パスワードを忘れた? アカウント作成
Close
11217 story

スパイウェアを使ったフィッシング詐欺で初の摘発 133

ストーリー by Acanthopanax
一罰百戒となるか 部門より

jun_kkk曰く、"毎日新聞記事などの伝えるところによると、警視庁ハイテク犯罪対策総合センターは10日、不正アクセス禁止法違反および電子計算機使用詐欺の疑いで千葉県在住の男を逮捕した。スパイウェアを用いた詐欺での摘発は全国で初とのこと。男は、スパイウェアを自ら作成し、「楽天市場」出店者などに苦情を装ったメールを送信、スパイウェアをインストールさせた。それにより得たジャパンネット銀行、イーバンクなどのログインID、パスワードを用いて自分の口座に送金するなどした疑いで逮捕されたもの。スパイウェアを開発したと思われる江戸川区内在住の男を同時に指名手配した。逮捕された男は、以前/.Jでも話題となった千葉銀行の名を騙ったCD-ROM送付の件でも関与をほのめかしているという。
今回初の逮捕者が出たことで、類似の犯罪に対する抑止力となりうるだろうか? もちろん、毎回話題になることではあるが、利用者側の意識の向上、セキュリティリスクを減らすシステムの運用なども引き続き図っていかなければならないだろう。"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

スパイウェアを使ったフィッシング詐欺で初の摘発 More

  • 怪しげな添付ファイル (スコア:4, 興味深い)

    by Anonymous Coward on 2005年11月11日 9時14分 (#829724)
    は開いちゃダメってのは、普通のスパムメールとかだったらまあ常識だと思われます。

    でも昨日のニュース 10 によれば、この被害者の方はネットショップの経営者だったようですね。
    客商売をしている側からすると「お客様からのお問い合わせ」とあらば、どんなに怪しくても
    開かざるを得ないという・・・。
    非常に悩ましげな感じでした。

    • Re:怪しげな添付ファイル (スコア:3, おもしろおかしい)

      by Nomad-AY (2520) on 2005年11月11日 9時45分 (#829746) ホームページ
      そうそう、「先日はメールありがとねッ☆」とか「あなたが逆指名されました」とかあったら、どんなにあやしくても開かざるを得ないですよね。
      非常に艶めかしい感じでした。
      --
      タブレット中毒者。
      シェア
      親コメント

      • オフとぴ (スコア:2, おもしろおかしい)

        by shn (7678) on 2005年11月11日 10時21分 (#829771) ホームページ
        あの info@系のスパムは、文章スタイルが似通ってるから同一人物/グループが作ってそうな感じなんですが、いったいなんなんだろう。
        ここ一ヶ月ぐらいやたら多いし
        全然淘汰されないところをみると、botでも使ってるんでしょうか
        シェア
        親コメント

        • Re:オフとぴ (スコア:5, 参考になる)

          by Anonymous Coward on 2005年11月11日 10時31分 (#829774)
          こちらを参考にどうぞ。
          qsv系のスパムメール被害 qsv02 [2ch.net]
          シェア
          親コメント

        • Re:オフとぴ (スコア:1, 参考になる)

          by Anonymous Coward on 2005年11月11日 10時57分 (#829793)
          発信元は***-adsl-****とかが多いし、自宅サーバからかな。

          色々な所から発信しているけど、ポートスキャンをかけると開いてる
          ポートが全く同じだったりするから、組織的な犯行なんでしょうね。
          シェア
          親コメント

          • Re:オフとぴ (スコア:2, 参考になる)

            by wei (16323) <kitty_freak@yahoo.co.jp> on 2005年11月11日 14時07分 (#829981)
            | 色々な所から発信しているけど、ポートスキャンをかけると
            | 開いてるポートが全く同じだったりするから、組織的な犯行
            | なんでしょうね。

            そうですか。
            恐らく単一の PC なんですね。
            ということは、 ISP に接続しては spam 送信、すぐに切断、すぐに再接続して IP 変更を確認、再度 spam 送信ってのを繰り返しているような気がします。
            或は dhcp クライアントの再起動を繰り返しているのかも知れません。
            同じ内容の spam が立て続けに同じ ISP の違う IP から連続して来ることがしょっちゅうあるので、ひょっとしたら、と思っていました。
            参考のためにサンプルを上げておきます。
            1: [flcl.org]
            2: [flcl.org]
            3: [flcl.org]
            シェア
            親コメント

  • 指名手配 (スコア:3, おもしろおかしい)

    by Anonymous Coward on 2005年11月11日 7時18分 (#829686)
    共犯の男(31) 江戸川区在住

    ( ゚д゚)ハッ!

    指名手配されてるのは俺か!?w

    • Re:指名手配 (スコア:2, おもしろおかしい)

      by Anonymous Coward on 2005年11月11日 12時11分 (#829874)
      名前が出ていないのに指名手配とはこれいかに?
      シェア
      親コメント

  • 千葉銀行のCD-"R" (スコア:3, 興味深い)

    by Fatalwedge (6623) <fatal@fuurai.org> on 2005年11月11日 10時49分 (#829788) 日記
    やはりCD-ROMではなくCD-Rだったようです。
    FNN-NEWS [fnn-news.com]で画像見られますが、いかにもな感じのチープな出来……
    「これで騙されるなんて」と一瞬考えたが、ふと周りを見渡しSIerから納品される成果物(類)もこのレベルだよなと。既に「CD-Rだから(プレスのROMじゃないから)」というのは判断材料にならないのかも。

    #ついでにそのSIerの納品物にも、良くWordのtmpファイルを始め色々と混じってるよなぁ、なんて思ってみたり。

    • Re:千葉銀行のCD-"R" (スコア:2, 興味深い)

      by Anonymous Coward on 2005年11月11日 10時58分 (#829794)
      > そのSIerの納品物にも、良くWordのtmpファイルを始め色々と混じってるよなぁ、なんて思ってみたり。

      御客様からお預かりした商品データのCD-Rの中に、
      御客様が奥様や御子様を撮影したと思われる
      デジカメ画像フォルダが混入していた事があります。
      見せたくてワザと入れたのか、
      意図しない混入なのかは不明です。

      御依頼頂いている内容とは明らかに関係の無い、
      帳簿データが混入していた事もあります。
      とりあえず見てないフリ。
      シェア
      親コメント

  • 参考記事 (スコア:3, 参考になる)

    by Elbereth (17793) on 2005年11月11日 11時05分 (#829802)
    今回の事件に関して、日経BP IT ProのWindows XP 知らないと怖い「プロの常識」 [nikkeibp.co.jp]
    という最近の記事が参考になるのではないかと思います。

    ※要登録

  • どこで出し入れすればいいんだorz (スコア:3, おもしろおかしい)

    by gesaku (7381) on 2005年11月11日 12時38分 (#829906)
     ネットバンキングはフィッシング詐欺など、
    ATMは小型カメラで盗撮となれば、
    安心できるのは窓口のねーちゃん経由しかないじゃん・・

     まてまて、最近の銀行は定期に預けたつもりが
    元本割れリスク有りの投資信託だったりするから
    そうも言えないぞ。

     一番安心なのは壺に入れて床下の穴に埋めとくことか・・

    #活断層の近くに住んでいるgesaku

  • 銀行側の過失 (スコア:3, すばらしい洞察)

    by gonta (11642) on 2005年11月11日 15時37分 (#830030) 日記
    ってないんですかね?もちろん、このようなスパイウェアを
    作って送りつけ、パスワード盗み出し金を盗む、というのは
    犯罪です。だけど、スパイウェアごときで振込までできてし
    まう”仕組み”に問題はないのでしょうか?

    東京三菱銀行は、5x5の乱数表をもらっており、その数値を
    入力して、口座の確認や振込ができるようになります。この
    乱数表により、お客様番号・パスワードがわかっても、悪用
    ができないように(悪用するのが難しく)なっています。

    このような手法をとらなかった、銀行側にも過失がありそ
    うな気がします。
    --
    -- gonta --
    "May Macintosh be with you"

    • Re:銀行側の過失 (スコア:2, 参考になる)

      by akiraani (24305) on 2005年11月11日 15時59分 (#830037) 日記
       乱数表ってキーロガーによる情報流出を防ぐことは出来るけど、一旦漏れてしまえば無力のような気がしますが……。
       さらに、乱数表やソフトウェアキーボードを使っていてもキーロガーに暗証番号を盗まれる場合があります。 [nikkeibp.co.jp]

       それはそれとして、一定以上の金額の送金は本人に携帯電話とかメールで許可をとらないと送金されない、とかすれば大丈夫な気もしますが。

      --
      しもべは投稿を求める →スッポン放送局がくいつく →バンブラの新作が発売される
      シェア
      親コメント

  • 無線LAN-AP不正使用も (スコア:2, 参考になる)

    by Anonymous Coward on 2005年11月11日 9時21分 (#829728)
    この事件、ネット接続には無線LANアクセスポイントを不正使用したと言う点もちらほらと報道されています。

    先日、知人が無線LANを導入した際に設定を手伝ったのですが、その時に暗号化もされていないAPがわらわらと表示されて...
    試しに繋いでみるなんて事はしませんでしたが、多分接続制限などの対策もしていないでしょうね。
    その知人には「ほら無線だとこんな風に外からでも見えちゃうからセキュリティ対策はしっかりしないと」と、
    一通りの設定とその意味を教えてきました。

    最近の無線LAN機器ならボタン一発である程度のセキュリティ設定もなされるようにはなりましたけどね。

    • Re:無線LAN-AP不正使用も (スコア:2, 興味深い)

      by Anonymous Coward on 2005年11月11日 18時14分 (#830107)
      私が会社で無線LANの導入作業をした際にも、大量の野良APが検知されました
      中にはESS-IDに会社名をそのまま入れちゃってるAPがありました
      悪い人を手招きしてどうするのかと...
      シェア
      親コメント

    • Re:無線LAN-AP不正使用も (スコア:1, 興味深い)

      by Anonymous Coward on 2005年11月11日 10時36分 (#829777)
      家のアクセスポイントのACアダプタが死んでいたのに気づかずに使っていたら隣家のアクセスポイントに繋がってたりすることはありました。

      というか勝手に探して暗号化無しだと繋がる事の方にびっくりした。

      #どのくらいの期間だか不明だったけど、まぁ2chと/.の書き込みくらいみられてもいいか(w
      #でもAC
      シェア
      親コメント

  • 手口が微妙…… (スコア:1)

    by Elbereth (17793) on 2005年11月11日 9時17分 (#829727)
    「メールを送ってスパイウェアをインストールさせた」って
    メールを送られた楽天出店社の人はもしかしてメールの
    添付ファイルを実行したんかな。

    それってスパイウェア云々以前にすごい迂闊な話ですね。

    • Re:手口が微妙…… (スコア:3, 参考になる)

      by genzin (23225) on 2005年11月11日 16時17分 (#830051) 日記
       たしかこの楽天出店社の人はTVで取材に応じていたとき、
      顧客からのクレームメールを装って、圧縮された添付画像
      として送られてきたと話していました。

       確かに迂闊かもしれませんが、客商売の人としては開かざる
      得なかったでしょうね。
      シェア
      親コメント

    • Re:手口が微妙…… (スコア:1)

      by Elbereth (17793) on 2005年11月11日 9時28分 (#829737)
      自己レス。

      HTMLメールで外部のActiveXファイルや細工した画像を読み込ませて
      セキュリティホールをつくなどの、ただの添付ファイルより高度な
      手口はあるとは思いますが、何にしてもセキュリティソフトを
      使って怪しい動作をするプログラムは実行させないなど
      一定の対策さえしていれば普通大丈夫ですよねぇ。

      特定の会社/人物を狙ったスパイウェアがでてきていてセキュリティソフトで
      検出できないこともあるという話もあるようですが、既知のセキュリティホールを
      ふさいだ上で、怪しいプログラムは実行しないようにすれば防げるはず。
      個人情報や会社の金を扱う人にそこまで求めるのは酷なのかな。
      まぁ酷なんだろうな。
      シェア
      親コメント

      • Re:手口が微妙…… (スコア:5, 参考になる)

        by Anonymous Coward on 2005年11月11日 10時16分 (#829765)
        ・画像ファイルだけどもOSやブラウザの脆弱性を突いた手口だった場合
         対策1:セキュリティパッチはきちんと当てておきましょう。
         対策2:OS標準/ブラウザの画像表示機能を使うのではなく他の画像表示ソフトを使いましょう。

        ・HTMLメールで外部のActiveXファイルや細工した画像を読み込ませる手口だった場合
         対策1:セキュリティパッチはきちんと当てておきましょう。
         対策2:メーラの設定をHTMLメールは表示しないように変更しましょう。
         対策3:OS標準/ブラウザのメーラを使うのではなく他のメーラを使いましょう。

        ・自己復元ファイルに見せかけた物を実行させる手口だった場合
         対策:むやみに実行せず、圧縮/復元ソフトを使って復元しましょう。

        万が一マルウェアに感染した場合でも被害を最小限に抑える手として、
        ・メール対応、ネットバンキング、顧客情報管理は別々のマシンで行いましょう。
        ・ファイヤーウォールソフトを導入しましょう。

        などなど対策はいろいろありますが、普通の人/個人経営の小さな店にこういった事を求めるのも
        なかなか難しいですね。
        複数台のマシン導入は、売上向上に直接繋がらない出費は嫌がります。
        未知のプログラムが通信しようとしてファイヤーウォールソフトが通信を許可するか禁止するかの
        ダイアログを出してきても、普通の人は訳も分からずOKボタン押してしまう事が多いようです。

        こういった事を広く一般に啓蒙する方法って何かあるでしょうか。
        シェア
        親コメント

        • Re:手口が微妙…… (スコア:3, 参考になる)

          by tuneo (2938) on 2005年11月11日 11時13分 (#829809) ホームページ 日記
          > ・画像ファイルだけどもOSやブラウザの脆弱性を突いた手口だった場合
          (略)
          >  対策2:OS標準/ブラウザの画像表示機能を使うのではなく他の画像表示ソフトを使いましょう。
          きょうびは「他の画像表示ソフト」だってOS標準の画像表示機能(というか、画像読み込みライブラリだのAPI)を使っていたりするから注意が必要です。画像読み込みのコードを1から書き起こす酔狂なプログラマはめったにいませんよ……マイナーな画像フォーマットでもない限り。

          > ・自己復元ファイルに見せかけた物を実行させる手口だった場合
          >  対策:むやみに実行せず、圧縮/復元ソフトを使って復元しましょう。
          「圧縮/復元ソフト」もアタックの対象になります。実際、zlibとかunlha32.dllは過去にセキュリティホールが見つかっていることですし。

          > こういった事を広く一般に啓蒙する方法って何かあるでしょうか。
          難しいですね。抜本的な対策としては「作るほうは専門家、防ぐほうは素人」という状況を打破しないといけないんですが、憶えることがやたらと多いんですよねぇ……。

          一応セキュリティ対策でおまんまを食ってるのでID。
          シェア
          親コメント
        • 新生銀行のセキュリティーキーボードやUFJ銀行の乱数表などの サービス提供者側の対策では不十分でしょうか?
          シェア
          親コメント

          • Re:セキュリティーキーボードあるいは乱数表で対策 (スコア:4, すばらしい洞察)

            by Anonymous Coward on 2005年11月11日 11時57分 (#829857)
            セキュリティにゴールなし
            シェア
            親コメント
          • > サービス提供者側の対策では不十分でしょうか?

            不十分です。

            ソフトウェアキーボードはキャプチャされる [nikkeibp.co.jp]のでダメです。
            乱数表は口座一括管理サービスで全部入力させられる [72.14.203.104]そうなので、この時に抜かれる恐れがあります。
            シェア
            親コメント
            • こんな感じでどうでしょう
              1. ログイン画面でユーザIDを入力すると、セッション毎に毎回違うQRコードを画面に表示する(表示している間、HTTP-EQUIV="refresh"しまくる)
              2. ユーザはそのQRコードを携帯電話で読み取る(その携帯電話のメアドは銀行に登録してある物)
              3. 読み取ったデータをメールに添付する
              4. 銀行のメールアドレス(ユーザ毎に異なる)に送信する
              5. 銀行がメールを受信し、最近発行したQRコードと添付データが等しい事と送信元アドレスが正しい事を確認する
              6. QRコードを表示していた画面で、次のrefreshで自動的にログイン完了
              7. ※ QRコードを表示していた画面のセッションが切れたり、ログインに成功したりすると、その時表示されていたQRコードは無効になる
              • 入出力がパソコンで完結しないので、キーロガーや画面キャプチャでトレースした情報だけではログインできない。
              • パソコンでトレースした情報のアカウントの持ち主を特定して携帯電話を盗んでも、送信メールが消去されていたら送信先アドレスが分からない。
              • QRコードがワンタイムパスワード、送信先アドレスがパスワード、携帯電話が緩い(メアドは偽装可能なので)パスワード、と3重パスワードになるが、ユーザが手入力するのは送信先アドレス1つだけ。
              • × 携帯電話に仕込むタイプのキーロガーが出てきたら破られる。
              • × パケ代がかかったり、メールの配送時間がかかったり、QRのデータを添付できる機能が付いた携帯電話が必要だったりという点で汎用性無さすぎ

              ……気合入れすぎ?
              シェア
              親コメント
              • 乱数発生器は(大抵?)PIN(Personal Identification Number)と呼ばれる4桁の識別番号も利用します。

                パスワードとか乱数表の場合は盗まれても「情報」にすぎず、盗まれたことに気が付きにくいです。
                もちろん乱数表のカードそのものを盗まれれば気が付くかもしれませんが、
                その乱数表を書き写されたり、写真に撮られたりすれば終わりです。

                乱数表やそれを利用するシステムの強度自体も
                現在日本の銀行が採用しているものはかなり弱いです。

                高木浩光さんのブログ [hatena.ne.jp]や金融研究第21巻別冊第1号(2002年6月発行) [boj.or.jp]等で
                2年以上前から指摘されています。

                一方、ハードウェア・トークンの場合は、盗まれれば持ち主がそのことに気が付く可能性があります。
                また、PINも盗まなくてはならないので、結構面倒だと思います。

                両方盗まれれば終わり、といえばそれまでなんですが
                その点ではキャッシュカードも同じですよね。

                ネットバンクの場合は顔を写されないとか、匿名で接続できる環境もかなりあるとか、
                犯罪者側に有利な点もありますけど、今の状況よりはかなりましになると思います。
                --
                単なる臆病者の Anonymous Cat です。略してACです。
                シェア
                親コメント
            • 武将の顔がたくさんのった冊子をユーザーに配るというのはどうだろう。
              シェア
              親コメント

          • Re:セキュリティーキーボードあるいは乱数表で対策 (スコア:1, 興味深い)

            by Anonymous Coward on 2005年11月11日 12時09分 (#829867)
            新生銀行の名前で
            Received: from mta2.primary.ddc.dartmail.net (mta2.primary.ddc.dartmail.net [146.82.220.41])
            というところから、さかんに「フィッシングに注意しましょう」というメールが来るのですが、これはフィッシングメールでしょうか?

            問い合わせようにも、WEB上には、問い合わせのメールアドレスはないし、電話で聞いても「解りません」の答えしか期待できないので、どうしようか迷っているのですが。
            シェア
            親コメント

      • Re:手口が微妙…… (スコア:1, すばらしい洞察)

        by Anonymous Coward on 2005年11月11日 10時04分 (#829758)
        それを酷ではないと言えるように、
        危険性や対処方法について
        政府がもっと広く啓蒙すべきなんだけどな。
        最初は空き巣や詐欺に対するそれと同レベルでも構わないから。
        シェア
        親コメント

        • Re:手口が微妙…… (スコア:1, 興味深い)

          by Anonymous Coward on 2005年11月11日 12時11分 (#829873)
          俺は政府が啓蒙すべきなんて思わんな。
          自分の身は自分で守るべきだし、情報武装が面倒なら、
          わからないものは使わなければいい。
          会社はそうは行かないが、とんでもなく難しいことを
          要求してるわけでもなんだし。

          そういや、アメリカで暮らしていた友人が、
          何でも疑ってかかるのが新鮮だったのを思い出した。
          シェア
          親コメント

          • Re:手口が微妙…… (スコア:4, すばらしい洞察)

            by ryouki7000 (10944) <{ryouki7000} {at} {gmail.com}> on 2005年11月11日 12時28分 (#829890) 日記
            > 自分の身は自分で守るべきだし、情報武装が面倒なら、
            > わからないものは使わなければいい。

            というレベルの啓蒙ですら、誰もやってないわけですよ。
            銃はすぐに怖いものだと理解できるようになるけど、情報/ネットはパッと見、怖さが見えない。

            一般、もしくは入り口で、ちゃんと教えてあげる必要があると思う。
            もはやInternetはデフォルト危険な場所になってしまってるんだから。
            シェア
            親コメント

  • プログラムは同一のもの (スコア:1, 参考になる)

    by Anonymous Coward on 2005年11月11日 10時55分 (#829792)
    こちらの記事 [asahi.com]にもありますが、本人が関与をほのめかす以外にも

     千葉銀行などの顧客に送りつけられていたものと同様のCD―ROMが城北信用金庫(東京都荒川区)の顧客にも送られており、同庁が調べたところ、メールに添付されたスパイウエアとほぼ同じプログラムだったことが判明。CD―ROM送りつけの一連の事件にも、平山容疑者らがかかわっていたとみている。

    ということらしいですね。

    • 同じ? (スコア:1, 興味深い)

      by Anonymous Coward on 2005年11月11日 11時09分 (#829806)
      今回のスパイウェアの手口は「被害者にログイン情報を送信させ、送金は自分でやる」ですが、
      千葉銀の件は「被害者のPC上で自動的に送金」でしたよね。
      同じプログラムとはこれいかに。
      ひとつスパイウェアに二つの動作を持たせてたんだろうか。

      もしや

      >CD-ROMを受け取った3先のうち、1先が実際にEB取引用に使っているPCでプログラムを実行したところ、第三者の預金口座に数百万円が不正に送金された

      というのは嘘で、実はプログラムを実行してから送金されるまでに時間があったんですかね(その間に犯人が送金処理をした)。
      自動的に送金とは、凝った物が出てきたもんだなあと感心してたんですが。がっかりだよ平山君。
      シェア
      親コメント

      • Re:同じ? (スコア:2, 参考になる)

        by chiro0080 (22711) on 2005年11月11日 11時55分 (#829855)
        千葉銀行の件は確か

        被害者がCD-ROMでスパイウェアをインストール
        犯人が被害者の口座に数千円を送金
        犯人が間違って送金したからと返金をお願いする(Mail?)
        被害者はPC上で返金処理をする<<<ここでPassを盗む
        盗んだPassを使って送金処理

        という流れだったかと。
        シェア
        親コメント
typodupeerror

未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー