« 衆議院解散・独断解説 | トップページ | 衆議院解散の新聞各紙社説 »

2005.08.10

オンライン操作で2億5千万円の詐取?

IT Pro より「ネット・バンキングで無関係口座に2億5500万円振り込み被害、学習塾の修学社
学習塾「シドウ会」を経営する修学社は8月8日、何者かがネット・バンキングで同社の口座から2億5500万円を無関係の口座に振り込み、現金で引き出したと発表した。
利用していたのはみずほ銀行のネット・バンキング。パソコンは社内に設置した1台に限定しており、操作する社員も二人に限っていた。同社は「社員二人は振り込み予約が実施された時刻には、すでに社内にはいなかったので、内部犯行の可能性は低い」としており、スパイウエアなどを利用した犯行の可能性もある。
要するに、インターネットバンキングで、操作担当者と利用端末が確定してい、それを使っていないことがはっきりしている、ということなのだろうけどこれでは「インターネットバンキングは使えない」となってしまうので注目していました。そうしたら続報が「【続報】2億5500万円の不正振り込みは専用端末によるものと判明」ときました。
ネット・バンキングではなく、ホストと電話回線でつながった専用端末であることが分かった。これにより、ネット経由での不正アクセスの可能性は低くなった。
同社が利用していたサービスでは、特定のパソコンを使った上でID/パスワードによる認証に成功しなければ、振り込み操作はできない。犯人は8月1日の 22時30分に、同社が持つみずほ銀行の口座から、翌日に2億5500万円をほかの口座に振り込むよう予約手続きをしていたことが分かっている。
ネット経由での不正アクセスによるものでないとすると、内部犯行や、同社内に侵入して直接端末を操作した可能性などが考えられる。
どうも今ひとつ理解出来ないのだが、この会社は銀行とインターネットバンキングではないオンラインサービスの回線を持っていたということなのだろうか?
だとすると、それを監視記録する装置はあったのかね? 実際には何があったのだろうか?

8月 10, 2005 at 01:47 午前 セキュリティと法学 |

トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/2299/5388024

この記事へのトラックバック一覧です: オンライン操作で2億5千万円の詐取?:

» 会社から通帳と印鑑を持ち出したドロボー? トラックバック 酔うぞの遠めがね
「オンライン操作で2億5千万円の詐取?」を書いたのは8月10日で、事件は8月1日に起きていた。 オンラインで銀行から詐取というのもすごいと思ったが、塾業界にお金があるのねという事も関心した。オンラインで出し入れ出来る預貯金が億円というのがすごいと思っていたらこんな事件があった。 読売新聞より「「Z会」子会社、通帳盗まれ... 続きを読む

受信: 2005/08/22 18:23:15

コメント

>ホストと電話回線でつながった専用端末で

アナログモデムを使った無手順非同期のパソコン通信なのでは?

投稿: Inoue | 2005/08/10 4:36:20

ISDNでのDialUpってのは、まだ現役ですね。

投稿: 長田 | 2005/08/10 4:41:48

インターネットが普及する以前に、専用ソフト+専用同期手順+専用モデムで銀行ホストに接続する方式のオンラインバンキングが普及してんのよ。(最初の開発はかれこれ20年くらい前だ。)

これは専用ソフトってだけのことはあって、社員全員の給料振込みデータなんかをまとめて用意しておいて、一括予約するとか小規模事業所が使うにはいろいろ便利に出来てた。

ISDNにしろモデムにしろ特定の銀行の特定のアクセスポイントにそのつど接続するわけで、専用機器や専用ソフトが必要ってこともあり、セキュリティ的に管理が容易で今でも使ってる会社は多いってことだと思う。

投稿: alpha2 | 2005/08/10 8:45:19

 alpha2 さんがほとんど書いてしまっていますが。
 専用ソフト+専用同期手順+専用モデムだけで無く、専用端末装置を使用して・・・ってのもまだ現役らしいです。
 その専用端末装置ってのは、巨大化した電卓のような・・・と言うか、昔、株式のオンライントレード端末なんてのもあった訳ですが、似たような物です。
 1行から数行程度の英数字とカタカナのみが表示可能なモノクロLCDにテンキー、取り引きに必要な特殊キーしかついてない端末装置ですね。
 昔2年ほど在籍した会社にもありましたよ。
 これが現役なのは、理由はalpha2さんがかいたのと同じ理由で。
 この種の端末装置って、仕事に使うのはもっぱら算盤か電卓、コンピュータなんてややこしくて得体の知れない物なんか恐くて使えません・・・ってな乗りの昔の経理畑の人が抵抗無く使えるように、TVやエアコンのリモコン並みにわかりやすい作りになっているので、端末装置に物理的に侵入できれば誰でも操作できてしまうような代物です。
(今は知らんですが、銀行のカウンターの向こうで行員が使っている端末装置も実は似たりよったりとか。)
 専用端末装置は電話回線経由で銀行のホストに直結なので、セキュリティーなんてはなから頭に無かったりとか・・・そんな噂も。

投稿: craftsman | 2005/08/10 9:44:04

こういう話題は皆さん好きですねぇ(^_^;)

問題の塾会社は、現在インターネットバンキングを使っていたわけで、
最初はインターネットバンキングの問題か?と考えていたのでしょうね。
ところが追跡したら、専用オンライン端末だった。

専用オンライン端末であろうがインターネットバンキングであろうが、
ID・パスワードのたぐいを人が漏らせばほとんどのセキュリティは無効ですから、
その意味で「担当者の行動は把握している」と発表したのでしょう。

となると、担当者以外の人物がやったことになるわけで、しかも
専用オンライン端末なのだから「侵入か?」になってしまうわけで、
こんな端末の操作できる部屋というのはそれなりに物理的な例えば
部屋に鍵が掛かるとかセキュリティ対策はしているでしょうし、
会社のコメントの通り「見ていた人が居たはず」でもありましょう。

例えば、モニターテレビで監視・録画をしていたのかどうか?
こんなことが問題になりそうですが、
この会社は塾会社でしょう?個人情報保護法上もある程度の対策は
義務づけられているわけで、それがお金の面でやられてしまうのは、
それはそれで問題でしょうね。

ひょっとすると
「インターネットバンキングに移行したから、専用オンライン端末のことは忘れていた」
とかでしょうかね?

投稿: 酔うぞ | 2005/08/10 9:58:17

こーゆー話題が好き、というか学生時代にバイトでこの手のシステムの開発を都銀2行でやってたのよ。そんだけ。

最近の事情はよくしらないけど、給与振込みみたいな定型業務はインターネットバンキングには(結構難しいので)まだ移植されてないんじゃないかなぁ。逆に都度振込みみたいのは旧来のシステムでは殆ど対応してないから併用ってことになったのではなかろうか。

投稿: alpha2 | 2005/08/11 8:24:27

>こんな端末の操作できる部屋というのはそれなりに物理的な例えば
>部屋に鍵が掛かるとかセキュリティ対策はしているでしょうし、
 プレハブ貸工場の一角の事務机の上に、山になった伝票類と共に放置・・・なんてのが現実のような。
 事務机の引き出しの中(ただし、一番下のカギの掛からない大きな引き出し)なんてもうましな部類とか。

 世の中のセキュリティー意識の低さを甘く見てはいけないです。(^^;
 当座用の現金、お金の受け渡しに使う書類やハンコ等は金庫に入れてあるから大丈夫・・・とばかり、その手さげ金庫を机の上に放置してたりね。

投稿: craftsman | 2005/08/11 13:17:50

>世の中のセキュリティー意識の「低さを甘く見てはいけない」です。(^^;

いいなぁ~「低さを甘く見てはいけない」(^_^;)

セキュリティの集まりで使うことにしよう。

投稿: 酔うぞ | 2005/08/11 13:26:31

>いいなぁ~「低さを甘く見てはいけない」(^_^;)
>セキュリティの集まりで使うことにしよう。

 うーん・・・妙な所で受けてしまった。(^^ゞ
 私の仲間内では良く使われる台詞なんですが。
 もちろん、その後は全員苦笑。(^^;
 誰が言い出したか忘れちまいましたが。
 まぁ、こんなもんで権利とやかく言うような連中じゃないのでどうぞお使いください。

投稿: craftsman | 2005/08/18 10:47:45

コメントを書く