yooseeによる
2005年11月02日 0時18分の掲載
疑うクセと確認する習慣を身に着けよう部門より。
疑うクセと確認する習慣を身に着けよう部門より。
von_yosukeyan曰く、"朝日新聞が伝えたところによると、地方銀行の千葉銀行は、同行のエレクトリックバンキング(EB:法人向けインターネットバンキング)を契約する顧客宛に同行を騙るCD-ROM入りの郵送物が発送され、顧客が指示どおりプログラムを実行したところ、勝手に第三者の預金口座に送金される被害が発生したと発表した。同行は、顧客に対して不審なCD-ROM入り手紙に対して注意を促している
発送されたCD-ROMは、セキュリティ対策のソフトウェアである旨が書かれた案内文が入っており、CD-ROMを受け取った3先のうち、1先が実際にEB取引用に使っているPCでプログラムを実行したところ、第三者の預金口座に数百万円が不正に送金された
EBは通常の個人向けインターネットバンキングとは異なり、法人や個人事業主などを対象とした業務用サービスで、千葉銀行では残高照会や振込・振替などのほか、大量の振込・振替データの一括送金機能や外国為替といった業務も行える。また、一回の取引金額の上限も個人向けとは異なり、高い金額に設定することも可能で、こういった点が狙われる要因になったのかもしれない。さらに契約者を狙い撃ちにしているところから、犯人がどうやってCD-ROMの送付先を決めたのかなど謎の多い事件だ。"
この議論は賞味期限が過ぎたので、保存されている。
新たにコメントを書くことはできない。
こわいなぁ。 (スコア:5, すばらしい洞察)
ターゲットの情報が分かっていれば、銀行のCD-ROMに偽装する必要ないわけでしょう。たとえば、駅すぱあとのバージョンアップとか、無料体験版とか。思わず実行しそう。
「得体の知れないファイルは実行しない」ってのはよく分かるんだけど、郵送できたものも用心しないといけないのか。
どう考えたって顧客名簿が漏れてるよね (スコア:4, すばらしい洞察)
だけならともかく
また、一回の取引金額の上限も個人向けとは異なり、高い金額に設定することも可能で、さらに契約者を狙い撃ちにしているところから、犯人がどうやってCD-ROMの送付先を決めたのかなど謎の多い事件だ。
なんてところを読んでも、銀行の顧客情報が漏れてる可能性には誰だって気づくと思います。
当然銀行だって気づいてるんだろうけど、まだ調査を始めたばかりだから銀行のニュースリリースにはその辺の事が載ってないって事なんでしょうか。
流石に調べもしないって事はないよね・・・?
Re:どう考えたって顧客名簿が漏れてるよね (スコア:2, 興味深い)
「hoge支店と取引している法人会の名簿」が使用された可能性があります。
こういうのだと、銀行だけじゃなくて取引先法人も名簿を持ちますから
相対的に入手が容易です。
親コメント
Re:どう考えたって顧客名簿が漏れてるよね (スコア:2, すばらしい洞察)
しかし今後、ニセモノだろうと思いポイした、もしくは放置してある会社などから通報が寄せられれば、さらに増えてえらいことになる可能性もあるのは確か。
親コメント
Re:どう考えたって顧客名簿が漏れてるよね (スコア:2, すばらしい洞察)
外れがあるのを承知で、手当たり次第に送ったか、名簿が洩れてるor内部(または元・内部)の人間の犯行かを判断する材料になりますので。
親コメント
Re:どう考えたって顧客名簿が漏れてるよね (スコア:2, 興味深い)
それよりも媒体が「CD-ROM」っていうのが気になります.プレスリリースでも「CD-ROM」って書いてありますよね.それならば,プレスの費用を考えると,なぜ3枚だけ?という疑問が・・・.さすがに銀行から「CD-R」が送られてきて,それをインストールするとは思えないので,やっぱし「CD-ROM」なのでしょうけど,ずいぶんと手間がかかってますね.
親コメント
ふたつの可能性(Re:どう考えたって顧客名簿が漏れてるよね) (スコア:2, 興味深い)
・千葉銀行内部に今回の実行犯の協力者がいる
・取引先銀行から類推して企業にソーシャルハッキングがかけられた
「EBをやっているか」云々を遠回しに聞いてくるような不審な電話とかアンケートなどがあれば後者の方の可能性が高くなりますが、
この書き込み [slashdot.jp]を読んでいると前者=銀行内部に協力者がいる可能性が否定できないどころか可能性が高いことも想定しないといけないような…
どっちにしても危機センサー全開で生きないと行けない世の中なんですね(´・ω・`)
--暮らしの中に修行あり。
blogはじめました。 [hatena.ne.jp]
親コメント
Re:どう考えたって顧客名簿が漏れてるよね (スコア:3, すばらしい洞察)
顧客名簿流出じゃなくて、その辺はぐぐる [google.co.jp]だけでも結構わかりそうです。
だから顧客名簿流出かどうかは、実際に送られて来たところのうち、
EBを使ってるところと使ってないところの割合で判断すべきでしょう。
親コメント
Re:どう考えたって顧客名簿が漏れてるよね (スコア:3, 参考になる)
今のところ不審なCDが送られてきたという報告はありません。
(ちなみにEBには未加入)
ご参考までに。
親コメント
Re:どう考えたって顧客名簿が漏れてるよね (スコア:3, おもしろおかしい)
高額所得者が狙い撃ちにされていることは
確かなようだ(違
親コメント
メール<封書 (スコア:3, すばらしい洞察)
しかし件の新聞記事を読む限り、「セキュリティソフトです」ってそんな親切な銀行があるんだろうか・・・
現時点で被害にあったのは法人ということだが、実際受け取った人が鵜呑みにしてインストールしてしまったのか・・・
恐らく銀行からの封書ということで担当者に回されたのか、そもそも担当者なんていない小さな会社が被害にあったのか。それとも送りつけたやつが担当者名などを何らかの方法で入手していたのか。
ある程度の知識(というか猜疑心?)があれば、銀行がセキュリティソフトを配布するなんて何か怪しい、と思いそうなもんだが、それは自分の感覚だろうか。それなりの文面(「ネットバンキングの情報を傍受するスパイウェアの対策です」等々)は相手も用意してきているだろうが。
Re:メール<封書 (スコア:3, 興味深い)
角に置いとくとして、
これはいい死角を突いたなという印象を持ちました。
Eメール→形の無い得体の知れない物
郵便→形のある信用あるもの
と思っている人は相当に多い。
こんなもの統計する間でもない。
思いつく人が他にも居たかもしれませんが、
何しろ形ある物で詐欺をするには
形の無い物で詐欺をするより高い予算が必要ですから。
これはこれで、
ローテクを再度見直して取り入れる
という好例かもしれません(笑)
親コメント
Re:メール<封書 (スコア:3, すばらしい洞察)
ネットで拡散しないようにしておけばウィルスベンダーもなかなか検知できないだろうし、いろいろ対策が必要な気がするなぁ。
//ソリッドファイター完全版 [fukkan.com]復刊賛同者募集中/
親コメント
顧客へのメディア送付方法 (スコア:3, 興味深い)
配達記録便が使われていて不思議に思っていたのですが、
ニセモノ発生への対策としての効果もあるんでしょうかね?
効果なし (スコア:5, 参考になる)
内容証明郵便 [japanpost.jp]は、誰が誰に出したかを郵便局が証明してくれますが、「誰が」の身元が正しいことまでは確認しなかったような……。
差出人の身元がはっきりしている郵便というと「選挙郵便 [japanpost.jp]」ぐらいしか思いつきません;-)
NHK 受信料はテレビの台数分契約にしてほしい
親コメント
Re:効果なし (スコア:4, 興味深い)
・郵便受けには誰でも手紙を「配達」できる
・簡単にニセ郵便局員かどうかを確認する方法はない
ので、現状では郵便物の送り主の身元は保証できないような気が。
民営化でこのへんも新商品として対応したりするのかね。
親コメント
CD-ROM ?? (スコア:3, 参考になる)
色素の薄いCD-Rとかじゃないのかなと思いました。
CD-ROMのプレスって設備もいるし・・・と思ってググってみたんですが
100枚から請け負う業者もあるようですね。(汗)
被害にはあわなかったけど送りつけられていたという企業が
今後どんどん出てくるかもしれませんね。
レーベルの印刷も一目では怪しいと分からないぐらいの出来だったんでしょうかね?
まあ、レーベルの印刷が安っぽく見えても「経費ケチっているな」位にしか思われないのかもしれませんが。
詳しい状況はまだ分からないようですが、
weakest link が人間であるという場合はやっぱり多いんでしょうね。
単なる臆病者の Anonymous Cat です。略してACです。
心よりお見舞い申し上げます (スコア:2, 興味深い)
Re:心よりお見舞い申し上げます (スコア:3, おもしろおかしい)
承諾する術を持ち合わせておりませんが、
代わりの口座を手配する事はできます。
もうすぐボーナスシーズンという事ですので、
たくさんの金融商品を取り揃えていますのでお立ち寄りください。
今年のクリスマスに資金運用予定の無いアナタも、
未来への資金投資は是非とも当行におまかせください。
金利等は銀行法に基づいて公平に適用されますので、
ご了承賜りますようお願いします。(白石)
親コメント
犯罪用銀行口座って成立するの? (スコア:1, 興味深い)
浮浪者雇ってテンポラリな口座を作り送金早々に引き出して逃亡、みたいなパターンなのだろうか。
Re:犯罪用銀行口座って成立するの? (スコア:5, 参考になる)
口座開設する際の本人確認方法は、自宅に書類を郵送して返送させるというのが一般的だと思いますが、振込め詐欺で実際に上記のような手口が使われたらしい。
頃合いを見計らって名前シールを剥がせば以下略。
不動産業者は空き部屋で不正が行われていないかきちんと管理しましょう、というお話。
親コメント
Re:犯罪用銀行口座って成立するの? (スコア:5, 参考になる)
しかし、架空口座を1400も作り続けることができるって言うのは、こういった詐欺の検挙率がかなり低いって事でしょうね。
親コメント
クロサギ? (スコア:5, 参考になる)
●架空口座を作る。
●その際予備のキャッシュカードを一枚作っておく。
(家族用に二枚以上キャッシュカードを作れるところがけっこうある)
●架空口座を転売する。
(この際通帳と一枚のキャッシュカードしか渡さない。予備のカードについては黙ってる)
○架空口座を買ったやつがオレオレ詐欺とかの振込先に利用する。
●振り込まれたカネを予備のキャッシュカードを使って横からごっそり頂く。
○そもそも非合法なので架空口座を買った客は文句を言えない。泣き寝入り。
●ウマー(゚д゚)
いやあ、なんつーかものすごいことを考えるヤツもいるもんですな。まさに「浜の真砂は尽きるとも」です。
親コメント
Re:CDのプレス (スコア:4, 参考になる)
スタンパーが11万円、100枚プレス(& レーベル印刷)が2万円、計13万円という業者もありました。
1000枚だと、スタンパー11万円、1000枚プレス(& レーベル印刷)15万円、計26万円でした。。。
CD-ROMを作るのは意外とコストがかからないようです。
個人でもCD-ROMを手軽に作れるようになったのは喜ばしいですが、
こういった犯罪のハードルも下がってしまいますね。
プレス機の型番が分かって、業者が分かったとしても
それを発注したのが誰かまでたどるのは難しい気がしてきました。
単なる臆病者の Anonymous Cat です。略してACです。
親コメント
アドレスバー隠蔽に右クリック禁止 (スコア:1, 興味深い)
いまどきアドレスバー隠しに、「右クリックは禁止です」はないだろ。
まあ、そんなところだからね。
製作所と千葉銀は猛省すべき (スコア:5, 参考になる)
日記でも幾度か指摘していますが、千葉銀行の個人向けインターネットバンキングは、日立製作所の共同センター型インターネットバンキングのFINEMAXを使用しています
FINEMAXは、NTTデータのANSER-WEBと共に地銀の共同センター型インターネットバンキング・パッケージでは二番目のシェアがあるシステムですが、デフォルト仕様でどうも「アドレスバー隠蔽」「Javascriptで右クリック禁止」「Javascriptを使用した過度のブラウザチェック」「ステータスバーを隠蔽して電子証明書が確認できない」「ポップアップで取引画面を表示」という仕様が横行している悪名高いパッケージです
実際、千葉銀行は法人向けのEBサービスではFINEMAXではなく、NTTデータのANSER-WEBのEB版を使っていますが、このような制限はありません。一方で、千葉銀のEBサービスの中でも、L/C(輸入信用状)の確認/外国送金サービスはNTTデータの別のパッケージを使っていますが、「ポップアップ」「アドレスバー隠蔽」という仕様です
FIMAXを使っている金融機関は勘定系システムに日立製作所のメインフレームを使用している金融機関に割と多く、有名どころだと他に新銀行東京などがあります。新銀行東京の場合も、FINEMAXのデフォルト仕様のため、「アドレスバー隠蔽」「Javascriptで右クリック禁止」「Javascriptを使用した過度のブラウザチェック」「ポップアップで取引画面を表示」といった状態ですが、かつてFINEMAXを使用していた京都銀行は、個人向けインターネットバンキングをANSER-WEBに切り替えてからこう言った対応をやめました
もちろん、FINEMAXを使用している金融機関の中でも、システム部門がデフォルト仕様に関係なく主体的にセキュリティ対策を行っている銀行では、こういった対応を取らないところがあります(例えば山陰合同銀行など)
千葉銀の例を見れば明らかのように、採用しているパッケージのデフォルト仕様のまま、明確なセキュリティポリシーがなく、採用パッケージごとにバラバラの仕様の銀行というのは、極めて問題だと思います
親コメント
Re:アドレスバー隠蔽に右クリック禁止 (スコア:3, 興味深い)
ううむ
親コメント
Re:アドレスバー隠蔽に右クリック禁止 (スコア:2, 興味深い)
部下「・・・」
上司「顧客がFirefoxに対応しろって言い出すまで放っておけば良いんだよ」
部下「・・・」
...という情景が目に浮かびますが、システムの動作を保証しなければならない側からすると「一定のシェアがある(あった)、かつブラウザの側に商用サポートがある(あった)」というのは矢張り大きなポイントなのですよ。
責任持って品質を保証できないモノに「対応」しちゃって、なにか問題が発生した場合に責任とらされるのは嫌ですから。
要は動作確認に投入できるコストの問題なのですが、細かな制御をしようとするとブラウザ間の差異は馬鹿になりません。
NS6のリリース当時、ブラウザの基本品質のテストになんて割ける工数なんてねーよ、と私も叫んだものです。
結局、そのプロジェクトではNS6をサポートしませんでしたが、その判断時には上記のようなやりとりが...
親コメント
Re:アドレスバー隠蔽に右クリック禁止 (スコア:2, 興味深い)
この表現って、的確に問題提起してますよね
いつからIEが何を保証したんだろう、って思いますから
結局は何が起こっても顧客のせいにされるわけで、
それなのにIEじゃなきゃダメという不便さを押し付けて
当たり前というネットの状況は異常です
親コメント
操作? (スコア:1)
と記述が。
・・・何らかの操作・・・IDとパスワード入力という操作?
#気になった。(笑
おふとぴ (スコア:1, おもしろおかしい)
シュリンクラップ契約 (スコア:1)
# 地上デジタル・チューナ付きのテレビを買ったら,B-CASカード [b-cas.co.jp]がシュリンクラップ契約になっていました.
あやしいCDを入れるときには (スコア:1)
#実はこれでも防げないことがあるなんてことないですよね。。。
Re:あやしいCDを入れるときには (スコア:2, 参考になる)
個々人が「これくらい押し続ければ大丈夫」という感覚に頼っていると思います。
そこで、ドライブがスピンアップするのに手間取るような物理的な細工をCD-ROMに施しておいて、ユーザが「もう大丈夫だろう」と放す頃におもむろにAutorun、とか。
キーを放すタイミングをスピンアップの音やアクセスランプで判断する人には無効ですが。
自動実行自体が鬱陶しいという人は
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\Autorun
を0にしときましょう。
まあ、今回の事件に巻き込まれるような人は自動で実行されなきゃ手動で実行しちゃうんでしょうけど…
親コメント
まだこのネタが出てないようなので (スコア:1)
らじゃったのだ
別に郵送しなくてもいいじゃん (スコア:1, おもしろおかしい)
プロバイダ申し込み用のCDの山に
トロイを仕込んだやつを適当に紛れ込ませておけば
なんも知らない初心者が引っかかってくれると思うんだけど
Re:新手の振り込め詐欺?? (スコア:2, おもしろおかしい)
親コメント
Re:北陸銀行でも (スコア:1, 参考になる)
で、上ACのリンクにつながらないのでこっちを。
http://www.hokugin.co.jp/release/051102.pdf
親コメント
Re:新手の振り込め詐欺?? (スコア:1)
親コメント
Re:最後は (スコア:1)
親コメント