スパイウェアによる預金被害が発生 55
ストーリー by Oliver
求む!使い捨てのTAN方式 部門より
求む!使い捨てのTAN方式 部門より
von_yosukeyan曰く、"Impressの記事によると、ネット銀行大手のイーバンク銀行の顧客が、スパイウェアによって盗まれたIDとパスワードによって預金13万円が不正に送金される被害が発生した
侵入したスパイウェアはSPYW_INVKEY12.Aまたは Spyware.InvisibleKey.Bと呼ばれるもので後者はインストールされたPCのキーストロークを記録する機能を持つ。イーバンク銀行のプレスリリースによると、顧客のPCへは動画を装った添付ファイルの形で送信され、イーバンク銀行を含む複数の金融機関のアカウント情報が盗難された。このうち、イーバンク銀行から13万円が他行口座に不正に振込まれ、不審な預金移動に気づいた顧客が1日になってイーバンク銀行に申告したことで被害が明らかになった
イーバンク銀行では、不審なメールやサイトにアクセスしないように呼びかける一方、顧客が利用するプロバイダ以外からのアクセスをブロックするIP
制限サービスの利用を呼びかけている"
攻撃者が同じプロバイダから接続したら… (スコア:3, 参考になる)
> ・ 登録したプロバイダ(IPアドレス)以外からは、暗証番号を伴うお取引ができなくなります。
> ・ 例えば、ご自宅でインターネット接続の際にご利用のプロバイダを登録した場合、
> ご自宅でご利用中のプロバイダ以外からは暗証番号を伴うお取引ができません。
> ※本サービスはプロバイダ単位の設定となります。
引用元: http://www.ebank.co.jp/kojin/security/iplimit/details/index.html
プロバイダのシェアの半数近くが Yahoo! BB な訳ですが、(※1)
プロバイダ単位での設定しか出来ない(※2)ということは、
おまけ程度の意味しか無いじゃないんでしょうか。
大手プロバイダの利用者は当然ながら大勢いる訳なので、
そのプロバイダ利用者を踏み台にすれば不正アクセス出来る訳ですよね。
その踏み台とできるユーザは何百万人といて、
更に全くと言っても良いほどセキュリティ対策を行っていない人も大勢いる。
次のような対策を行って欲しいです。
・プロバイダ単位では無くリモートホストまたはIPアドレスをワイルドカード形式で設定できるようにする。
例えば、YahooBB123123123*.bbtec.net など。
少なくともプロバイダ単位の設定よりは安全になるでしょう。
・安全なワンタイムパスワードも合わせて使う
残念ながら、現在もあまり効果の無いワンタイムパスワードを導入している銀行も多いようです。
http://d.hatena.ne.jp/HiromitsuTakagi/20030722
※1
自分のサイトのアクセスログで。
アレゲな人はそもそもあんまPW盗まれないと思うので対象外。
※2
下記のような表記があるので、DNSサーバでの正引きが出来ない場合は固定IPアドレスで登録できるようです。
>「現在ご利用中のプロバイダ」にプロバイダ名でなくIPアドレスが表示される場合があります。
> そのままIPアドレスをご登録されると、プロバイダ単位では無く、そのIPアドレス以外からの暗証番号を伴う取引ができなくなります。
Re:攻撃者が同じプロバイダから接続したら… (スコア:1, 参考になる)
ですから、そこそこ有名なプロバイダからの場合のみプロバイダ単位指定になるようにしてあるのでしょう。
Re:攻撃者が同じプロバイダから接続したら… (スコア:1)
>>「現在ご利用中のプロバイダ」にプロバイダ名でなくIPアドレスが表示される場合があります。
よもや、IPアドレス逆引き設定でプロバイダのドメインを返すようにしたら通っちゃうってことはないでしょうね。
まさか、ね。
Re:攻撃者が同じプロバイダから接続したら… (スコア:1)
>
> 例えば、YahooBB123123123*.bbtec.net など。
> 少なくともプロバイダ単位の設定よりは安全になるでしょう。
プロバイダ側の設定変更で大惨事の予感
だが、いいこともあるぞ、外の天気は上々なんだ
Re:攻撃者が同じプロバイダから接続したら… (スコア:0)
キーロガーを利用した不正アクセスといえば (スコア:2, すばらしい洞察)
「ただし、このスパイウェアが今回の不正振り込みの直接の原因となったかについては不明だという。」
と書いてありますが、過去にこういう事件 [jaipa.or.jp]は発生していますね。
インターネットカフェなどで重要な ID やパスを入力しないだけでは不十分で、自分の PC でも注意が必要ですね。
日ごろのウイルス・マルウェア対策の延長ですが。
# 「これをやれば大丈夫」というのが無いのがセキュリティ。
制限解除を忘れると (スコア:2, 参考になる)
実際にはできませんで済むはずもないので、結局なんらかの手段での解除を認めるのでしょうが、その辺りの手続きの詳細は公表しないのでしょう。
Re:制限解除を忘れると (スコア:1)
メールアドレスも使えない状態なら、一回口座ごと解約して、再度契約?
便利さとセキュリティのバランス (スコア:2, 興味深い)
「当然セキュリティもしっかりしてるよね」
と思い込み、確認作業を怠ってませんかね、私たちを含むPC利用者は。
こういう事件は最近多いわけですが、企業レベルやシステム開発者
の設計レベルでの注意だけでなく、個々人の「PCを操作する」
上での意識の向上も必要であると再認識させてくれるという
意味では「良い事件であった」ともいえる気がします。
# 自分が被害にあってないから言えるわけですけど。
# 何をいまさらという感もありますが、アレゲ人以外にはどうか。
-supercalifragilisticexpialidocious-
Re:便利さとセキュリティのバランス (スコア:0)
ぶっちゃけカード式にしちゃうのはだめか? (スコア:2, すばらしい洞察)
まぁ、結局トロイを仕掛けられて、カードさした瞬間に、全額引き落とされる可能性もあるわけだけども・・・
結局、アンチウィルスソフトとスパイボット系のアンチトロイソフトを入れてくようにするべきなんだろうね。
っていうか、もうアンチウィルスソフトが入ってないWindowsはたちあがらんようにすべきじゃないかっとも思ったり・・・・
Re:ぶっちゃけカード式にしちゃうのはだめか? (スコア:1)
これって、OSにワクチン統合しろって話ですか?
Re:ぶっちゃけカード式にしちゃうのはだめか? (スコア:1, 興味深い)
FeliCa付きカードで認証できるところは、<a href="http://www.sonyfinance-card.com/">ソニーファイナンス</a>なんかがあります。Firefoxでもプラグインをうまく入れれば対応できます。
使っているところはあまり知りませんが、PKCS#11 などのインターフェースはFirefoxやIEに乗っかっているので、それ対応のカードやUSB認証機器があれば、物理的認証はFeliCaよりも簡単に導入できます。カードリーダは、住基カードのが使えたりします。
銀行もICカード化されてきてるんだから、こういうのを使えばいいのにねぇ。
出金の時点で顧客承認 (スコア:2, 興味深い)
でなければ、暗号化したインスタントメッセンジャーか何かを利用して、銀行側から顧客に承認を求めるようにする。(やり方としてはどうかと思いますが)MACアドレスも一緒に照合するようにすれば比較的手軽で、かつ偽認証の対策になるのではないかと。
#ただし、パソコン本体ごと盗まれてたりするとアウトですが
しもべは投稿を求める →スッポン放送局がくいつく →バンブラの新作が発売される
クライアント証明書方式 (スコア:2, 興味深い)
Re:クライアント証明書方式 (スコア:0)
秘密鍵を盗まれるとか、盗まれなくても何か途中のところから自動操作されるとかないんですかね。
Re:クライアント証明書方式 (スコア:2, 興味深い)
まあ程度問題ですけどね。セキュリティなんて。
法人顧客 (スコア:1)
> 1社の法人のお客様より当行コールセンター宛に、見覚えのない出金があるとのご連絡がありました。
当然ですがウィルス・ワーム対策だけでなく、スパイウェア対策も必要ですね。それ以外にもすべきことがたくさんあるんでしょうけど。
Re:法人顧客 (スコア:1)
とか。
TAN方式? (スコア:0)
# ぐぐるのはこれからなのでAC
Re:TAN方式? (スコア:1)
「高木浩光@茨城県つくば市の日記」のドイツのネットバンキング事情 [hatena.ne.jp]によると、トランザクション番号のことみたいですね。(Oliver氏ご自身による報告ですし)
Re:TAN方式? (スコア:0)
Re:TAN方式? (スコア:0)
#我ながらばかばかしい発想だなぁ>俺
Re:TAN方式? (スコア:0)
Re:TAN方式? (スコア:0)
Re:TAN方式? (スコア:0)
SIN方式だと、酔ってる時に「ここにサインしろよ」と言われたらついサインしてしまう、という脆弱性がありますね。
この場合 (スコア:0)
ウィルス対策してたかどうかで補償率かわるとか?
Re:この場合 (スコア:1, 興味深い)
Re:この場合 (スコア:2, おもしろおかしい)
「過失のない十二分なセキュリティが行われていた」 [hatena.ne.jp]と言うだけでOKです。
#そんなわけないけどID。
間違った例 (スコア:1)
2004とかなら完璧。
--
「なんとかインチキできんのか?」
Re:この場合 (スコア:0)
# 口座に入れるカネもネー
入出金があったら電子メールで通知 (スコア:0)
Re:入出金があったら電子メールで通知 (スコア:2, 参考になる)
が、ATMで自分で入金した分まで通知してくるので、頻繁に出し入れしてる人にはわずらわしいでしょうね。
Re:入出金があったら電子メールで通知 (スコア:1)
携帯なり何なりでACK(署名付き?)を返したら取引成立、
そんなオプションが欲しい。
Re:入出金があったら電子メールで通知 (スコア:1)
Re:入出金があったら電子メールで通知 (スコア:1)
Re:入出金があったら電子メールで通知 (スコア:1)
完了それぞれにメールが来ます。
電気代とかの引き落としも落とす数日前にメールが来てます。
Re:入出金があったら電子メールで通知 (スコア:0)
Re:入出金があったら電子メールで通知 (スコア:0)
りそなは、振込みの受付と完了にそれぞれメールをくれます。
でも、口座に入金になった場合は音沙汰ナシです。
特にそう言ったサービスを有料で付けた記憶はなく、デフォルトで登録メールアドレス宛に届くのでしょう。
Re:入出金があったら電子メールで通知 (スコア:0)
りそな (スコア:0)
近々マトリックス認証も廃止するみたいです。
安価で比較的セキュアな手法だと思うのですが、なぜ今になってTypeRedに後退するのか不思議です。
Re:りそな (スコア:3, 参考になる)
例えばNEC システム建設のSECURE MATRIX [nesic.co.jp]のページに出ている例では、2回の認証の内1桁目は7と4ですが、1つ目のマトリックスで7、2つ目のマトリックスで4となるのは左上しかありません。同様に2, 5, 7桁目は1通りに確定しますし、その他の桁も2, 3通りに絞れます。結局全体として24通りにまで絞ることができてしまいます。
もちろん、サーバーから送られてくるマトリックスが盗聴できなければこの攻撃は成功しないのですが、マトリックスが盗聴できないならば、わざわざマトリックスなんて使わずに「74894354を入力してください」とすればいいはずです。
チャンレンジ&レスポンス認証として考えると、その強度は、総当たり攻撃を防ぐためのレスポンスの長さと、同じチャレンジが複数回使われないことと、レスポンスを作る一方向関数の強度に依存しているのですが、この場合一方向関数の弱さが全体の弱さに繋がってしまっています。
もちろん、無いよりはずっとましなのですが。
Re:りそな (スコア:1)
チャレンジ&レスポンス認証に関しては、高木先生が2年ほど前に指摘 [hatena.ne.jp]されていますが、原則的に乱数表から採番可能な乱数の組み合わせの数、例えばりそなTypeblueの場合だと20の乱数表から2個の組み合わせですから380通り、東京三菱ダイレクト [btm.co.jp]の場合だと、25の乱数表から2の組み合わせですから600の組み合わせになりこれが強度になります。こう言った認証方式を取っている銀行としては、大手行だと他にみずほ銀行(30通り)、三井住友銀行(240通り)、UFJ銀行(990通り)などがあります
問題は、乱数表はインターネットバンキングに加入して1度もログインしていない状態での強度ですから、回線やキーロガーに対しては認証を繰り返しているうちに強度は低下します。大手5行の中で、ログイン認証にチャレンジコード認証を採用しているのは、東京三菱、りそなTypeBlueの二つで他行は別にIDとログイン用のパスワードの組み合わせで認証し、振込や投資性商品の購入などの場面で確認用に使用しているに過ぎません
ところが、乱数表が記載されたサービス利用カードは原則的に一度発行すれば更新はされません。三井住友銀行などは、要望すれば無料で新たな乱数表を送付してくれるようですが、東京三菱銀行の場合には乱数表の再発行は原則的に再発行手数料と煩雑な手続が必要です。さらに、ログイン時にチャレンジコードが必要な東京三菱の場合、連続して振込みを行わない限りは、取引途中にチャレンジコードの要求はありません
元々、チャレンジコード&レスポンス認証方式は、盗聴の可能性があるテレホンバンキングのような通信経路がセキュアではないリモートチャネル向けに開発された認証方式をインターネットバンキングに流用したものです。しかし、大手銀行はインターネットバンキングに関しては通信経路がSSL通信を行っている理由をもって通信経路がセキュアであり、認証回数によって強度は低下しないと考えているようで、かつて乱数表の発行期日や有効期限を定めていた銀行も無期限に有効としています。しかし、仮にその主張が正しいとしても、第一に通信経路がセキュアとは限らないテレフォンバンキングでも同じチャレンジコード認証を使用しているので、テレフォンバンキングとインターネットバンキングの双方を利用している顧客にとってはやはり強度は低下すること。第二に、通信経路はセキュアであってもキーロガーが介在すればやはり強度は低下します
さらに、運用方法によっても強度は変化します。例えば、高木先生がご指摘のように、りそなTypeblueと東京三菱銀行はログイン時にチャレンジコード認証を行うので認証回数が多く、強度の低下も早いと言えます。また、東京三菱銀行は携帯アプリバンキング [btm.co.jp]やアカウントアグリケーションサービス [btm.co.jp]の利用には、乱数表に記載された25個すべての乱数を入力する必要があり、この時点で盗聴やキーロガーが仕掛けられていたら強度はゼロになります。また、フィッシング詐欺対策としても極めて問題があるでしょう
最も問題なのがみずほ銀行で、みずほ銀行は大手行では(初期状態では)最弱の30通りの強度しか持ちませんが、これは振込みなどの取引時に「ご利用カード」に記載された6桁の確認番号を使用します。テレフォンバンキングでは、取引時に例えば「右から2桁目の数字を入力してください」という自動音声が流れて、6桁中のチャレンジコードに対応する数字を入力すると確かに初期状態では30通りの強度がありますが、インターネットバンキングの振込み確認時には、6桁すべての入力の必要がありますから、1度でもインターネットバンキングを使用して振込みを行えば強度はゼロになります
このように、チャレンジコード&レスポンス認証方式は、感覚としてはIDとパスワードの組み合わせよりもセキュアに思えるかもしれませんが
Re:りそな (スコア:1)
パスワードには、サイトごとに異なるパスワードを覚えきれないという問題もあって、複数のサイトで同じパスワードを使いまわすとか、一度設定したらほとんど変更しないとか、安全とはいえない使い方がされている場合も多いのではないかと思います。自分もその一人ですが。
某銀行でパスワード変更を要求されたので変更したら、結局思い出せなくなって、その後使わなく (使えなく) なったということもあったりします。パスワードを安全に管理するのは難しいですね。
IDとパスワードだけが唯一の鍵で、 (スコア:0, 興味深い)
よくそんな所に預金する気になれますね。
#預金してるのでAC
Re:IDとパスワードだけが唯一の鍵で、 (スコア:2, 興味深い)
最悪の場合でもそれほど甚大な被害は生じにくいとは思うのですが
やはりセキュリティはもう少しどうにかならないのかとは思います。
新生銀行とかもそうですが、キー入力に全てを頼っている段階で
既に銀行としての自覚が足りていない気はしますね。
このレベルでやるなら被害後一週間以内に申請した場合は全額保証とか
ハードウェア認証、生体認証や他の手段による確認(電話とか)を行って欲しいものです。
ちゃんとセキュリティを確保してくれるならメインバンク移す事も検討にはいるんですけどね。
#
#実質送金専用口座なのでID
#
#状況はいつも最悪、でもそれが当たり前
Re:IDとパスワードだけが唯一の鍵で、 (スコア:0)
新生銀行も、預金の大半をパワー預金に振り替えておくと、
コールセンターに電話しないと、引き出しも振り込みもできない
ような運用ができますよ。
Re:IDとパスワードだけが唯一の鍵で、 (スコア:1)
初期はできませんでしたが…。
セキュリティーねぇ・・ (スコア:0, フレームのもと)
「データの論理的I/Oに直線性の無い現状の汎用OS」に重要な情報を入れて
IP網に繋いでセキュリティー・利便性の天秤なんて馬鹿げてますよ。
Re:セキュリティーねぇ・・ (スコア:0)
素直に”欠陥だらけのOS”と云っても誹謗中傷にはあたりませんよ。