各銀行のネット/テレホンバンキング、ここが危ない
1 :名無しさん:
インターネットバンキングの安全性を語るスレ第二弾です。
各銀行(郵貯も含む?)のセキュリティの脆弱性をリストアップしていくことで
現状のネットバンキングの問題点、リスクの回避方法などの論点を整理していきましょう。
前スレでテレホンバンキングの話題も出ており、併せて検討していきたいと思います。
前スレ
各銀行のインターネットバンキングって大丈夫?
http://money4.2ch.net/test/read.cgi/money/1047051136/
各銀行(郵貯も含む?)のセキュリティの脆弱性をリストアップしていくことで
現状のネットバンキングの問題点、リスクの回避方法などの論点を整理していきましょう。
前スレでテレホンバンキングの話題も出ており、併せて検討していきたいと思います。
前スレ
各銀行のインターネットバンキングって大丈夫?
http://money4.2ch.net/test/read.cgi/money/1047051136/
|
|
|
ここで2getしてても仕方ないのかな…
>>1
勝手にスレタイ変更しちゃっていいの?
勝手にスレタイ変更しちゃっていいの?
4 :名無しさん:2005/08/03(水) 23:54:59 0
どうやら前スレで一応結論のようなものだ出ましたね。
まとめると、紙の認証カードを発行するような貧乏銀行からは
預金を全部引き出したほうが良いって事ですかね。
しかも、紙の認証カードのうえに乱数表も用意してない
セキュリティー意識の欠ける銀行も有るようです。
最悪ですね....プゲラ
まとめると、紙の認証カードを発行するような貧乏銀行からは
預金を全部引き出したほうが良いって事ですかね。
しかも、紙の認証カードのうえに乱数表も用意してない
セキュリティー意識の欠ける銀行も有るようです。
最悪ですね....プゲラ
5 :ネットバンクで1600万円が突然消える:2005/08/04(木) 00:58:56 0
http://arena.nikkeibp.co.jp/trend/zoom/20030408/104344/
突然、自分の口座から1600万円が消えた――。警視庁ハイテク犯罪対策総合センターと中央署は2月6日までに、
2名の会社員を不正アクセス禁止法違反で逮捕した。彼らは都内を中心に100カ所以上のインターネットカフェに
「キーロガー」と呼ばれる特殊なソフトを仕掛け、第三者が使うインターネットバンキングのIDやパスワードを不正入
手。米大手銀行「シティバンク」のネットバンキングに不正アクセスして、約1600万円を架空名義の自分の口座に
振り込んだ疑いを持たれている。
実はだれでもできる犯罪
知識豊かな本誌読者なら、そういった危険を100%否定できないネットカフェで、無防備に銀行口座のIDとパスワー
ドなど入力しないはずだ。しかし、ネットバンキングの利用者すべてがセキュリティに詳しいとは限らない。パソコン
初心者の顧客も抱える銀行とネットカフェは、危機管理意識が甘くなかったか。実は今回の事件は、ネットカフェ
や銀行の対応次第で、十分に防げたのだ。
事件の手口を検証してみよう。今回の事件でネットバンキングのIDとパスワードの不正入手に使われた「キーロガー」。
特殊なソフトとは別段いい難く、実はネット上でだれでも入手できる。機能は単純で、システムに常駐してキーボード
を監視し、入力した文字をすべてテキストファイルにログとして保存する。タスクトレイの常駐アイコンを消すこともでき、
よほど注意しないと利用者はまず気付かない。また、コンピューターウイルスではないため、通常のウイルス対策ソフト
では発見できない。
まず、犯人はこのキーロガーを都内100カ所以上のネットカフェに仕掛けた。ネットカフェの利用者はそんなソフトが
潜んでいることも知らず、メールの閲覧、ネットバンキング、ネットショッピングなど、パスワードを伴うさまざまな作業を
してしまう。ころ合いを見計らって、犯人は再度ネットカフェに出向き、キーロガーが集めたログを回収してIDやパスワ
ードを入手。ネットバンキング利用者になりすまして不正にアクセスし、自分が作った別銀行の架空口座にお金を振り
込み、ATMから引き出した。
突然、自分の口座から1600万円が消えた――。警視庁ハイテク犯罪対策総合センターと中央署は2月6日までに、
2名の会社員を不正アクセス禁止法違反で逮捕した。彼らは都内を中心に100カ所以上のインターネットカフェに
「キーロガー」と呼ばれる特殊なソフトを仕掛け、第三者が使うインターネットバンキングのIDやパスワードを不正入
手。米大手銀行「シティバンク」のネットバンキングに不正アクセスして、約1600万円を架空名義の自分の口座に
振り込んだ疑いを持たれている。
実はだれでもできる犯罪
知識豊かな本誌読者なら、そういった危険を100%否定できないネットカフェで、無防備に銀行口座のIDとパスワー
ドなど入力しないはずだ。しかし、ネットバンキングの利用者すべてがセキュリティに詳しいとは限らない。パソコン
初心者の顧客も抱える銀行とネットカフェは、危機管理意識が甘くなかったか。実は今回の事件は、ネットカフェ
や銀行の対応次第で、十分に防げたのだ。
事件の手口を検証してみよう。今回の事件でネットバンキングのIDとパスワードの不正入手に使われた「キーロガー」。
特殊なソフトとは別段いい難く、実はネット上でだれでも入手できる。機能は単純で、システムに常駐してキーボード
を監視し、入力した文字をすべてテキストファイルにログとして保存する。タスクトレイの常駐アイコンを消すこともでき、
よほど注意しないと利用者はまず気付かない。また、コンピューターウイルスではないため、通常のウイルス対策ソフト
では発見できない。
まず、犯人はこのキーロガーを都内100カ所以上のネットカフェに仕掛けた。ネットカフェの利用者はそんなソフトが
潜んでいることも知らず、メールの閲覧、ネットバンキング、ネットショッピングなど、パスワードを伴うさまざまな作業を
してしまう。ころ合いを見計らって、犯人は再度ネットカフェに出向き、キーロガーが集めたログを回収してIDやパスワ
ードを入手。ネットバンキング利用者になりすまして不正にアクセスし、自分が作った別銀行の架空口座にお金を振り
込み、ATMから引き出した。
6 :ネットバンクで1600万円が突然消える:2005/08/04(木) 01:00:14 0
無力だったIDとパスワード
一方、銀行側のセキュリティに問題はなかったのか。
実は今回の事件、シティバンクが「乱数表」と呼ばれる認証手段を採用していれば、未然に防ぐことも可能だった。
乱数表は、利用者ごとに異なる数字が書かれた表で、申し込み時に利用者に配られる。乱数表を採用しているネット
バンキングの場合、利用者はIDとパスワード以外に、指定された乱数表の数字を入力しなければ認証されない。乱
数表を基に入力する数字は毎回異なるため、仮に犯人が回収したログに乱数表の数字が残っていても、それを不
正アクセスに使える可能性は格段に低くなる。
つまり、今回の事件が教えてくれるのは、「IDとパスワード」という従来の認証システムの無力さ。これは銀行側も認
めている。国内のネットバンキングに問い合わせたところ(下の表)、乱数表を使う銀行は「うちでは起こり得ない」、ID
とパスワードだけの銀行は「起こる可能性は否定できない」と、はっきり回答が分かれた。
事件後、「不特定多数が利用するネットカフェなどからの利用はお勧めできない」といった注意書きをネットバンキン
グのサイトで見かけるが、遅きに失した感は否めない。当編集部から本件について問い合わせた当初、「当社は128
ビットのSSL暗号化だから安全」などと見当違いの回答をしてきた銀行もあった。パソコン利用者を取り巻く環境につ
いて、認識が甘いといわざるを得ない。
事件発生後、シティバンクでは、事前に書面で申し込んだ指定振込先(36件まで)以外に振り込めないようシステム
を変更した。被害者のM.Tさんによると1600万円は銀行側が補償してくれたそうだが(シティバンクはノーコメント)、
もしそうだとしても特例と心得るべきだ。同じような事件が起こり得るネットカフェや銀行に改善を期待する一方で、ユ
ーザー自身にも危機管理意識の徹底を望みたい。
7 :ネットバンクで1600万円が突然消える:2005/08/04(木) 01:09:38 0
銀行名 ログイン時のセキュリティ 出金時のセキュリティ 不正アクセス被害保険
UFJ銀行 契約者番号+パスワード 乱数表 なし
アイワイバンク 契約者番号+パスワード 乱数表 なし
イーバンク 口座番号+パスワード パスワード(ログイン時と変更可能)年間1口座当たり300万円まで(申し込み不要)
シティバンク 口座番号+契約者番号+パスワード なし なし
ジャパンネット 口座番号+パスワード 乱数表 なし
新生銀行 口座番号+暗証番号(キャッシュカードと同一)+パスワード なし なし
ソニー銀行 口座番号+パスワード パスワード(ログイン時と変更可能)、合い言葉(全3通り) なし
東京三菱銀行 契約者番号+パスワード+乱数表 パスワード(ログイン時と同一) なし
三井住友銀行 契約者番号+パスワード 乱数表 なし
みずほ銀行 契約者番号+パスワード パスワード(ログイン時とは別) 年間1口座当たり100万円まで(申し込み不要)
ゆうちょ 契約者番号+パスワード パスワード(ログイン時とは別) 年間1口座当たり100万円まで(年会費350円申し込み必要)
りそな(旧あさひ) 契約者番号+パスワード パスワード(ログイン時と変更可能) 年間1口座当たり300万円まで(申し込み不要)
りそな(旧大和) 契約者番号+パスワード+乱数表 パスワード(ログイン時と同一) なし
UFJ銀行 契約者番号+パスワード 乱数表 なし
アイワイバンク 契約者番号+パスワード 乱数表 なし
イーバンク 口座番号+パスワード パスワード(ログイン時と変更可能)年間1口座当たり300万円まで(申し込み不要)
シティバンク 口座番号+契約者番号+パスワード なし なし
ジャパンネット 口座番号+パスワード 乱数表 なし
新生銀行 口座番号+暗証番号(キャッシュカードと同一)+パスワード なし なし
ソニー銀行 口座番号+パスワード パスワード(ログイン時と変更可能)、合い言葉(全3通り) なし
東京三菱銀行 契約者番号+パスワード+乱数表 パスワード(ログイン時と同一) なし
三井住友銀行 契約者番号+パスワード 乱数表 なし
みずほ銀行 契約者番号+パスワード パスワード(ログイン時とは別) 年間1口座当たり100万円まで(申し込み不要)
ゆうちょ 契約者番号+パスワード パスワード(ログイン時とは別) 年間1口座当たり100万円まで(年会費350円申し込み必要)
りそな(旧あさひ) 契約者番号+パスワード パスワード(ログイン時と変更可能) 年間1口座当たり300万円まで(申し込み不要)
りそな(旧大和) 契約者番号+パスワード+乱数表 パスワード(ログイン時と同一) なし
8 :名無しさん:2005/08/04(木) 23:16:45 0
>>5
彼だって、すんなりシティがお金を返してくれたわけではない。
とにかく、警察に被害届を出してくれない。
警察に届けるも、シティバンクが出さないとどうしようもないと門前払いの警察。
シティからは自演さえ疑われて、ひどい扱いを受ける。
資金繰りで、シティに相談したら、高金利ローンを勧められるなどなど
業を煮やした本人がホームページを立ち上げ今までのやり取りを晒した。
2chのシティバンクスレでも話題になり、そのせいかどうか知らないが
シティバンクの態度も変わり、やっと警察に被害届を出して、その結果
「運良く」犯人が警察に捕まる。
それらの顛末はホームページにちくいち書いてあったが、残念なことに彼はその後引っ込めた。
シティバンクとの何らかの取り引きがあったんだろう事は疑いがない。
それ以降、シティバンクは都度振り込みを完全廃止、非常に不自由な銀行になって今に至る。
もし、彼がホームページでシティバンクを糾弾せず、しかも「運良く」犯人がネットカフェの
防犯カメラに写っていなければ、彼の1600万も戻ってこなかったに違いない。
彼だって、すんなりシティがお金を返してくれたわけではない。
とにかく、警察に被害届を出してくれない。
警察に届けるも、シティバンクが出さないとどうしようもないと門前払いの警察。
シティからは自演さえ疑われて、ひどい扱いを受ける。
資金繰りで、シティに相談したら、高金利ローンを勧められるなどなど
業を煮やした本人がホームページを立ち上げ今までのやり取りを晒した。
2chのシティバンクスレでも話題になり、そのせいかどうか知らないが
シティバンクの態度も変わり、やっと警察に被害届を出して、その結果
「運良く」犯人が警察に捕まる。
それらの顛末はホームページにちくいち書いてあったが、残念なことに彼はその後引っ込めた。
シティバンクとの何らかの取り引きがあったんだろう事は疑いがない。
それ以降、シティバンクは都度振り込みを完全廃止、非常に不自由な銀行になって今に至る。
もし、彼がホームページでシティバンクを糾弾せず、しかも「運良く」犯人がネットカフェの
防犯カメラに写っていなければ、彼の1600万も戻ってこなかったに違いない。
9 :名無しさん:2005/08/07(日) 08:38:52 0
郵貯インターネットホームサービスでは、
パスワードに英小文字を使えない!
かなり脆弱ではないのか!
(パスワードの組み合わせ数)
8文字(英小文字不可) 36^8=約2兆8千億通り
7文字(英小文字可) 62^7=約3兆5千億通り
12文字(英小文字不可) 36^12=約470京通り
11文字(英小文字可) 62^11=約5200京通り
パスワードに英小文字を使えない!
かなり脆弱ではないのか!
(パスワードの組み合わせ数)
8文字(英小文字不可) 36^8=約2兆8千億通り
7文字(英小文字可) 62^7=約3兆5千億通り
12文字(英小文字不可) 36^12=約470京通り
11文字(英小文字可) 62^11=約5200京通り
10 :名無しさん:2005/08/08(月) 16:39:36 0
<修学社>2億円、無関係口座へ振込み ネットバンキングで
またMか
またMか
おいおい、これで「乱数表じゃなかったから」なんて理由だったら、笑っちゃうぜ。
12 :名無しさん:2005/08/09(火) 18:08:04 0
>>9
ていうかデフォが小文字入力なので一々切り替えるのがめんどい
ていうかデフォが小文字入力なので一々切り替えるのがめんどい
香港上海銀行
2005年4月より、セキィリティ強化のため、インターネットバンキングのLOGIN時に
6桁の乱数を自動的に表示するセキュリティ・デバイスを使用することになりました。
2005年4月より、セキィリティ強化のため、インターネットバンキングのLOGIN時に
6桁の乱数を自動的に表示するセキュリティ・デバイスを使用することになりました。
14 :名無しさん:
/ ̄⌒⌒ヽ
| / ̄ ̄ ̄ヽ
| | / \|
.| | ´ ` |
(6 つ / フグタ君、みずほに申し込んだけど乱数表なかったよ.....orz
.| / /⌒⌒ヽ
| \  ̄ ノ
| / ̄