじゃないの? ただ、偽造キャッシュカード対応のように銀行側に都合のよい解釈を延々おこなっていた事を考えると、こいつらだけに任せられないという気もしないでもないけどね。
フィッシングより危険な (スコア:1)
せっかく(といっては御幣が有りますが)Winnyと言う
ばら撒く為の母体があるのに、流行らないのはなんでかな。
短期集中で巻き上げないといけないから順次蔓延では おそいのかな・・。
パクリのジョーク(オフトピ) (スコア:1)
Re:パクリのジョーク(オフトピ) (スコア:1)
やはり行列はロシア名物ですからね。
名物に旨いものなし!
Re:パクリのジョーク(オフトピ) (スコア:1)
行列の待ち客2「やめとけ。むこうに並んでる行列のほうが長いぞ。」
# 行列はロシア名物というよりは、「ソ連崩壊前後の一時期の」ロシア名物のような気が。
Re:パクリのジョーク(オフトピ) (スコア:1)
ソ連崩壊前後の超物不足のころの印象が強過ぎるんで忘れてました。
このタイトル微妙 (スコア:1)
オレオレ? (スコア:1)
どうしても、「オレオレ詐欺」の手法が思い起こされてしまって、実態とは違う印象を受ける。
オレオレ詐欺の場合、「オレオレ」と名乗る事によって不特定の人間に成りすます手法を指す。
じゃぁ、オレオレ証明書も、あいまいな証明書によって、不特定のサイトに成りすますのか?って思っちゃう。
でも、オレオレ証明書の場合、「オレオレ」ってのは、証明書の認証をするのも、認証されるのも共に「オレ」だから「オレオレ」なわけだ。
「オレオレ」の部分の意味が違うから、当然対処方法もまったく違う。
証明書の意味と仕組みを理解している人なら、この違いに意味は無いけど、一般人にとってはけっこう重要だと思う。
名前のイメージから、対処方法を間違える可能性がある。
「オレオレ証明書?証明書の名前確かめたから大丈夫」みたいな感じにならないだろうか?
Re:オレオレ? (スコア:1)
オレオレ証明書=注意が必要
と意識がいくようになる効果があるならいいんじゃないですかね?
Re:オレオレ? (スコア:1)
そこで、間違った確認方法をしてしまえば、本当は「オレオレ証明書」なのに、「オレオレ証明書じゃなかった」=「安全」って思っちゃいませんかね?
Re:オレオレ? (スコア:1, おもしろおかしい)
「俺様がオレだって証明してんのに気にいらねぇのか?」
by ジャイアン
Re:オレオレ? (スコア:1)
>まあ手法が確立してないごくごく初期の頃は確かにそうでしたが、
>だいぶ前から、ちゃんとなりすまし相手の事を調べてからやるようになりましたよ。
>だからオレオレ証明書と何ら意味は違わない。
ええ、ですから、「オレオレ詐欺」という名前と実態に差が出来てしまい、問題になったため、今は「振り込め詐欺」と呼ぶようになっています。
これは、「オレオレ」という単語による先入観から誤解が起こりえるという例ですね。
>>「オレオレ証明書?証明書の名前確かめたから大丈夫」みたいな感じ
>こんな風に考える人って例えば誰?
「オレオレ詐欺」が変化して「振り込め詐欺」になった時、「オレオレ」って言わなかったので「オレオレ詐欺ではない」と思ったという風に騙される人が増えたとニュースになりました。
そういう人は、「オレオレ証明書」でも同じように「オレオレ」じゃなかったからOKって思うかもしれない。
この記事の意味 (スコア:1)
「中国建設銀行(CCB)上海分行(支店)に割当てられたIPアドレス」を持っているコンピュータがクラックされていて、
ここの口座の内容が改竄されていたり、こことの取引の内容を盗み見られていたかもしれないってことの方が重要な気がする。
自分の使っている銀行のサイトのフィッシング対策については、この件がなくても注意しておきましょうということで。
# SlashDot Light [takeash.net] やってます。
アドレスは手打ち (スコア:0)
ログインとかせずに情報だけ見るならリンク踏むこともありますが。
Re:アドレスは手打ち (スコア:2, 興味深い)
Re:アドレスは手打ち (スコア:1, おもしろおかしい)
Re:アドレスは手打ち (スコア:1)
CCBの顧客を狙った場合はだめですが。
そもそもこの事件が、CCBの内部による犯行なのか、外部による犯行なのか不明なのでCCBの顧客がターゲットになるかは分かりませんが。
これはつまり (スコア:0, 興味深い)
Re:これはつまり (スコア:3, おもしろおかしい)
#レベルが小学生以下なのでAC
Re:これはつまり (スコア:1)
これ、こっそりフィッシングやってて見つかったら
「ハッキング」されてました。
って言えば今回と同様な事になるんじゃないの??
Re:これはつまり (スコア:1)
Re:これはつまり (スコア:2, 参考になる)
銀行に割り振られているはずのIPアドレスが、何故かフィッシングサイトで使われている。
本家でも、Slashdot | Hacked Chinese Bank Server Phishes for US Banks [slashdot.org]というトピックで話題になっていますが、そこでのタレコミ文を読むと、「ハッキングされた、中国建設銀行上海市分行のサーバーが、ChaseやeBayの偽造サイトとして、稼動している」と書かれています。
でも、欢迎访问中国建设银行网站 [www.ccb.cn]を見ると、稼動しているように見えます。(中国語はわかりませんが)
普通、ハッキングされてたのなら、サービスをストップして、原因を究明し、事実を公表するという流れになるはずです。
この件に関する銀行の対応が見物です。
Re:これはつまり (スコア:1)
この件に関して、銀行は見物(けんぶつ)をしているようにも取れます。
ぁ、良いのか?
Re:これはつまり (スコア:0)
たとえば、東京都の組織に詐欺サイトが仕込まれたら「フィッシング詐欺が都営で行われている」ということなのか??
--
馬鹿馬鹿しいと思いつつコメントする AC
Re:これはつまり (スコア:1)
> 「フィッシング詐欺が都営で行われている」ということなのか??
そんな風に言われても仕方ないんじゃない?
Re:これはつまり (スコア:1)
勿論、日本では、(本音と建前が一応ありますけど)自由に個人的な意見を持ったり述べたりする事は当然の権利です。従って、個人的な意見だと断れば、この限りでは無い様な気がするのですけど、相手次第では、十分に注意するに越した事は無いでしょう。
Re:歌う歌う歌う(スコア:-1, オフトピック) (スコア:1)
# めだかの学校〜 ってローカルな替え歌?