« 住基カード偽造で携帯電話千台だまし取る | トップページ | 国会・速記からパソコン入力に »

2008.01.06

ネットバンキングの弱点は公表するべし

サンケイ新聞より「ネットバンキングであわや被害 海外サーバー経由で追跡に限界

京都市内の男性が昨年、ネットバンキングで預金を引き出されそうになる事件があり、京都府警が捜査したところ、海外のサーバーを経由して何者かが男性になりすまして別口座に預金を送金、現金引き出し役を不特定多数に送ったメールでスカウトするなど、巧妙な偽装工作が行われていたことが分かった。

国境の壁にも阻まれて犯人の正体はつかめないままで、府警幹部は「ネットバンキングは利便さの裏側で国際的な犯罪集団の標的にされている」と警鐘を鳴らしている。

調べでは、被害者は京都市在住の会社社長の男性。昨年3月に預金口座の残高が数百万円も減っていることに気づき、府警に相談。何者かが男性のIDとパスワードでネットバンキングにログインし、預金を別口座に振り込む手続きをしていたことが分かった。

振込先の口座の捜査から、東京都内に住む外国人留学生らが現金を引き出そうとしていたことが判明。
留学生らは海外の見知らぬアドレスから引き出し役を募集するメールが送りつけられたといい、任意の事情聴取に対し、「依頼者の正体は知らないが、報酬を約束されて引き受けた」と話した。犯罪の認識がなく逮捕は見送られた。

一方男性のパソコンは、保存された情報を勝手に外部に送る「トロイの木馬」系ウイルスに感染しており、ネットバンキングのIDが海外サーバーに送信されていた。

犯人は、ネット接続中の他人のパソコンに侵入して一時的に乗っ取っては次のパソコンに侵入することを繰り返し、最終的に盗んだ男性のIDでネットバンキングにログインしたとみられる。経由されたパソコン所有者は「犯罪に悪用されたことに全く気づかなかった」と話したという。

府警は外国人の関与を疑っているが、複数のパソコンを経由して犯人までたどるのは極めて困難。
犯人がどの国に拠点を置くか、グループか単独犯かも不明という。ネット上の解析で引き出し役の勧誘メールは膨大な数が発信されたことを確認しており、今回は氷山の一角とみられる。
男性は実際に振り込みが行われる銀行の営業日までに気づき、現金被害はなかったという。

京都府警幹部は「関係国に捜査員を派遣したいが、捜査権がない海外では限界がある」とし、「通信を記録したログの保存期間はプロバイダー任せになっていて、短いことが多い。内偵に数カ月かかる場合、ログが消去され犯人を追跡できないことがよくある」と、現状での捜査そのものの限界も指摘している。

恐ろしいですね。リモートアクセス状態になっていたのかな?

サンケイ新聞は続けて「ネットバンキング犯罪、倍々ペースで増加」を書いています。

ネットバンキングを狙った犯罪はここ数年、倍々ペースで急増しており、銀行はセキュリティー強化を図る一方、政府は国境を越えた通信ログの証拠保全などが可能になるサイバー犯罪条約の締結を目指すなど、対策を急いでいる。

ネットバンキング犯罪をめぐり、金融庁が金融機関から被害報告をまとめた結果によると、年度統計を取り始めた

平成17年度49件
18年度103件
19年度は上半期だけで137件

に達しており、前年度から2倍以上にのぼることはほぼ確実となっている。

サイバー犯罪条約は加盟国の間で国境をまたいだ通信ログの保全や差し押さえ、通信傍受などが可能になるため、増え続けるネット犯罪を取り締まるハイテク捜査の大きな武器になると期待される。一方、通信の秘密やプライバシーが侵害される懸念もあるが、国内では締結に必要な国内法の整備が進んでいない。

こうした状況に対し、都銀などの金融機関は利用者に個別の乱数表を渡し、振り込みなどの際にパスワードとは別に乱数表に基づく数けたの数字を入力させたり、ログインする度にパスワードが変化する方法を導入したりするなど、セキュリティー強化を進めている。

サイバー犯罪に詳しい甲南大学法科大学院の園田寿教授(刑法、情報法)は「ネットバンキングは今後さらに普及するだろうが、銀行のセキュリティーが強固になっても、利用者側がIDやパスワードを盗まれては元も子もない。パスワードなど重要な情報を保存したファイルはロックをかけるなど、利用者の意識向上も重要」と指摘する。

本当に倍々で増えてますね。

サイバー犯罪条約は国内法の整備にどうしても躓きますから、現実的に有効に機能するためには「国際警察」のようなものが必要になるのじゃないでしょうか?
冗談抜きでEEスミスの「銀河パトロール隊」になってしまいますが・・・・・。

銀行も「自宅で簡単に」としか言わないのは問題だと思いますね。
現実に「PCが壊れた」「不調だ」という相談が来たり見たりしているわけで、そういう危なっかしい機械にお金の管理を任せること自体が問題だし、銀行が言う「自宅で簡単」は「自宅に銀行並みに管理されている機械を用意しろ」だからちっとも簡単じゃないと思うんですがねぇ。

やはり、どうしてハッキングされたのかは、警告の意味も含めて「どの銀行のどういうシステムの、どの弱点を突かれた」と公表するべきだと考えます。
それによってその銀行の評価は一時的には下がるでしょうが、対策が進歩するし、ユーザも進歩する。
結果的によりセキュアーになると思いますから、やはり公表するべきです。

1月 6, 2008 at 12:52 午前 セキュリティと法学, 事件と裁判 |

トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/2299/17592722

この記事へのトラックバック一覧です: ネットバンキングの弱点は公表するべし:

コメント

>どの銀行のどういうシステムの、どの弱点を突かれた

 同感。ネットバンキングによって認証はぜんぜん違いますから。知ってる範囲内で書きます。
・新生銀行
 口座番号とログインパスワードで入る。振込み処理や投信購入などの金の動く操作には、暗証番号にくわえて、契約者に配布された乱数表による暗号入力を必要とする。このため、トロイの木馬だけでは、ログインしかできず、せいぜい個人情報を取得するぐらいが関の山。
・イーバンク銀行
 口座番号とは別にログインIDが設定されている。IDとログインパスワードを入力すると、4桁のワンタイムパスワードが携帯ないしPCのメールアドレスに送られる。一定時間内にこれを入力して、ようやくログイン完了。
 さらに、金を動かす操作をしようとすると、キャッシュカード暗証番号に続く別の長いパスワードが必要で、到底憶えきれない(笑)
 しかも、この銀行は、アクセスするプロバイダを認識しており、別プロバイダからのアクセスは受け付けない。携帯電話のIDも登録されていて、他人の携帯ではネットバンキングはできない。
 キャッシュカードからの引き出しは、引き出し限度額や可否だけでなく、引き出せる時間帯、地域までが指定可能。
 ダメ押しとして、不正使用された場合の補償制度がある。ネットバンキング300万円、キャッシュカード100万円。まさに鉄壁の防御である(笑)
 但し、これらのセキュリティの大半は、利用者の自由で、設定しないで使うこともできるので、利便性を重視する人はセキュリティの程度を緩めることができる。そのかわり、補償限度額は下がる。

投稿: Inoue | 2008/01/06 7:48:11

・トヨタFS証券
 一番多くの金を突っ込んでいるのに、一番セキュリティが甘くて困っている。
 IDとパスワードで入るのは当然として、その後、金を動かす操作をするには、キャッシュカードの4桁の暗証番号で足りてしまう。
 出金銀行口座の変更も、たった4桁の暗証番号でできてしまうので、トロイの木馬でログインして、そいつの個人情報から暗証番号を類推すれば、出金口座を架空口座へ変更して出金できる。
 1日取引限度額の設定もないから、キャッシュカードと暗証番号を手に入れれば、MRF(証券の普通預金みたいなもの)から無限に出金できてしまう。

 大半のネット銀行には備わっている、取引処理を携帯メールで自動通知する機能もないから、不正使用を早期に検知することもできない。

 誰か、セキュリティの固い証券会社知ってたら教えてください(笑)

投稿: Inoue | 2008/01/06 7:56:48

コメントを書く