銀行を騙るCD-ROM入り手紙で預金被害 107
ストーリー by yoosee
疑うクセと確認する習慣を身に着けよう 部門より
疑うクセと確認する習慣を身に着けよう 部門より
von_yosukeyan曰く、"朝日新聞が伝えたところによると、地方銀行の千葉銀行は、同行のエレクトリックバンキング(EB:法人向けインターネットバンキング)を契約する顧客宛に同行を騙るCD-ROM入りの郵送物が発送され、顧客が指示どおりプログラムを実行したところ、勝手に第三者の預金口座に送金される被害が発生したと発表した。同行は、顧客に対して不審なCD-ROM入り手紙に対して注意を促している
発送されたCD-ROMは、セキュリティ対策のソフトウェアである旨が書かれた案内文が入っており、CD-ROMを受け取った3先のうち、1先が実際にEB取引用に使っているPCでプログラムを実行したところ、第三者の預金口座に数百万円が不正に送金された
EBは通常の個人向けインターネットバンキングとは異なり、法人や個人事業主などを対象とした業務用サービスで、千葉銀行では残高照会や振込・振替などのほか、大量の振込・振替データの一括送金機能や外国為替といった業務も行える。また、一回の取引金額の上限も個人向けとは異なり、高い金額に設定することも可能で、こういった点が狙われる要因になったのかもしれない。さらに契約者を狙い撃ちにしているところから、犯人がどうやってCD-ROMの送付先を決めたのかなど謎の多い事件だ。"
こわいなぁ。 (スコア:5, すばらしい洞察)
ターゲットの情報が分かっていれば、銀行のCD-ROMに偽装する必要ないわけでしょう。たとえば、駅すぱあとのバージョンアップとか、無料体験版とか。思わず実行しそう。
「得体の知れないファイルは実行しない」ってのはよく分かるんだけど、郵送できたものも用心しないといけないのか。
どう考えたって顧客名簿が漏れてるよね (スコア:4, すばらしい洞察)
だけならともかく
また、一回の取引金額の上限も個人向けとは異なり、高い金額に設定することも可能で、さらに契約者を狙い撃ちにしているところから、犯人がどうやってCD-ROMの送付先を決めたのかなど謎の多い事件だ。
なんてところを読んでも、銀行の顧客情報が漏れてる可能性には誰だって気づくと思います。
当然銀行だって気づいてるんだろうけど、まだ調査を始めたばかりだから銀行のニュースリリースにはその辺の事が載ってないって事なんでしょうか。
流石に調べもしないって事はないよね・・・?
Re:どう考えたって顧客名簿が漏れてるよね (スコア:1)
その3社/者と取引をしたことのある組織の人ないし個人でやれる可能性はないですかね。
(もっとも、そんなものがいたのかどうかもわかりませんが)
Re:どう考えたって顧客名簿が漏れてるよね (スコア:2, 興味深い)
「hoge支店と取引している法人会の名簿」が使用された可能性があります。
こういうのだと、銀行だけじゃなくて取引先法人も名簿を持ちますから
相対的に入手が容易です。
Re:どう考えたって顧客名簿が漏れてるよね (スコア:3, すばらしい洞察)
顧客名簿流出じゃなくて、その辺はぐぐる [google.co.jp]だけでも結構わかりそうです。
だから顧客名簿流出かどうかは、実際に送られて来たところのうち、
EBを使ってるところと使ってないところの割合で判断すべきでしょう。
Re:どう考えたって顧客名簿が漏れてるよね (スコア:3, 参考になる)
今のところ不審なCDが送られてきたという報告はありません。
(ちなみにEBには未加入)
ご参考までに。
Re:どう考えたって顧客名簿が漏れてるよね (スコア:3, おもしろおかしい)
高額所得者が狙い撃ちにされていることは
確かなようだ(違
Re:どう考えたって顧客名簿が漏れてるよね (スコア:2, すばらしい洞察)
しかし今後、ニセモノだろうと思いポイした、もしくは放置してある会社などから通報が寄せられれば、さらに増えてえらいことになる可能性もあるのは確か。
Re:どう考えたって顧客名簿が漏れてるよね (スコア:2, すばらしい洞察)
外れがあるのを承知で、手当たり次第に送ったか、名簿が洩れてるor内部(または元・内部)の人間の犯行かを判断する材料になりますので。
Re:どう考えたって顧客名簿が漏れてるよね (スコア:2, 興味深い)
それよりも媒体が「CD-ROM」っていうのが気になります.プレスリリースでも「CD-ROM」って書いてありますよね.それならば,プレスの費用を考えると,なぜ3枚だけ?という疑問が・・・.さすがに銀行から「CD-R」が送られてきて,それをインストールするとは思えないので,やっぱし「CD-ROM」なのでしょうけど,ずいぶんと手間がかかってますね.
ふたつの可能性(Re:どう考えたって顧客名簿が漏れてるよね) (スコア:2, 興味深い)
・千葉銀行内部に今回の実行犯の協力者がいる
・取引先銀行から類推して企業にソーシャルハッキングがかけられた
「EBをやっているか」云々を遠回しに聞いてくるような不審な電話とかアンケートなどがあれば後者の方の可能性が高くなりますが、
この書き込み [srad.jp]を読んでいると前者=銀行内部に協力者がいる可能性が否定できないどころか可能性が高いことも想定しないといけないような…
どっちにしても危機センサー全開で生きないと行けない世の中なんですね(´・ω・`)
Re:どう考えたって顧客名簿が漏れてるよね (スコア:1)
事件に直接の関係者も報道側にしても、-Rと-ROMがごっちゃの希ガス。
そうでなくても、記録面がぱっと見た目ROMに近いものもありますし、
最近はレーベル面への印刷もわりと簡単にできるし。
人事を半分尽くして天命を待つ
Re:どう考えたって顧客名簿が漏れてるよね (スコア:1, すばらしい洞察)
メール<封書 (スコア:3, すばらしい洞察)
しかし件の新聞記事を読む限り、「セキュリティソフトです」ってそんな親切な銀行があるんだろうか・・・
現時点で被害にあったのは法人ということだが、実際受け取った人が鵜呑みにしてインストールしてしまったのか・・・
恐らく銀行からの封書ということで担当者に回されたのか、そもそも担当者なんていない小さな会社が被害にあったのか。それとも送りつけたやつが担当者名などを何らかの方法で入手していたのか。
ある程度の知識(というか猜疑心?)があれば、銀行がセキュリティソフトを配布するなんて何か怪しい、と思いそうなもんだが、それは自分の感覚だろうか。それなりの文面(「ネットバンキングの情報を傍受するスパイウェアの対策です」等々)は相手も用意してきているだろうが。
Re:メール<封書 (スコア:3, 興味深い)
角に置いとくとして、
これはいい死角を突いたなという印象を持ちました。
Eメール→形の無い得体の知れない物
郵便→形のある信用あるもの
と思っている人は相当に多い。
こんなもの統計する間でもない。
思いつく人が他にも居たかもしれませんが、
何しろ形ある物で詐欺をするには
形の無い物で詐欺をするより高い予算が必要ですから。
これはこれで、
ローテクを再度見直して取り入れる
という好例かもしれません(笑)
Re:メール<封書 (スコア:3, すばらしい洞察)
ネットで拡散しないようにしておけばウィルスベンダーもなかなか検知できないだろうし、いろいろ対策が必要な気がするなぁ。
しもべは投稿を求める →スッポン放送局がくいつく →バンブラの新作が発売される
顧客へのメディア送付方法 (スコア:3, 興味深い)
配達記録便が使われていて不思議に思っていたのですが、
ニセモノ発生への対策としての効果もあるんでしょうかね?
効果なし (スコア:5, 参考になる)
内容証明郵便 [japanpost.jp]は、誰が誰に出したかを郵便局が証明してくれますが、「誰が」の身元が正しいことまでは確認しなかったような……。
差出人の身元がはっきりしている郵便というと「選挙郵便 [japanpost.jp]」ぐらいしか思いつきません;-)
Re:効果なし (スコア:4, 興味深い)
・郵便受けには誰でも手紙を「配達」できる
・簡単にニセ郵便局員かどうかを確認する方法はない
ので、現状では郵便物の送り主の身元は保証できないような気が。
民営化でこのへんも新商品として対応したりするのかね。
Re:効果なし (スコア:1)
/* Kachou Utumi
I'm Not Rich... */
Re:効果なし (スコア:1)
(お蔭様で見たことはないが)
CD-ROM ?? (スコア:3, 参考になる)
色素の薄いCD-Rとかじゃないのかなと思いました。
CD-ROMのプレスって設備もいるし・・・と思ってググってみたんですが
100枚から請け負う業者もあるようですね。(汗)
被害にはあわなかったけど送りつけられていたという企業が
今後どんどん出てくるかもしれませんね。
レーベルの印刷も一目では怪しいと分からないぐらいの出来だったんでしょうかね?
まあ、レーベルの印刷が安っぽく見えても「経費ケチっているな」位にしか思われないのかもしれませんが。
詳しい状況はまだ分からないようですが、
weakest link が人間であるという場合はやっぱり多いんでしょうね。
単なる臆病者の Anonymous Cat です。略してACです。
心よりお見舞い申し上げます (スコア:2, 興味深い)
Re:心よりお見舞い申し上げます (スコア:1, おもしろおかしい)
Re:心よりお見舞い申し上げます (スコア:3, おもしろおかしい)
承諾する術を持ち合わせておりませんが、
代わりの口座を手配する事はできます。
もうすぐボーナスシーズンという事ですので、
たくさんの金融商品を取り揃えていますのでお立ち寄りください。
今年のクリスマスに資金運用予定の無いアナタも、
未来への資金投資は是非とも当行におまかせください。
金利等は銀行法に基づいて公平に適用されますので、
ご了承賜りますようお願いします。(白石)
犯罪用銀行口座って成立するの? (スコア:1, 興味深い)
浮浪者雇ってテンポラリな口座を作り送金早々に引き出して逃亡、みたいなパターンなのだろうか。
Re:犯罪用銀行口座って成立するの? (スコア:5, 参考になる)
口座開設する際の本人確認方法は、自宅に書類を郵送して返送させるというのが一般的だと思いますが、振込め詐欺で実際に上記のような手口が使われたらしい。
頃合いを見計らって名前シールを剥がせば以下略。
不動産業者は空き部屋で不正が行われていないかきちんと管理しましょう、というお話。
Re:犯罪用銀行口座って成立するの? (スコア:5, 参考になる)
しかし、架空口座を1400も作り続けることができるって言うのは、こういった詐欺の検挙率がかなり低いって事でしょうね。
クロサギ? (スコア:5, 参考になる)
●架空口座を作る。
●その際予備のキャッシュカードを一枚作っておく。
(家族用に二枚以上キャッシュカードを作れるところがけっこうある)
●架空口座を転売する。
(この際通帳と一枚のキャッシュカードしか渡さない。予備のカードについては黙ってる)
○架空口座を買ったやつがオレオレ詐欺とかの振込先に利用する。
●振り込まれたカネを予備のキャッシュカードを使って横からごっそり頂く。
○そもそも非合法なので架空口座を買った客は文句を言えない。泣き寝入り。
●ウマー(゚д゚)
いやあ、なんつーかものすごいことを考えるヤツもいるもんですな。まさに「浜の真砂は尽きるとも」です。
Re:犯罪用銀行口座って成立するの? (スコア:1)
出金は、変装して無人ATMで、ってかんじでしょうか。1日の限度額を超えられないんで、組織的にたくさんの口座を一度にやらないと、ペイしないでしょうね。って、何に対してペイするんだ?
Re:犯罪用銀行口座って成立するの? (スコア:1)
それを盗撮されて、別な悪党に横取りされる、ってのもアリか。
本当、何を信じて良いのやら。
CDのプレス (スコア:1)
それにしてもロット数からして3枚ってのも考えにくいですかね。
実は手焼きのCD-Rだったりして……でもCD-Rだったら明らかに怪しいですよね。
(数百万円送金できるなら、1000枚プレスした中の3枚であってもペイしそうですが)
# 脅迫状の書体からどこのワープロか割り出すみたいに、
# CDメディアの記録特性からCD-Rドライブやプレス機の型番を割り出すとか
『月面兎兵器ミーナ』2007年1月13日から放送開始
Re:CDのプレス (スコア:4, 参考になる)
スタンパーが11万円、100枚プレス(& レーベル印刷)が2万円、計13万円という業者もありました。
1000枚だと、スタンパー11万円、1000枚プレス(& レーベル印刷)15万円、計26万円でした。。。
CD-ROMを作るのは意外とコストがかからないようです。
個人でもCD-ROMを手軽に作れるようになったのは喜ばしいですが、
こういった犯罪のハードルも下がってしまいますね。
プレス機の型番が分かって、業者が分かったとしても
それを発注したのが誰かまでたどるのは難しい気がしてきました。
単なる臆病者の Anonymous Cat です。略してACです。
Re:CDのプレス (スコア:1)
アドレスバー隠蔽に右クリック禁止 (スコア:1, 興味深い)
いまどきアドレスバー隠しに、「右クリックは禁止です」はないだろ。
まあ、そんなところだからね。
製作所と千葉銀は猛省すべき (スコア:5, 参考になる)
日記でも幾度か指摘していますが、千葉銀行の個人向けインターネットバンキングは、日立製作所の共同センター型インターネットバンキングのFINEMAXを使用しています
FINEMAXは、NTTデータのANSER-WEBと共に地銀の共同センター型インターネットバンキング・パッケージでは二番目のシェアがあるシステムですが、デフォルト仕様でどうも「アドレスバー隠蔽」「Javascriptで右クリック禁止」「Javascriptを使用した過度のブラウザチェック」「ステータスバーを隠蔽して電子証明書が確認できない」「ポップアップで取引画面を表示」という仕様が横行している悪名高いパッケージです
実際、千葉銀行は法人向けのEBサービスではFINEMAXではなく、NTTデータのANSER-WEBのEB版を使っていますが、このような制限はありません。一方で、千葉銀のEBサービスの中でも、L/C(輸入信用状)の確認/外国送金サービスはNTTデータの別のパッケージを使っていますが、「ポップアップ」「アドレスバー隠蔽」という仕様です
FIMAXを使っている金融機関は勘定系システムに日立製作所のメインフレームを使用している金融機関に割と多く、有名どころだと他に新銀行東京などがあります。新銀行東京の場合も、FINEMAXのデフォルト仕様のため、「アドレスバー隠蔽」「Javascriptで右クリック禁止」「Javascriptを使用した過度のブラウザチェック」「ポップアップで取引画面を表示」といった状態ですが、かつてFINEMAXを使用していた京都銀行は、個人向けインターネットバンキングをANSER-WEBに切り替えてからこう言った対応をやめました
もちろん、FINEMAXを使用している金融機関の中でも、システム部門がデフォルト仕様に関係なく主体的にセキュリティ対策を行っている銀行では、こういった対応を取らないところがあります(例えば山陰合同銀行など)
千葉銀の例を見れば明らかのように、採用しているパッケージのデフォルト仕様のまま、明確なセキュリティポリシーがなく、採用パッケージごとにバラバラの仕様の銀行というのは、極めて問題だと思います
Re:アドレスバー隠蔽に右クリック禁止 (スコア:3, 興味深い)
ううむ
Re:アドレスバー隠蔽に右クリック禁止 (スコア:1, 興味深い)
「お客様のブラウザをチェックしました所、
このバージョンではちばぎんマイアクセスを御利用することはできません。
当行が推奨するブラウザをダウンロードしてください。」
って言われました。(当方Firefox 1.0.7)
ブラウザチェックとバージョンチェックがごっちゃになってるぜ大丈夫かよオイ!とか
IEだけかよ使えねーなオイ!とか思ったのですが、この深夜に部屋で一人キレてもしょうがないので
とりあえずトップページから利用可能ブラウザを見てみたところ
なんとMicrosoft InternetExplorerとNetscape Communicatorの文字が。
(Windows98、2000、NT4.0 / ME / XP はNC4.75,4.78、MacOS8.6、9.0、XはNC4.7)
しかも
*Netscape6.X 7.Xはご利用になれません。
の注釈付きでした。
(日本語版がリリースされてない為Netscape8は無いと思われる)
さすがにここまで来るともう何もいうことはありません。
Re:アドレスバー隠蔽に右クリック禁止 (スコア:2, 興味深い)
部下「・・・」
上司「顧客がFirefoxに対応しろって言い出すまで放っておけば良いんだよ」
部下「・・・」
...という情景が目に浮かびますが、システムの動作を保証しなければならない側からすると「一定のシェアがある(あった)、かつブラウザの側に商用サポートがある(あった)」というのは矢張り大きなポイントなのですよ。
責任持って品質を保証できないモノに「対応」しちゃって、なにか問題が発生した場合に責任とらされるのは嫌ですから。
要は動作確認に投入できるコストの問題なのですが、細かな制御をしようとするとブラウザ間の差異は馬鹿になりません。
NS6のリリース当時、ブラウザの基本品質のテストになんて割ける工数なんてねーよ、と私も叫んだものです。
結局、そのプロジェクトではNS6をサポートしませんでしたが、その判断時には上記のようなやりとりが...
Re:アドレスバー隠蔽に右クリック禁止 (スコア:2, 興味深い)
この表現って、的確に問題提起してますよね
いつからIEが何を保証したんだろう、って思いますから
結局は何が起こっても顧客のせいにされるわけで、
それなのにIEじゃなきゃダメという不便さを押し付けて
当たり前というネットの状況は異常です
Re:アドレスバー隠蔽に右クリック禁止 (スコア:1)
それも、Operaとブラウザを認識させた状態で…
って、単純にFireFoxだったら弾くだけって事か?
なんか、銀行のシステムにしては間抜けすぎるというか…
/* Kachou Utumi
I'm Not Rich... */
Re:アドレスバー隠蔽に右クリック禁止 (スコア:1, 興味深い)
夜中にキレるのは近所迷惑なので正しい行動(笑)
> 利用可能ブラウザを見てみたところ
> なんとMicrosoft InternetExplorerとNetscape Communicatorの文字が。
そのブラウザチェック [chibabank.co.jp]のページですが、
私の環境(Windows2000 SP4, Firefox1.0.7)でこのページの”ブラウザをチェック”を行ってみたところ
お使いのブラウザは Windows2000版 Netscape Communicator5.0 なのでご利用になれません。
と表示されました。
あぁ確かにWindows2000版で使えるのはNC4.75と4.78だから、例え上位バージョンでも駄目なのね。
結構硬いブラウザチェックにしてるじゃないか。などと思う訳がありません。
ブラウザチェックはJavaScriptなのですぐにソースが見られたのですが、
お前User AgentにMSIEって入ってなかったら全部Netscape Communicator扱いかよと。
この頃既に存在しているOperaも当然NC扱いです。
ここまで乱暴な分類のしかたは学生でもやらないぞと、流石に呆れました。
訂正、そして別の気づき (スコア:1, 参考になる)
NC扱いなのでしょうか?と書こうとして修正忘れて上げてしまいました。
しかし、よく考えるとOperaってUAに"MSIE"の文字が入ってたと思うので
IEとして認識されるかもしれませんね。
#824317 [srad.jp]はログインの次画面まで進んだという事ですし。
あとですね、ログイン画面のJavaScriptも見てみました。
するとブラウザチェック画面とログイン画面ではチェックルーチンが違っています。
こういうのってどちらも同じチェックルーチン使わないと意味が無いですよね?
この運用だと、ブラウザチェックでは引っかかると思われるNC4.73が
ログイン画面では恐らく通過するでしょう。
ブラウザチェックの動作リストの意味がありません。
流石にNC4.73でログインする人はもういないと思うけど、
そういう所まで考えての開発でしょうに。随分と杜撰な事してるなぁと思いました。
反面教師としてはいい教材だと思うけど。
Re:アドレスバー隠蔽に右クリック禁止 (スコア:1)
ネスケに関しては一応6とか7とか入ってますが、会社側が用意したシステム等は
未だにNC4.78付近とか存在しています。(残っているという意味で)
複数のブラウザに対応して時間とお金を搾取される事が(銀行側に)良いわけでもなく、
また、法人という枠の中で、今利用されているスタンダードなブラウザへの対応という
意味では、他のブラウザへの対応をしていない理由も浮かんでくるものです。
・・・と、書いてみたものの、右クリック以外でのソース閲覧が出来たり、
各所に杜撰な部分が目立つのはどうかと思った。
操作? (スコア:1)
と記述が。
・・・何らかの操作・・・IDとパスワード入力という操作?
#気になった。(笑
おふとぴ (スコア:1, おもしろおかしい)
シュリンクラップ契約 (スコア:1)
# 地上デジタル・チューナ付きのテレビを買ったら,B-CASカード [b-cas.co.jp]がシュリンクラップ契約になっていました.
あやしいCDを入れるときには (スコア:1)
#実はこれでも防げないことがあるなんてことないですよね。。。
Re:あやしいCDを入れるときには (スコア:2, 参考になる)
個々人が「これくらい押し続ければ大丈夫」という感覚に頼っていると思います。
そこで、ドライブがスピンアップするのに手間取るような物理的な細工をCD-ROMに施しておいて、ユーザが「もう大丈夫だろう」と放す頃におもむろにAutorun、とか。
キーを放すタイミングをスピンアップの音やアクセスランプで判断する人には無効ですが。
自動実行自体が鬱陶しいという人は
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\Autorun
を0にしときましょう。
まあ、今回の事件に巻き込まれるような人は自動で実行されなきゃ手動で実行しちゃうんでしょうけど…
Re:新手の振り込め詐欺?? (スコア:2, おもしろおかしい)