ネット銀行から不正送金、Winny媒介トロイが原因か 40
ストーリー by Acanthopanax
いずれにせよ注意 部門より
いずれにせよ注意 部門より
jbeef曰く、"22日の毎日新聞の記事によると、今月17日、50万円を不正に送金されたとの被害報告がジャパンネット銀行にあった。被害者は、パスワードなどをファイルに記録して保管したパソコンでファイル交換ソフトを使用していたといい、ファイル流出が原因でパスワードを窃用されたのではないかと推測されている。同じ事件を朝日新聞も伝えている。毎日新聞によると、これまでにWinnyの「暴露ウイルス」で流出していたファイルの中には、ネット銀行の本人認証情報も多数あったといい、不正送金の危険性が指摘されていたのだそうだ。
ジャパンネット銀行は18日、「パスワード・暗証番号・IDカードの管理は厳重に行ってください」という注意喚起文を発表している。この中で同行は「ファイル交換ソフトを利用する場合、環境設定には十分にご注意ください」としているが、はたして環境設定で防止できるものなのだろうか?"
Winnyの技術が出版された今、 (スコア:2, おもしろおかしい)
しかし、そういうものを作るより普通にWinny使った方が楽そうか。
# Winny内蔵暴露ウィルスActiveXとか出来たら怖いけど
# 日本最強のボットネットという見方も出来る
しかし、キンタマウイルスの言い換えとしては暴露ウイルスという言葉はどうなんだろう。
いっそのこと、繋げてキンタマ暴露ウイルスとでも呼べばいいんだろうか。
そもそも… (スコア:2, すばらしい洞察)
Winny等のP2Pファイル共有ソフトに限った事ではないけれども、現実世界で拾い食いをすれば腹を壊すリスクがあることは誰にも理解できるのに、
PCの利用の上でそのリスクを軽視している人が多すぎる気がする。
Re:そもそも… (スコア:5, すばらしい洞察)
P2Pの類を使っている友人にいろいろインタビューしたところによると、リスクを軽視しているという人よりもリスクに気が付いていない人のほうがはるかに多いようですよ。
逆に気が付いている人はWinny専用マシンを構築するなどして、対応のレベルは違えどほぼ例外なく何らかの対策を取っているようです。
なぜこのような状態になったのかも調査してみましたが、Windowsを使っているユーザにとって脆弱性の情報やそれに伴うパッチはPCまたはソフトウエアメーカーから与えられるものであり、ユーザはただ単に指示を待っているか放っておけばメーカーが何とかしてくれる、という既存の資本主義モデルの常識に囚われている人が多いようです。
今回の場合Winnyはフリーソフトウエアであって資本力のあるサポートを提供していない(できない)ばかりか、刑事裁判の影響でソースコードを占有する作成者が積極的な情報や修正を提供しにくく、かつP2Pという大きな点がある結果HOWTO本の類などが豊富に提供されていて利点の部分のみが大きく強調されて伝わっている、という原因があるようです。
Winny裁判がどのような判決になるのか解りませんが、裁判所が新しい判断を示して作成者ならびにWinny関連本を出版した出版社に対して、Winnyの暗部 (リスク) を詳細に記述した書籍を作成させ、それらをPC販売店や書店で無料配布させて周知させる刑をとるでもしないと永遠に問題の解決には到らないでしょうね。(WIN32が使われなくでもなれば話は別ですが)
Re:そもそも… (スコア:1, 興味深い)
・・・なんか意外といけそうな気がする(--;
Re:そもそも… (スコア:1, 参考になる)
VMwareは知りませんけどVPCはデスクトップに仮想マシンへのショートカットが置けるのでレジューム起動ならIE起動とほぼ同じ手数で起動できますし、速度的にも違和感はありません(AMD64 3000+環境)。
この間はSpybotで検出はできるけど削除できないSpywareがいたのですけど、復帰も簡単でした。
それでもファイル共有をやるとしたら(やってません)ハード的に別けたいなとは思うけど。
Re:そもそも… (スコア:1)
わたしも色々気を付けてはいるつもりなのですが、自分では気づいていない穴があるかもしれませんので……。
Re:そもそも… (スコア:2, 参考になる)
当時比較のため複数のブラウザをいれていて、エンジン切替型ブラウザの片側でセキュリティがデフォルト状態だったのが原因かなと思います
(確実ではないのでブラウザ名は伏せます)。
一応VirusScan+ZoneAlarmステルスモード環境で使ってはいましたが、
個人的にはVPC環境だと簡単にやり直しができるだけに心理的にガードが甘くなりがち…恥ずかしい話で。
Re:そもそも… (スコア:1)
もともとの、「ネットワーク等の違いを吸収してPeer同士が直接接続されているかのように通信できる」、という意味が薄れてしまっているような・・・。現状目に見えるサービスとして確立し、最も認知されているのがファイル共有である、というのは動かしようの無い事実ではありますが。
いえ、親コメントのACさんの議論がどうこう、というのでは決してないです。
# オフトピ気味ですね・・・
Re:そもそも… (スコア:0)
高校の校門でコンドームを配る行為をしている
ような、錯覚を覚えます。
Re:そもそも… (スコア:2, すばらしい洞察)
そうはいっても、ネット上では善意で用意された料理も
多少見映えのいい皿に乗っていても、道端に落ちているのと変わりない
手段で入手しているわけですから中々難しいと思いますよ。
見映えのいい皿を偽装(フィッシングサイト)したり、
見映えのいい皿は本物でも悪意があるシェフが作ったものだったり。 [srad.jp]
まあ、P2Pでポエムでも無い、どこかに公式サイトがあって
torrentなりWinnyハッシュの情報を公開している訳でも無い、
見るからに怪しいものを拾ってきて、あろう事か会社のデータが
入ったPCでそのまんま実行するというのは、軽視とか以前の問題ですよね。
それが警察にも蔓延っているとなれば、P2Pの技術が悪いとか
なすりつけて片付けたい人が涌いてくるのも納得できます。
本質的には拾い食いしてる人間が悪いのに、技術ばかり槍玉に上げて、
組織内の腐敗を隠蔽して責任転嫁する社会では、いつまでたっても
拾い食いが危険と認識される訳もないのですけど。
Re:そもそも… (スコア:0)
補償あるのかな (スコア:2, 興味深い)
財産が取られたなんて場合、銀行等による補償はあるんですかね。
本人に過失がバリバリにあるから補償なしと思いますが。
Re:補償あるのかな (スコア:2, すばらしい洞察)
銀行等は補償に積極的じゃありませんでしたからね。
8月にやっと偽造カード法が成立した [google.co.jp]ばかりですし。
で、補償の件ですが不用意にファイルを実行してウイルスに感染した件ですが、
それを一方的に過失として斬り捨てるのは難しいと思います。
P2Pで違法なファイルを交換していたとしても、本来それは別の違反行為です。
そして、単に匿名アップローダーから山田ウイルスに感染したり、
海外サイトでスパイウェアを踏んでいたり感染ルートは至る所にある事実。
P2P共有という手段のみ色眼鏡で見ずに、ウイルス感染という事象を
「俺だけは大丈夫」という視点抜きで考えてみる必要があるでしょう。
たしかに、P2P共有で美味しいファイルを無料でぶっこ抜き
していた人間が自業自得の目にあえばザマーミロと思うかも知れませんが、
法律としてみた時には、もう少し思慮深さが必要じゃないでしょうかね。
Re:補償あるのかな (スコア:1)
普通預金口座不正使用保険規定 [japannetbank.co.jp]
JNBには乱数表があるはずですが (スコア:2, 参考になる)
ま、乱数表をわざわざ入力したファイルを作っていたなら、弁解の余地はないですがね。
あれ? (スコア:1)
タレコミ文にもあるけど振り込みとかで使うIDカードが別にあるはずで、
それはWinnyウィルスでも内容を取得できないと思うのだが・・・
IDカードの内容までファイル化していた模様 (スコア:1, すばらしい洞察)
なんのためのIDカードなんだか・・・。
JNBの注意喚起文にはその旨の記載があります。
http://www.japannetbank.co.jp/news/general2005/attention_051018.html
ついでにいうと、JNBは私の知る限り、念入りに
セキュリティ対策を行っている事業者だと思います。
しかし全部ファイル化して保存されていると、どう
しようもありませんね。
Re:IDカードの内容までファイル化していた模様 (スコア:1, すばらしい洞察)
Re:IDカードの内容までファイル化していた模様 (スコア:1, 参考になる)
Re:IDカードの内容までファイル化していた模様 (スコア:0)
この手のカードは無料で発行維持出来るほどやすくは無いだろうし..
ただ、年間700円らしいので、特定金額以上口座に預けてる人は無料とかはやってほしいですね
ATMの使用料が無料にできるのなら出来そうな気もするけど、銀行間で相殺出来るのと、出来ない物の差かなぁ~
#モデレートまわってきてるのでAC
Re:IDカードの内容までファイル化していた模様 (スコア:1, 興味深い)
>なんのためのIDカードなんだか・・・。
こういう人、結構多いのでは?という気がします。
実は、友人宅で投資談義をしていて、投資情報を参照するために、
友人が証券会社や銀行のサイトにログインしたんですが、
なにやらテキストファイルからコピペしてログインしているのを
見てしまい、「それってもしかして口座番号とかパスワードとか、
ファイルで保存してるの?」と聞いたら「覚えきれないのでこうやってる。
入力するときもコピペすればいいから楽でしょ?」と言われて唖然とした
記憶があります。
各銀行、証券会社などごとにシステムが何もかも違うので、
覚えきれない人はこうやってしまうんでしょうかねぇ。
(暗証番号すら覚えられなくてキャッシュカードに書いちゃう人もいますしね)
パスワードの保管 (スコア:1)
それでも、金融系は一切ファイルにはなってない。
Re:IDカードの内容までファイル化していた模様 (スコア:1)
コソコソと書いてみますが (スコア:1, 興味深い)
WinMXなんかでもそうだったんですが、マイドキュメントをそのまんま共有フォルダにしちゃってる人、けっこう多いんです。
アプリケーションのアーカイブが展開された先なんかがまんま設定されちゃってるようなケースだと思うですが。
LimeWireかCabosを起動して、.docやDSC*.jpgあたりで適当に検索してみるとプライベートがダダ漏れなユーザなんかすぐに見つかると思いますよ。
Re:コソコソと書いてみますが (スコア:2, 興味深い)
で?で!?でぇえええええ! (スコア:0, 余計なもの)
「危険性が指摘されていた」 (スコア:0)
Re:「危険性が指摘されていた」 (スコア:1)
Re:「危険性が指摘されていた」 (スコア:1)
「ただより高いものなし」といった感じでしょうか
Re:「危険性が指摘されていた」 (スコア:0)
Re:「危険性が指摘されていた」 (スコア:0)
Re:「危険性が指摘されていた」 (スコア:0)
Re:「危険性が指摘されていた」 (スコア:0)
世界の中心で、
つまり、俺達の居る場所ではない。
で? (スコア:0)
あれこれ面倒なことに巻き込まれただけのことで、それ以外の人に取っては全然何でも無い訳で、そんな環境を自己責任で使っていることに帰依する話では無いのでしょうか?
真っ当なOSを真っ当な使い方をしている分には痛くも痒くも無い話ですが、そんな事例も有ると云う頃ではニュース性は有ると思います。
#OSの選択に責任を持って下さい。
Re:で? (スコア:2, すばらしい洞察)
トロイの弱点は「勝手に増えない」ということですから、その点でWinnyが多大な貢献をしていることは想像に難くありませんが、WinnyやWindowsを使っていないから安全だ、というわけではないのです。どのような環境であれ、ダウンロードという行為を行う限り、大なり小なりのトロイのリスクを背負っているわけです。
どのOSを使ってらっしゃるのかわかりませんが、「市場のシェアが低いから安全」というセキュリティモデルを考えているなら、それはそうでしょうが、そういう利便性とトレードオフな安全性はいかがなものかと思います。
Re:で? (スコア:0)
>帰依する話では無いのでしょうか?
s/帰依/起因/ では?
Re:例によって (スコア:0)
Re:例によって (スコア:0)
DLだけで逮捕しちゃったら身内からいっぱい(げふんげふん)