パスワードを忘れた? アカウント作成
5179 story

ネットカフェにキー記録ソフト仕込んで個人情報盗難、悪用して逮捕 111

ストーリー by Oliver
銀行とカフェとユーザにも責任あるな 部門より

jmz-yam曰く、" インターネット喫茶の端末はかなり管理がいいかげんなもので、恐くて触れなかったのですが、やはりというか、なんというか事件になってしまいました。毎日によると、犯人はインターネット喫茶のPCにキーロガーをインストールし、ネットバンクなどの暗証番号を入手したらしい。
ポイントは、ネットバンク以外にも個人情報がだだ漏れで大量に情報を得られたらしい点。金が絡んだから逮捕されたようなものの、他の情報だった場合、記事にはならずとも似たような手口は蔓延していると思われる。みなさんは大丈夫?"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 普段 (スコア:3, 興味深い)

    by 37A (12754) on 2003年03月06日 16時50分 (#273919) ホームページ 日記
    ノートPCとPHSを持ち歩いているから、使ったことないなぁ>ネットカフェ

    こんな話を聴くと、この先も使うことないだろうなぁ

    だいたい、共有のPCでは個人情報を入力したりってのは、ありえないな、自分の場合。

    大学の計算機センターのPCが、シャットダウンのたびにレジストリやらファイルやらを全て初期状態に戻すようになってたなぁ。
    --

    ----------------------------------------
    You can't always get what you want...
    • by yamaneko (13753) on 2003年03月07日 10時34分 (#274286) 日記
      普段自分のパソコンじゃ怖くて出来ないことを
      楽しみに行くところっすよ
      怪しい添付メールの確認とか、ブラクラの検証とか

      あとドリンク飲み放題とか(これもお値打ち♪)
      --
      m(_^. .^_)m ぺこ♪
      親コメント
      • by 37A (12754) on 2003年03月07日 10時39分 (#274288) ホームページ 日記
        いや、別に数台、環境壊れてもいいマシンがあるので…(笑

        よく2台以上のノートPCを持ち歩くので、ノートPCの選別基準は

        動作の軽さよりも物理的重量の軽さ

        だったりします。
        --

        ----------------------------------------
        You can't always get what you want...
        親コメント
  • by Majikonov (6069) on 2003年03月06日 18時54分 (#273994)
    UFJダイレクト [ufjbank.co.jp]使ってますが、ID/パスワードの認証のほかに、取引ごとに乱数入力が求められます。
    クレジットカード大の乱数表は申し込み時に郵送で送られてきます。

    シティバンクのセキュリティはID/パスワードのほかにはやってないんでしょうか?>利用者の方
    --
    -- sun burst.
    • 大手4大銀行だと、東京三菱、三井住友、UFJはなんちゃって乱数表というかマトリクス暗証ですね。みずほ(旧富士銀行)は、ID/パスワード認証をかましますが取引暗証は固定6桁な上に有効期限とか別になかったりしますが・・・。

      HDDへの書き込み自体を防ぐハードウェアとしては、トーエイ工業から発売されているHDD Keeper [to-ei.co.jp]なんかがいいと思います。FAT/FAT32/NTFSにしか対応していませんが、ノート版もあるし、一応ロックをかけたHDDには書き込み/ソフトのインストールはできますが、再起動すると初期状態に戻ってしまうのでかなり便利です。パッチの適用などは、OSが起動する前に管理者パスワードを入力すれば一時的にロック解除できます

      ただし、Swapも元に戻してしまうので、Swap領域を別のボリュームに設定しておかないといけないので、ちょっとめんどくさいですが・・・。
      親コメント
    • by matobaa (1745) on 2003年03月07日 0時34分 (#274174)
      タイムリーなことに、つい先日、某地方銀行でネットバンキングの申し込みを郵送で行ったのですが、「8文字迄のパスワードを記入してください」という、なにやらノンカーボンのようだが青い文字が残らないしかけが施してある欄にパスワードを記入して申し込んだところ、
      [1] 親展で「あなたの設定したパスワードは XXXXXX ですが、2文字足りませんので追記して返送してください」という封書が届いた
      [2] 後日、「パスワードの最初の文字が判読できないんですけど」という電話が職場にかかってきて、口頭確認された
      [3] その電話のとき、「そうそう、6文字目ですけど、Iじゃなくて1です」みたく、パスワードを訂正できた
      なんてことがあって、あちゃー、この口座には必要最低限な金額しか置いておけないな、と感じました。
      ネタのようですが、本当の話です。
      親コメント
    • 無いです。

      クレジットカードのID、ATMと同一の4桁暗証番号、任意に決められる文字列のみです。
      親コメント
      • 今、Citibankのサイトでは
        ご所有以外のパソコン(インターネットカフェにあるパソコンなど)からのご利用および第三者に容易に想像される暗証番号のご使用を避けられますよう、強くおすすめ致します

        という文章が追加されていますね。

         ところで、現在Citibankでは都度振込が出来なくなっている筈です。(昨年の夏くらいから?)
         この場合、犯人の口座に振込む為には、犯人の口座番号を郵便でCitibankに送金先として登録する必要があります。登録には印鑑またはサインの認証が必要なので、この認証をどうやってクリアしたのかは気になります。
         都度振込が出来た時代の犯行だったのでしょうか?
        親コメント
  • 被害にあった方も公共の場所でネットバンキングしてること
    自体、かなり見識を疑ってしまうのですが。

    まだまだセキュリティーの意識が一般教養として普及してない。
    (IT講習会とかで教えればいいのに・・)

    また被害を防げなかった店側の職員の知識の低さも
    問題なんでしょうね。

    今後この手のトラブルが増えると、
    お国の資格でネットカフェ管理者講習会
    とか開かれるんですかね?・・・
    • by Anonymous Coward on 2003年03月06日 17時47分 (#273958)
      ネットバンキングに使ってた人はATMとかと同じ程度の手軽さを求めているような気がする。
      PCを共用することの危険性を周知させる事も重要だけど、まず利用毎の個人情報の初期化等をネットカフェ側に義務付けた方が良いと思う。
      親コメント
    • 5年くらい前でしたか、セキュリティ関係のセミナーを拝聴する機会があり、そこで一人の演者がネットカフェに行き、Netscape でabout:cacheを実行するのが楽しみとか言ってたのを覚えています。 便利に使える人は増えても、自分が操作した足跡が残っていると分かる人はなかなか増えないですもんね。
      親コメント
  • ネットカフェの利用には身元確認のようなものって必要になってるのでしょうか?
    朝日の記事 [asahi.com]にかいてあるのですが、
    同庁は、インターネット喫茶で盗まれた利用客の個人情報が悪用されたことを重くみて、都内に約240軒あるとされるネット喫茶の経営者に、利用客の身元確認の徹底などを求めることにしている。
    ってところが非常に気になります。
    で、ネットカフェが使えなくなったら今流行りの(?)無線LANとかを盗用するようになるんでしょう。
    他のコメントでも既に述べられているように、起動時に初期化を徹底する事を求めて欲しいですねぇ。
    --
    $ set -o vi
    • > ネットカフェの利用には身元確認のようなものって必要になってるのでしょうか?

      私がたまーに利用している漫画喫茶だと、初回利用時に会員証を作って、
      そのときに身分証明証(運転免許とか)の提示を求められます。
      二回目以降はその会員証を提示するので、一応の身元確認にはなって
      いると思います。
      親コメント
      • by Anonymous Coward on 2003年03月07日 0時20分 (#274168)
        私の利用しているところは全て、インターネット利用の場合は免許証等で本人確認していたので、私はてっきり何らかの法整備がされているものと思い込んでいました。ま、もっとも、ロクに人の顔もみないので、あれじゃ確認にも何にもならないよな、とは思っていましたが。

        でも考えてみると、本人確認は済んでいても、その時間その端末を誰が使っていたか、というログが残っていない可能性は多分にありますね。正直なとこ、本人確認していればまぁいいんじゃない、と思って安心していたところがあります。くわばらくわばら。
        親コメント
        • > 免許証等で本人確認

          それ、偽造されたら意味ないね。
          どうせその場で免許証番号使って問い合わせるような
          ことはしないだろうし。

          > でも考えてみると、本人確認は済んでいても、
          > その時間その端末を誰が使っていたか、という
          > ログが残っていない可能性は多分にありますね。

          ログがまともに残ってなくても防犯カメラの方の
          記録が残っているかもよ。あとは人間が記憶して
          いるかも知れない(あまりあてにはならないけど)。

          でも犯罪に使われることを考えると警察がキーロガーの
          ようなものでログをリアルタイムで取りながら記録する
          なんてことをやりそうだね。通信傍受みたいなもんだから
          もうやってるかも知れないけどさ。そうするとその場に
          おけるプライバシーは 0 だ。

          # 警察が何もしなくてもMS経由でNSAに情報筒抜け
          # のような気がするが。
          --
          (´д`;)
          親コメント
    • by arrabbiata (4524) on 2003年03月07日 2時57分 (#274225)
      ネットカフェの防犯カメラで捕まったオークション詐欺の
      中学生がいましたね。大抵のネットカフェやモスバーガー
      などのHotSpotには防犯カメラがあるので、悪いことは
      できません。。。
      親コメント
  • by 505 (12538) on 2003年03月06日 18時19分 (#273975)
    アナウンサが
     「専用ハードウェアを使えば防げます」
    とか言ってた覚えが… 専用ハードって何??
    本体のPS/2キーボードぢゃなくて、USBキーボードを使うとか?
    そのキーロガーがPS/2デバイスを直接制御するドライバをフックするようなものならまだしも、もう少し上位レベルの、キー入力が一本化されるレベルでログを取ってるんだったら、USBキーボードでも無駄だよな…

    …聞き違いだったらどうしよ(^^;)

  • 俺は (スコア:1, おもしろおかしい)

    by Anonymous Coward on 2003年03月06日 16時39分 (#273909)
    HDDに残っている情報でエロサイトの裏口をゲッツしたぜ。
    • Re:俺は (スコア:2, 興味深い)

      by kmt (7370) on 2003年03月07日 9時21分 (#274262)
      かつて行ったネットカフェでエロサイトの…
      httpdが起動していました(死)
      親コメント
    • by Wildcat (2067) on 2003年03月07日 2時26分 (#274210) 日記
      そういや色々インストールされてたりするな。きっとついダウンロードしちゃうんだろうな。んなもん入れても電話で繋がっているわけじゃないんだから国際電話なんて掛からないのに。(笑)
      --
      (´д`;)
      親コメント
  • この頃渋谷には行ってないし、あんな所で銀行に繋ぐことはまずないからまずは大丈夫かな。

    ああいう店は KNOPPIX みたいに CD に全部入っててリブートしたら全部消えるみたいなディストリビューションのやつ使えば良いのにね (ネットワークブートできて HDD をほとんど空の状態、またはHDD なしの状態に出来ればなおよし)。
    --
    (´д`;)
  • by kmohri (9508) on 2003年03月07日 9時55分 (#274272)
    事件発生依頼の銀行とのやりとりなんかがここ [mag2.com]に書いてあります。
typodupeerror

アレゲは一日にしてならず -- アレゲ研究家

読み込み中...