アカウント名:
パスワード:
報じられ方も問題在るけど、悪質な手口が大杉。
事件が成立してるかどうかは知らないけど、県警のお知らせメールを受信してると、少なくとも複数の県で振り込め詐欺事案は今でも相当発生してることがわかる。だからインターネットバンキングをやってる年寄りを標的にする必要性はまだ低い。通帳と判子を使わない銀行手続にまだまだ不安感を持っているお年寄りは多いしね。
ただ、振り込み詐欺の成功率が落ちる将来を見越して、インターネットバンキングに方向転換を図っている輩がいても不思議ではない。その被害に遭うのは歳をとった私等の世代だと思うよ。
悪質な手口なのは認めるが、正直、2ch(2chに限らないが)で怪しげなソフトをDLしてPC乗っ取られても、自業自得であんま同情心は起きないんだがなあ。
まあ、サイト閲覧だけで仕込まれるとかもあるけど、ウイルス対策やFWしてない人ほんと多いし、それすらしないで人のせいとか誤認逮捕ってのもなあ。
ネットは無法地帯だという認識が必要なのかもしれないね。
他人の不幸を「自業自得」でかたづけちゃうような人は自分は知識も備えもあるから悪徳商法に引っ掛からない、と、思い込んでいる人で罠に引っ掻ける側からするとカモなんだそうです。
御注意ください。
ご注意して読まなくても分かるけど、論理的に変だね、それ。
変じゃないよ。自分を賢いと思ってる人間は実は愚かだって真理をついてるだけ。
詐欺は愚か者を狙うのが基本で自分を賢いと思ってる人間は思い上がってるぶん、より引っ掛けやすいだけ。
「怪しげなソフトを利用してPCを乗っ取られてしまう行為」を「自業自得」と考える人って、むしろ自分の無知を理解して怪しげなソフトに手を出さないタイプだと思うけれどなあ。少なくとも、怪しげなソフトを利用する人よりは利用しない人の方が詐欺に引っ掛け辛そうだよね。
色々削ぎ落としてまとめると、危険な行為に対して「自業自得」と指摘した人の方が、危険な行為に引っ掛かりやすい、とする論理がよく分からん。
そうですね。詐欺師のコメントなり手口を知らないとピンとこないかも知れません。
「愚者は経験に学び、賢者は歴史に学ぶ」という言葉があります。新手の犯罪が報道された時、経験しなくてすむよう自衛するのは賢者ですが、騙されるほうが悪いと歴史を蔑ろにするのは愚の骨頂でしょう。
他人の不幸が自業自得という考え方は、被害者に責任転嫁するだけでなく、詐欺の手口までみくびっていて、先人に学ばないという意味では二重に愚かです。
と、イチャモン屋が論理も示さず何か申しております
変に噛み付いてるけど(#2260812) の文章は十分受け入れられる内容だよよく読んでみ
>ウイルス対策やFWしてない人ほんと多いし、それすらしないで人のせいとか誤認逮捕ってのもなあ。
騒動になった遠隔操作ウイルスは、ウイルス対策やFWしてあっても防げなかったのでは?各ベンダーが対応したのは後からですし
まず、怪しいか怪しく無いかの判断が出来ないんですよ。慣れてる人なら常識的として信頼できるサイトでも分からない人には分からないから、全てを警戒して何もしないか、一切無警戒でノーガードになってしまう。Surface(RTの方)みたいに審査済のアプリしか入らないWindowsマシンはやはり必要でしょう。
2chでよくある「嘘を嘘だと見抜ける人でないと...」のもじりですが、「危険を危険と見抜ける人じゃないと、インターネットを使うのは難しい」ということでは?
だからといって、インターネットを使うのを免許制にしようとは思いませんが。要は自転車みたいなものでしょう。子供でも免許なしで乗れるけれど、交通ルールを教える機会が定期的にあって注意喚起しますよね。
篠原「それにな、このインターネットにしたって、発明されたころは教習所が(ry」
冗談抜きで、全て警戒して何もしないが正しいです。私プログラマですが、ウィルスチェックに引っかからないで、利用者に被害を与えるソフトは3時間くらいで作れます。バレた時のリスクとか、そもそもやるメリットが無いから作りませんが、その程度は誰でも出来るのです。
その上で言いますが、出元不明のソフトは一切入れてはいけません。自分が、ここなら大丈夫だと思う根拠が少なからずでもないものは決して利用しないこと。これはソフトじゃなくてサービスも一緒ですね。SSL使ってないのにクレカ入れるとか、不要に個人情報取るところは信用してませんので使いません。あと、メールとかで現在のパスワード教えてくれるところとか...
>もしかして痴漢に遭うのは女が挑発するような服装をしてるのが悪いんだとか言っちゃう頭の悪い人?
それはちょっと極端だけど、外国旅行で治安の少し悪いところに行く場合は、近寄らない、目立たないカッコをする、カバンは後ろではなく前に抱えるとか普通にしますよね?そんな対策をしておけば、楽しく旅行ができる(可能性が高い)わけで、それと同じと考えればよいのじゃないでしょうか。後ろポケットに長財布刺していてスリにあったところで、気の毒ではあるがまあ仕方ないなと思うわけで・・。
治安を解決する方がより建設的だと思うのだがどうだろう。自衛は所詮その場凌ぎで、根本的な解決にならないし。実際問題として、治安がいい場所は存在するわけで、つまり不可能ではないことを意味してるんだし。世界のどこにも治安がいい場所がなく、そんなものは理想上にしか存在しないというなら自衛しないのが悪いという結論に達してもしょうがないとは思うが。
治安維持に市場原理が働かないのがいけないのです。
命ぐらいしか守る者のない貧困層にとって、現在の先進国のような治安、すなわち警察や消防・軍の体制は過剰で無駄な税負担。もし、彼らの命が脅かされたとき、来るまでに時間を要する誰かより、いつもそばにある一丁のカラシニコフの方が彼らにとって遙かに有用で確実です。逆に、自前でSPなどの警備体制を構築して守らなければならない程大量の資産を持つ富裕層にとって、常駐してくれもしない警察はあまりにも不足で、ただ金を奪うだけの木偶の坊です。更に、警察や軍・消防などが民営化されて市場原理が働けば、警備産業が活性化して経済が潤うし膨大な雇用が生まれるのは間違いありません。故に、一刻も早く日本も警察を解体し、全ての火器、兵器の所持・使用を自由化し、市場原理にまかせるべきです。そうすれば、あなたの資産価値、そしてあなた自身の命の価値に見合った警備をリーズナブルな価格で実現できるようになるでしょう。
とはなぜかガチガチの市場原理主義者でさえ言わない不思議w コストいうならここまで言えば良いのに。本来、市場原理を働かせるのにそぐわないサービスが公共サービスとして残っているわけですから、当然なのですけどね。
ネットの場合、「治安が良くなるということは言論の自由が大幅に制限されます」ということなのでそれを望むのであればホワイトリスト式のペアレンタルコントロールでも使え、となります。だからコストの問題ではなく、治安と自由の両方を望むことはできない、という問題だと思います。
アナルコキャピタリズムですね。
マレー・ロスバードや、デイビッド・フリードマンが有名ですな。
OCPのオールドマン会長 [wikipedia.org]乙です
>治安を解決する方がより建設的だと思うのだがどうだろう。まあ、それもあるけど、現状では自衛せざるを得ない状況下で、自衛していないのもどうかと思う。両面から収斂させていけばよいのじゃないでしょうか。
君子、危うきに近寄らずという言葉は知らないの?
> 君子は間違っても被害者に「同情できない」なんて言わないでしょうよ。
君子はこういうスレッドに近寄らない?
# なんだそりゃ?
痴漢に狙われやすい恰好や行動を指摘しているだけなのにその指摘を痴漢の擁護と受け取り痴漢が悪いんだろ被害者はまったく悪くない、と反応する頭の悪い人?
痴漢被害と服装には大した関係はありませんから、こじつけるのはやっぱりバカの証拠だと思いますよ扇情的な服装が痴漢を誘発しないとまでは言いませんけどね、矛先がその人に向くかどうかは別の話です
常駐してるならずっとこっそりと情報収集し続けていればいいのに、わざわざ表に出てきて感染していることがわかりやすくなっている。悪質とは言い切れないのではないか?
マルウェアとして当該PCに常駐して、ブラウザの挙動を乗っ取る、なんてことしてるなら、もっとひっそりといくらでもまずいことができそうな気がするよなぁ……
というか、その手のマルウェアなんて、わりと昔からよく騒がれてたはず。
あえて、わざわざポップアップ出してユーザに入力させるってのは、通常の画面での入出力をジャックするだけじゃ不足な情報があるから、専用の入力でそれを収集したい、とか、そういうことなのかな?
ちょっと追ってみた。
スクショ見ると、ゆうちょは合言葉、三菱東京UFJは乱数表(全部)を入力させるようだ。
ゆうちょの場合、http://www.jp-bank.japanpost.jp/direct/pc/security/dr_pc_sc_riskbase.html [japanpost.jp]普段と違う環境でアクセスしたときとかに、合言葉を聞いてくる。
三菱東京UFJの場合、http://direct.bk.mufg.jp/secure/index.html [bk.mufg.jp]普段と違う環境からのアクセスのときは、メールで送るワンタイムパスが必要。で、登録情報の変更等を行う時に、カードの乱数表の入力が必要らしい。乱数表入手>メールアドレス追加>ワンタイムパスワードゲット! って流れかな?
三井住友は画面ないからよくわからんけど、まあ、似たようなことだろう。
キーロギングやセッションジャックでIDとパスワードが漏れちゃっても、それだけじゃアクセスできないような仕組みが導入されている。でも、このポップアップで収集した情報があれば、それを突破できるぜ、ってことだね。
>普段と違う環境からのアクセスのときは
これは銀行側ではどうやって判定しているのか分かる?ユーザエージェントの情報の一致不一致とかをやっているのかな??
>これは銀行側ではどうやって判定しているのか分かる?
わかんない。
判定方針ばれたら悪人に対処されちゃうから秘密でしょうね。
#想像だけど、かなりいろいろやってんじゃないかなぁ?
三菱東京UFJでIBやっているけど、いろいろやっている気配はないなあ。
普通にISP接続してPCのブラウザからログインしているだけだから、「普段と違う環境」なんて言っても、そもそも環境の情報なんてユーザエージェントを見るくらいしかないと思うんだけど。
もしかしてクッキーを消したら「普段と違う環境」と判定されるのかな?
ゆうちょはクッキー消したら違うと確か判断したと思う。
>>普段と違う環境からのアクセスのときは>これは銀行側ではどうやって判定しているのか分かる?
某銀行の場合は、同じPC、同じブラウザからアクセスしてても、2-3ヶ月間をあけてログインすると「新しい環境を検知しました。今の環境を登録してください」と言われる。PCを初期化してクリーンインストールした直後にも聞かれるなぁ。OSやブラウザのバージョンの細かい違い以外にも、なにかを検知している模様。
>某銀行の場合は、同じPC、同じブラウザからアクセスしてても、2-3ヶ月間をあけてログインすると「新しい環境を検知しました。今の環境を登録してください」と言われる。
それはアクセス時に銀行システム側がクッキーを払い出したときのタイムスタンプ情報をチェックしているのだと考えられる。
でも言われてみれば確かに、クッキーでもって過去のアクセス履歴を調べて本人性のチェックをするのが一番安上がりで効果的だね。
調べてないから外しているかもですが、ネットゲームでの不正(パケット改ざんとか)を防止するのに使われているnProとかの銀行版を使っているんじゃないでしょうか。ユーザーがインストールしないとダメなんですけど、一回インストールされればイロイロやってくれます。プロセスの監視はもちろん、PC環境の変更とかも調べて感じですね。
#でも本来の役にはたたないという・・・
だよねえ。遠隔操作できるならキーロガーも仕掛けられるし、別にそんなことしなくても画面転送すればいくらでも情報は素抜けると思うんだが。
結局、ネットバンキングはガラケーでやるのが一番安全なわけだが。
キャリアが回線認証して識別IDを銀行側に送っているから、たとえ乱数表を含む全てのログイン情報を盗まれても、違う端末からはアクセスできない。
ICカードリーダーが必要になるところを受け入れると、住基ネットカードで使っているあの仕組みがありそうな気がしますが。ICカードの偽造は難しいと言われているので、これだと物理的なカードがないとログインできなくできると思いますが。
...でも、それをやっている銀行は寡聞にして聞かないですね。乱数表だけではなく、何らかの形でOTPを使えるようにしているところは結構ありますが、ICカードリーダー必須というのは知らないなぁと。いまどきキャッシュカードはICチップ付きなので、できないことも無さそうに見えるのですが...
ICカードに穴が有ったらコピーはまだしも、偽装はできちゃったり。B-CASなんてとんでもないことに成りましたし。
クレカやキャッシュカードはセキュリティが高いと思いたいけどね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
皆さんもソースを読むときに、行と行の間を読むような気持ちで見てほしい -- あるハッカー
もうね、お年寄りは怖がって誰もインターネット使おうとしない (スコア:0)
報じられ方も問題在るけど、悪質な手口が大杉。
Re:もうね、お年寄りは怖がって誰もインターネット使おうとしない (スコア:2)
事件が成立してるかどうかは知らないけど、県警のお知らせメールを受信してると、少なくとも複数の県で振り込め詐欺事案は今でも相当発生してることがわかる。
だからインターネットバンキングをやってる年寄りを標的にする必要性はまだ低い。
通帳と判子を使わない銀行手続にまだまだ不安感を持っているお年寄りは多いしね。
ただ、振り込み詐欺の成功率が落ちる将来を見越して、インターネットバンキングに方向転換を図っている輩がいても不思議ではない。
その被害に遭うのは歳をとった私等の世代だと思うよ。
Re: (スコア:0)
悪質な手口なのは認めるが、正直、2ch(2chに限らないが)で怪しげなソフトをDLしてPC乗っ取られても、自業自得であんま同情心は起きないんだがなあ。
まあ、サイト閲覧だけで仕込まれるとかもあるけど、ウイルス対策やFWしてない人ほんと多いし、それすらしないで人のせいとか誤認逮捕ってのもなあ。
ネットは無法地帯だという認識が必要なのかもしれないね。
Re:もうね、お年寄りは怖がって誰もインターネット使おうとしない (スコア:5, すばらしい洞察)
他人の不幸を「自業自得」でかたづけちゃうような人は
自分は知識も備えもあるから悪徳商法に引っ掛からない、と、思い込んでいる人で
罠に引っ掻ける側からするとカモなんだそうです。
御注意ください。
Re:もうね、お年寄りは怖がって誰もインターネット使おうとしない (スコア:2)
ご注意して読まなくても分かるけど、論理的に変だね、それ。
Re: (スコア:0)
変じゃないよ。
自分を賢いと思ってる人間は実は愚かだって真理をついてるだけ。
詐欺は愚か者を狙うのが基本で
自分を賢いと思ってる人間は思い上がってるぶん、より引っ掛けやすいだけ。
Re: (スコア:0)
「怪しげなソフトを利用してPCを乗っ取られてしまう行為」を「自業自得」と考える人って、むしろ自分の無知を理解して怪しげなソフトに手を出さないタイプだと思うけれどなあ。
少なくとも、怪しげなソフトを利用する人よりは利用しない人の方が詐欺に引っ掛け辛そうだよね。
色々削ぎ落としてまとめると、危険な行為に対して「自業自得」と指摘した人の方が、危険な行為に引っ掛かりやすい、とする論理がよく分からん。
Re:もうね、お年寄りは怖がって誰もインターネット使おうとしない (スコア:2)
「危険な行為」に「自分も手を出してしまうかも」と思っていたら気をつけよう、と思うだけ。
「自分は手を出さない」と思っている人と「自分も手を出してしまうかも」と思っている人
一番大きく引っ掛けやすいのは前者(これは詐欺師のコメントなり見ればいくらでも出てくる)
小さくでも引っ掛けやすいのはそんなん知らん、自分には関係ないと思ってる人だろうけど。
Re: (スコア:0)
そうですね。
詐欺師のコメントなり手口を知らないとピンとこないかも知れません。
「愚者は経験に学び、賢者は歴史に学ぶ」という言葉があります。
新手の犯罪が報道された時、経験しなくてすむよう自衛するのは賢者ですが、
騙されるほうが悪いと歴史を蔑ろにするのは愚の骨頂でしょう。
他人の不幸が自業自得という考え方は、
被害者に責任転嫁するだけでなく、詐欺の手口までみくびっていて、
先人に学ばないという意味では二重に愚かです。
Re: (スコア:0)
と、イチャモン屋が論理も示さず何か申しております
Re: (スコア:0)
変に噛み付いてるけど(#2260812) の文章は
十分受け入れられる内容だよ
よく読んでみ
Re:もうね、お年寄りは怖がって誰もインターネット使おうとしない (スコア:2)
>ウイルス対策やFWしてない人ほんと多いし、それすらしないで人のせいとか誤認逮捕ってのもなあ。
騒動になった遠隔操作ウイルスは、ウイルス対策やFWしてあっても防げなかったのでは?
各ベンダーが対応したのは後からですし
ψアレゲな事を真面目にやることこそアレゲだと思う。
Re: (スコア:0, すばらしい洞察)
まず、怪しいか怪しく無いかの判断が出来ないんですよ。
慣れてる人なら常識的として信頼できるサイトでも分からない人には分からないから、全てを警戒して何もしないか、一切無警戒でノーガードになってしまう。
Surface(RTの方)みたいに審査済のアプリしか入らないWindowsマシンはやはり必要でしょう。
Re:もうね、お年寄りは怖がって誰もインターネット使おうとしない (スコア:1)
2chでよくある「嘘を嘘だと見抜ける人でないと...」のもじりですが、「危険を危険と見抜ける人じゃないと、インターネットを使うのは難しい」ということでは?
だからといって、インターネットを使うのを免許制にしようとは思いませんが。
要は自転車みたいなものでしょう。子供でも免許なしで乗れるけれど、交通ルールを教える機会が定期的にあって注意喚起しますよね。
Re: (スコア:0)
篠原「それにな、このインターネットにしたって、発明されたころは教習所が(ry」
Re: (スコア:0)
冗談抜きで、全て警戒して何もしないが正しいです。
私プログラマですが、ウィルスチェックに引っかからないで、利用者に被害を与えるソフトは3時間くらいで作れます。
バレた時のリスクとか、そもそもやるメリットが無いから作りませんが、その程度は誰でも出来るのです。
その上で言いますが、出元不明のソフトは一切入れてはいけません。自分が、ここなら大丈夫だと思う根拠が少なからずでもないものは決して利用しないこと。
これはソフトじゃなくてサービスも一緒ですね。SSL使ってないのにクレカ入れるとか、不要に個人情報取るところは信用してませんので使いません。
あと、メールとかで現在のパスワード教えてくれるところとか...
Re:もうね、お年寄りは怖がって誰もインターネット使おうとしない (スコア:1)
>もしかして痴漢に遭うのは女が挑発するような服装をしてるのが悪いんだとか言っちゃう頭の悪い人?
それはちょっと極端だけど、外国旅行で治安の少し悪いところに行く場合は、近寄らない、目立たないカッコをする、カバンは後ろではなく前に抱えるとか普通にしますよね?そんな対策をしておけば、楽しく旅行ができる(可能性が高い)わけで、それと同じと考えればよいのじゃないでしょうか。
後ろポケットに長財布刺していてスリにあったところで、気の毒ではあるがまあ仕方ないなと思うわけで・・。
Re:もうね、お年寄りは怖がって誰もインターネット使おうとしない (スコア:1)
治安を解決する方がより建設的だと思うのだがどうだろう。
自衛は所詮その場凌ぎで、根本的な解決にならないし。
実際問題として、治安がいい場所は存在するわけで、つまり不可能ではないことを意味してるんだし。
世界のどこにも治安がいい場所がなく、そんなものは理想上にしか存在しないというなら
自衛しないのが悪いという結論に達してもしょうがないとは思うが。
Re:もうね、お年寄りは怖がって誰もインターネット使おうとしない (スコア:2)
「治安を解決する」のに必要なコストは誰が出すのか?という問題だと思うんだけど。
#「紛争状態の国と平和な国、どっちに住みたいか?」と問われれば誰だって「平和な国」と言う
#でもこの世から戦争が無くなることは当分無いのと同じ。
Re:もうね、お年寄りは怖がって誰もインターネット使おうとしない (スコア:5, 興味深い)
治安維持に市場原理が働かないのがいけないのです。
命ぐらいしか守る者のない貧困層にとって、現在の先進国のような治安、すなわち警察や消防・軍の体制は過剰で無駄な税負担。
もし、彼らの命が脅かされたとき、来るまでに時間を要する誰かより、いつもそばにある一丁のカラシニコフの方が彼らにとって遙かに有用で確実です。
逆に、自前でSPなどの警備体制を構築して守らなければならない程大量の資産を持つ富裕層にとって、常駐してくれもしない警察はあまりにも不足で、ただ金を奪うだけの木偶の坊です。
更に、警察や軍・消防などが民営化されて市場原理が働けば、警備産業が活性化して経済が潤うし膨大な雇用が生まれるのは間違いありません。
故に、一刻も早く日本も警察を解体し、全ての火器、兵器の所持・使用を自由化し、市場原理にまかせるべきです。
そうすれば、あなたの資産価値、そしてあなた自身の命の価値に見合った警備をリーズナブルな価格で実現できるようになるでしょう。
とはなぜかガチガチの市場原理主義者でさえ言わない不思議w コストいうならここまで言えば良いのに。
本来、市場原理を働かせるのにそぐわないサービスが公共サービスとして残っているわけですから、当然なのですけどね。
Re:もうね、お年寄りは怖がって誰もインターネット使おうとしない (スコア:2)
ネットの場合、「治安が良くなるということは言論の自由が大幅に制限されます」ということなので
それを望むのであればホワイトリスト式のペアレンタルコントロールでも使え、となります。
だからコストの問題ではなく、治安と自由の両方を望むことはできない、という問題だと思います。
Re: (スコア:0)
アナルコキャピタリズムですね。
マレー・ロスバードや、デイビッド・フリードマンが有名ですな。
Re: (スコア:0)
OCPのオールドマン会長 [wikipedia.org]乙です
Re: (スコア:0)
>治安を解決する方がより建設的だと思うのだがどうだろう。
まあ、それもあるけど、現状では自衛せざるを得ない状況下で、自衛していないのもどうかと思う。
両面から収斂させていけばよいのじゃないでしょうか。
Re: (スコア:0)
君子、危うきに近寄らずという言葉は知らないの?
Re:もうね、お年寄りは怖がって誰もインターネット使おうとしない (スコア:1)
Re: (スコア:0)
> 君子は間違っても被害者に「同情できない」なんて言わないでしょうよ。
君子はこういうスレッドに近寄らない?
# なんだそりゃ?
Re: (スコア:0)
痴漢に狙われやすい恰好や行動を指摘しているだけなのに
その指摘を痴漢の擁護と受け取り
痴漢が悪いんだろ被害者はまったく悪くない、
と反応する頭の悪い人?
Re: (スコア:0)
痴漢被害と服装には大した関係はありませんから、こじつけるのはやっぱりバカの証拠だと思いますよ
扇情的な服装が痴漢を誘発しないとまでは言いませんけどね、矛先がその人に向くかどうかは別の話です
Re: (スコア:0)
只でさえ季節柄楽しみが減ってきてるんだから。
あ、もちろん見るだけですよおいらは。
だがちょっと待ってほしい (スコア:0)
常駐してるならずっとこっそりと情報収集し続けていればいいのに、
わざわざ表に出てきて感染していることがわかりやすくなっている。
悪質とは言い切れないのではないか?
Re:IB使ったことないな (スコア:3)
こっそり情報収集じゃダメなんだよ。
Re:IB使ったことないな (スコア:1)
ばれる危険を冒しても一挙に集めるか。
で、後者を選んだと。
#全部補完されるのは、コンプガチャ問題と根は一緒でかなりの回数必要。
Re:だがちょっと待ってほしい (スコア:1)
マルウェアとして当該PCに常駐して、ブラウザの挙動を乗っ取る、なんてことしてるなら、
もっとひっそりといくらでもまずいことができそうな気がするよなぁ……
というか、その手のマルウェアなんて、わりと昔からよく騒がれてたはず。
あえて、わざわざポップアップ出してユーザに入力させるってのは、
通常の画面での入出力をジャックするだけじゃ不足な情報があるから、
専用の入力でそれを収集したい、とか、そういうことなのかな?
Re:だがちょっと待ってほしい (スコア:5, 参考になる)
ちょっと追ってみた。
スクショ見ると、ゆうちょは合言葉、三菱東京UFJは乱数表(全部)を入力させるようだ。
ゆうちょの場合、
http://www.jp-bank.japanpost.jp/direct/pc/security/dr_pc_sc_riskbase.html [japanpost.jp]
普段と違う環境でアクセスしたときとかに、合言葉を聞いてくる。
三菱東京UFJの場合、
http://direct.bk.mufg.jp/secure/index.html [bk.mufg.jp]
普段と違う環境からのアクセスのときは、メールで送るワンタイムパスが必要。
で、登録情報の変更等を行う時に、カードの乱数表の入力が必要らしい。
乱数表入手>メールアドレス追加>ワンタイムパスワードゲット! って流れかな?
三井住友は画面ないからよくわからんけど、まあ、似たようなことだろう。
キーロギングやセッションジャックでIDとパスワードが漏れちゃっても、
それだけじゃアクセスできないような仕組みが導入されている。
でも、このポップアップで収集した情報があれば、それを突破できるぜ、ってことだね。
Re: (スコア:0)
>普段と違う環境からのアクセスのときは
これは銀行側ではどうやって判定しているのか分かる?
ユーザエージェントの情報の一致不一致とかをやっているのかな??
Re:だがちょっと待ってほしい (スコア:1)
>これは銀行側ではどうやって判定しているのか分かる?
わかんない。
判定方針ばれたら悪人に対処されちゃうから秘密でしょうね。
#想像だけど、かなりいろいろやってんじゃないかなぁ?
Re: (スコア:0)
三菱東京UFJでIBやっているけど、いろいろやっている気配はないなあ。
普通にISP接続してPCのブラウザからログインしているだけだから、「普段と違う環境」なんて言っても、そもそも環境の情報なんてユーザエージェントを見るくらいしかないと思うんだけど。
もしかしてクッキーを消したら「普段と違う環境」と判定されるのかな?
Re:だがちょっと待ってほしい (スコア:1)
Re: (スコア:0)
ゆうちょはクッキー消したら違うと確か判断したと思う。
Re:だがちょっと待ってほしい (スコア:1)
>>普段と違う環境からのアクセスのときは
>これは銀行側ではどうやって判定しているのか分かる?
某銀行の場合は、同じPC、同じブラウザからアクセスしてても、2-3ヶ月間をあけてログインすると「新しい環境を検知しました。今の環境を登録してください」と言われる。
PCを初期化してクリーンインストールした直後にも聞かれるなぁ。
OSやブラウザのバージョンの細かい違い以外にも、なにかを検知している模様。
Re: (スコア:0)
>某銀行の場合は、同じPC、同じブラウザからアクセスしてても、2-3ヶ月間をあけてログインすると「新しい環境を検知しました。今の環境を登録してください」と言われる。
それはアクセス時に銀行システム側がクッキーを払い出したときのタイムスタンプ情報をチェックしているのだと考えられる。
でも言われてみれば確かに、クッキーでもって過去のアクセス履歴を調べて本人性のチェックをするのが一番安上がりで効果的だね。
Re: (スコア:0)
調べてないから外しているかもですが、ネットゲームでの不正(パケット改ざんとか)を防止するのに使われているnProとかの銀行版を使っているんじゃないでしょうか。
ユーザーがインストールしないとダメなんですけど、一回インストールされればイロイロやってくれます。
プロセスの監視はもちろん、PC環境の変更とかも調べて感じですね。
#でも本来の役にはたたないという・・・
Re:だがちょっと待ってほしい (スコア:1)
> 専用の入力でそれを収集したい、とか、そういうことなのかな?
資金を移動するために,二要素認証 (乱数表とか) の情報を入力させたいのではないでしょうか.
攻撃者としては乱数表を全部入力させるのが理想ですが,怪しまれるでしょうし,セキュアトークンには対応できません.
ID/パスワードの情報は盗聴で得られる (あるいはセッションを乗っ取ればいい) から,バックグラウンドで振り込みの取り引きを進めることは可能です.
振り込みの最後の認証操作 (乱数表の一部を入力するとか,セキュアトークンに表示された文字列を入力するとか) だけを利用者にやらせれば,資金を攻撃者の好きなように動かせますね.
Re:だがちょっと待ってほしい (スコア:1)
http://www.bk.mufg.jp/info/phishing/ransuu.html
http://www.smbc.co.jp/security/popup.html
# ああ,アホなことをIDで書いてしまって恥ずかしい.
## しかも,後半不要だったし.
Re: (スコア:0)
だよねえ。遠隔操作できるならキーロガーも仕掛けられるし、別にそんなことしなくても画面転送すればいくらでも情報は素抜けると思うんだが。
Re: (スコア:0)
結局、ネットバンキングはガラケーでやるのが一番安全なわけだが。
キャリアが回線認証して識別IDを銀行側に送っているから、たとえ乱数表を含む全てのログイン情報を盗まれても、違う端末からはアクセスできない。
電子政府のあれはどうなの? (スコア:0)
ICカードリーダーが必要になるところを受け入れると、住基ネットカードで使っているあの仕組みがありそうな気がしますが。
ICカードの偽造は難しいと言われているので、これだと物理的なカードがないとログインできなくできると思いますが。
...でも、それをやっている銀行は寡聞にして聞かないですね。乱数表だけではなく、何らかの形でOTPを使えるようにしているところは結構ありますが、ICカードリーダー必須というのは知らないなぁと。いまどきキャッシュカードはICチップ付きなので、できないことも無さそうに見えるのですが...
Re:電子政府のあれはどうなの? (スコア:2)
ICカードに穴が有ったらコピーはまだしも、偽装はできちゃったり。
B-CASなんてとんでもないことに成りましたし。
クレカやキャッシュカードはセキュリティが高いと思いたいけどね。