パスワードを忘れた? アカウント作成
6515463 story
ニュース

インターネットバンキングで正規サイトにログオン後、不正なポップアップ画面 98

ストーリー by headless
不正 部門より
hashitomのタレコミによれば、インターネットバンキングで正規サイトへのログオン後に不正なポップアップ画面が表示され、暗証番号などを盗み取ろうとする事例が数件確認されているそうだ(日本経済新聞の記事毎日jpの記事NHKニュースの記事)。

不正なポップアップ画面が確認されたのは、ゆうちょ銀行、三井住友銀行、三菱東京UFJ銀行の3銀行。サーバー側に異常は見つかっておらず、不正な画面の表示が一部の利用者に限られることから、警察庁は利用者のパソコンがウイルスに感染しているものとみてデータ提供を求めているとのこと。3銀行では利用者にWebサイトで注意を呼びかけている(ゆうちょ銀行からのお知らせ三井住友銀行からのお知らせ三菱東京UFJ銀行からのお知らせ)。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • ゆうちょ銀行のお知らせ [japanpost.jp]では

    ゆうちょダイレクトでは、ポップアップ画面を表示して、お客さまに情報を入力していただく機能を使用しておりませんので、このような画面が表示されても、合言葉・インターネット用暗証番号の入力は絶対に行わないでください。

    と書いてある。三井住友銀行のお知らせ [smbc.co.jp]でも

    SMBCダイレクトでは、ポップアップ画面を表示して、お客さまに情報を入力していただく機能を使用しておりません。このような画面が表示されても、暗証番号などお客さまの情報の入力は絶対に行わないでください。

    とある。だけど、ポップアップ画面であることって何か重要なんだろうか。本来ないはずのポップアップ画面を出すことができるということは、たぶんウェブページのフォームの送信先を書き換える等、ポップアップ画面を使わない手法で情報を入力させることも簡単にできる状態にあるように思うんだけど。そうだとしたら、単に今出回っているマルウェアがポップアップ画面を使っているだけで、「ポップアップ画面が出たら気を付けろ」なんて言っていたらすぐにポップアップ画面を使わないバージョンが出回るだけだろう。「今出回っているマルウェアはこうだけど、変種が出てくる可能性もあるから情報収集に努めてほしい」とか何とか書くべきなのではなかろか。

    「おれおれ詐欺」という言葉がはやった後、「おれおれ」と言わない振り込め詐欺が出てきて、「おれおれ」という言葉にだけ注意していた人たちがまんまと騙された。「ポップアップ画面に注意」というのも似たような話にならないかと心配。

  • - なんか変な虫が常駐して、最低でもHTTPトラフィックの中身は全部読まれてるんだろうな。現在も続々送信中かも。
    - 老人とかマスコミが危険性だけを煽る
    - ゴミ役人は規制団体を作る大義名分ゲットで祝杯

  • by Anonymous Coward on 2012年10月28日 14時31分 (#2260832)

    ゆうちょ銀行と三菱東京UFJはお知らせの中に不正なポップアップ画面例を表示ししているが、三井住友のお知らせには無い.
    被害にあったパソコンの状況をまだ確認出来ていないのか、単にユーザーに対する配慮が欠けているだけなのか........
    #「ポップアップ」が何か分からない人がいてもおかしくはないと思わなきゃ

  • by YF19 (12943) on 2012年10月28日 14時43分 (#2260839) 日記

    Webブラウザにダイアログ“詐称の脆弱性あり”との主張 [srad.jp]

    これ7年も前の記事だけど、人間の考えることはいつの時代も変わらないんだね。
    まぁ、なりすましなんてものは、有史以来、どの時代でも起きてた「悪さ」の一つではあるけどもw

  • by Anonymous Coward on 2012年10月28日 14時53分 (#2260847)

    三菱東京UFJのサイトで事例を確認してみたが、暗証番号を盗むのではない。

    ユーザに配布されているパスワード確認時の乱数表を全て入力させるということのようだ。

    普通は気付くと思うが、たまにしかログインしない人で何かとリテラシーの低い人は結構引っかかるのかもしれん。

    やっぱりワンタイムパスワードを導入するしか解決の道はないわけだな。

    • by Anonymous Coward

      三井住友に至っては、ワンタイムパスワードを有償提供などと眠いことをしている
      子会社のジャパンネット銀行はデフォルトでワンタイムパスワードだというのに・・・。

      • by Anonymous Coward on 2012年10月28日 19時56分 (#2261001)

        保険料みたいなものかと。月105円の掛け捨てです。
        ちなみに、ポイントパックに入っていて、毎月ポイントが貯まるようなことをしていたら、ポイントで使用料を払えます。

        Two-factor authenticationにすらなっていない銀行、信用金庫は結構あるので、それに比べると有料でもサービスを提供してくれるだけありがたいとおもいます。三井住友は生体認証、two factor authなど最新のセキュリティ技術を導入した日本で最初のメガバンクだと思うので、そういうところで信頼しています。

        ちなみに、三大都市銀行のOTPの価格、対応時期、方式はこんな感じです。
        三井住友: 費用: 初回 1,050円、105円/月 開始: 2006年2月*1 ハードウェアトークン(RSA,The Security Division of EMC)
        みずほ: 費用: 2,100円/5年 開始: 2008年03月*2 ハードウェアトークン(VASCO Data Security International) *3
        東京三菱UFJ: 費用: 0円? 開始: 2012年02月12日 6digitトークンをメール送信*4 (実証実験開始: 2006年春 / キャッシュカード内蔵 *5)

        *1 http://www.smbc.co.jp/news/j600034_01.html [smbc.co.jp]
        *2 http://www.mizuhobank.co.jp/company/release/2008/pdf/news080219_1.pdf [mizuhobank.co.jp]
        *3 http://itpro.nikkeibp.co.jp/article/NEWS/20070222/263016/ [nikkeibp.co.jp]
        *4 http://direct.bk.mufg.jp/info_news/20111220_onetimepw/index.html [bk.mufg.jp]
        *5 http://www.dnp.co.jp/news/1189558_2482.html [dnp.co.jp]

        ジャパンネット銀行が無料でハードウェアトークンを配ったのはスパイウェアによる送金問題が取り沙汰されたからかと思います。
        http://internet.watch.impress.co.jp/cda/news/2005/07/13/8395.html [impress.co.jp]

        世の中ある程度の保険料をかけても安全性を保ちたい人はいますよ。生体認証の登録料は昔1,050円かかっていましたが、これだと1日に1,000万円までおろせるようになるので、まぁ、そういうお金を動かしている人が使うものだと思いました。

        親コメント
      • by Anonymous Coward

        ジャパンネット銀行って口座維持費はかからないのか?
        ワンタイムパスワードのトークンを全ユーザに無償で配布するって結構なコストがかかると思うんだが。

  • 報じられ方も問題在るけど、悪質な手口が大杉。

    • 事件が成立してるかどうかは知らないけど、県警のお知らせメールを受信してると、少なくとも複数の県で振り込め詐欺事案は今でも相当発生してることがわかる。
      だからインターネットバンキングをやってる年寄りを標的にする必要性はまだ低い。
      通帳と判子を使わない銀行手続にまだまだ不安感を持っているお年寄りは多いしね。

      ただ、振り込み詐欺の成功率が落ちる将来を見越して、インターネットバンキングに方向転換を図っている輩がいても不思議ではない。
      その被害に遭うのは歳をとった私等の世代だと思うよ。

      親コメント
    • by Anonymous Coward

      悪質な手口なのは認めるが、正直、2ch(2chに限らないが)で怪しげなソフトをDLしてPC乗っ取られても、自業自得であんま同情心は起きないんだがなあ。

      まあ、サイト閲覧だけで仕込まれるとかもあるけど、ウイルス対策やFWしてない人ほんと多いし、それすらしないで人のせいとか誤認逮捕ってのもなあ。

      ネットは無法地帯だという認識が必要なのかもしれないね。

      • by Anonymous Coward on 2012年10月28日 17時15分 (#2260913)

        他人の不幸を「自業自得」でかたづけちゃうような人は
        自分は知識も備えもあるから悪徳商法に引っ掛からない、と、思い込んでいる人で
        罠に引っ掻ける側からするとカモなんだそうです。

        御注意ください。

        親コメント
      • >ウイルス対策やFWしてない人ほんと多いし、それすらしないで人のせいとか誤認逮捕ってのもなあ。

        騒動になった遠隔操作ウイルスは、ウイルス対策やFWしてあっても防げなかったのでは?
        各ベンダーが対応したのは後からですし

        --

        ψアレゲな事を真面目にやることこそアレゲだと思う。
        親コメント
      • Re: (スコア:0, すばらしい洞察)

        by Anonymous Coward

        まず、怪しいか怪しく無いかの判断が出来ないんですよ。
        慣れてる人なら常識的として信頼できるサイトでも分からない人には分からないから、全てを警戒して何もしないか、一切無警戒でノーガードになってしまう。
        Surface(RTの方)みたいに審査済のアプリしか入らないWindowsマシンはやはり必要でしょう。

        • 2chでよくある「嘘を嘘だと見抜ける人でないと...」のもじりですが、「危険を危険と見抜ける人じゃないと、インターネットを使うのは難しい」ということでは?

          だからといって、インターネットを使うのを免許制にしようとは思いませんが。
          要は自転車みたいなものでしょう。子供でも免許なしで乗れるけれど、交通ルールを教える機会が定期的にあって注意喚起しますよね。

          親コメント
    • 常駐してるならずっとこっそりと情報収集し続けていればいいのに、
      わざわざ表に出てきて感染していることがわかりやすくなっている。
      悪質とは言い切れないのではないか?

      • by NOBAX (21937) on 2012年10月28日 17時53分 (#2260939)
        合言葉や確認番号は振込の時にランダムに指定されるから
        こっそり情報収集じゃダメなんだよ。
        親コメント
      • マルウェアとして当該PCに常駐して、ブラウザの挙動を乗っ取る、なんてことしてるなら、
        もっとひっそりといくらでもまずいことができそうな気がするよなぁ……

        というか、その手のマルウェアなんて、わりと昔からよく騒がれてたはず。

        あえて、わざわざポップアップ出してユーザに入力させるってのは、
        通常の画面での入出力をジャックするだけじゃ不足な情報があるから、
        専用の入力でそれを収集したい、とか、そういうことなのかな?

        親コメント
        • by hahahash (41409) on 2012年10月28日 16時11分 (#2260889) 日記

          ちょっと追ってみた。

          スクショ見ると、ゆうちょは合言葉、三菱東京UFJは乱数表(全部)を入力させるようだ。

          ゆうちょの場合、
          http://www.jp-bank.japanpost.jp/direct/pc/security/dr_pc_sc_riskbase.html [japanpost.jp]
          普段と違う環境でアクセスしたときとかに、合言葉を聞いてくる。

          三菱東京UFJの場合、
          http://direct.bk.mufg.jp/secure/index.html [bk.mufg.jp]
          普段と違う環境からのアクセスのときは、メールで送るワンタイムパスが必要。
          で、登録情報の変更等を行う時に、カードの乱数表の入力が必要らしい。
          乱数表入手>メールアドレス追加>ワンタイムパスワードゲット! って流れかな?

          三井住友は画面ないからよくわからんけど、まあ、似たようなことだろう。

          キーロギングやセッションジャックでIDとパスワードが漏れちゃっても、
          それだけじゃアクセスできないような仕組みが導入されている。
          でも、このポップアップで収集した情報があれば、それを突破できるぜ、ってことだね。

          親コメント
        • > 通常の画面での入出力をジャックするだけじゃ不足な情報があるから、
          > 専用の入力でそれを収集したい、とか、そういうことなのかな?

          資金を移動するために,二要素認証 (乱数表とか) の情報を入力させたいのではないでしょうか.
          攻撃者としては乱数表を全部入力させるのが理想ですが,怪しまれるでしょうし,セキュアトークンには対応できません.

          ID/パスワードの情報は盗聴で得られる (あるいはセッションを乗っ取ればいい) から,バックグラウンドで振り込みの取り引きを進めることは可能です.
          振り込みの最後の認証操作 (乱数表の一部を入力するとか,セキュアトークンに表示された文字列を入力するとか) だけを利用者にやらせれば,資金を攻撃者の好きなように動かせますね.
          親コメント
          • 推測しなくても,MUFGとSMBCのサイトに「乱数表の数字」「暗証カード」と書かれていましたね.
            http://www.bk.mufg.jp/info/phishing/ransuu.html
            http://www.smbc.co.jp/security/popup.html

            # ああ,アホなことをIDで書いてしまって恥ずかしい.
            ## しかも,後半不要だったし.
            親コメント
      • by Anonymous Coward

        だよねえ。遠隔操作できるならキーロガーも仕掛けられるし、別にそんなことしなくても画面転送すればいくらでも情報は素抜けると思うんだが。

  • by Anonymous Coward on 2012年10月28日 14時03分 (#2260813)

    なんだか陽気な海賊の歌っぽくていいですね。
    小さなバンキング~♪

  • by Anonymous Coward on 2012年10月28日 14時22分 (#2260826)

    本物のサイトを訪問したタイミングで、偽ポップアップを発生させるウイルスが出回ってるって理解で正しいの?

    物騒な世の中になったな。ダマされる前に、欺せって気にもなるわな。

typodupeerror

海軍に入るくらいなら海賊になった方がいい -- Steven Paul Jobs

読み込み中...