パスワードを忘れた? アカウント作成
11153 story

銀行を騙るCD-ROM入り手紙で預金被害 107

ストーリー by yoosee
疑うクセと確認する習慣を身に着けよう 部門より

von_yosukeyan曰く、"朝日新聞が伝えたところによると、地方銀行の千葉銀行は、同行のエレクトリックバンキング(EB:法人向けインターネットバンキング)を契約する顧客宛に同行を騙るCD-ROM入りの郵送物が発送され、顧客が指示どおりプログラムを実行したところ、勝手に第三者の預金口座に送金される被害が発生したと発表した。同行は、顧客に対して不審なCD-ROM入り手紙に対して注意を促している

発送されたCD-ROMは、セキュリティ対策のソフトウェアである旨が書かれた案内文が入っており、CD-ROMを受け取った3先のうち、1先が実際にEB取引用に使っているPCでプログラムを実行したところ、第三者の預金口座に数百万円が不正に送金された

EBは通常の個人向けインターネットバンキングとは異なり、法人や個人事業主などを対象とした業務用サービスで、千葉銀行では残高照会や振込・振替などのほか、大量の振込・振替データの一括送金機能や外国為替といった業務も行える。また、一回の取引金額の上限も個人向けとは異なり、高い金額に設定することも可能で、こういった点が狙われる要因になったのかもしれない。さらに契約者を狙い撃ちにしているところから、犯人がどうやってCD-ROMの送付先を決めたのかなど謎の多い事件だ。"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • こわいなぁ。 (スコア:5, すばらしい洞察)

    by giggs (8330) on 2005年11月02日 0時42分 (#824223) 日記
    これこわいなぁ。
    ターゲットの情報が分かっていれば、銀行のCD-ROMに偽装する必要ないわけでしょう。たとえば、駅すぱあとのバージョンアップとか、無料体験版とか。思わず実行しそう。
    「得体の知れないファイルは実行しない」ってのはよく分かるんだけど、郵送できたものも用心しないといけないのか。
  • by Anonymous Coward on 2005年11月02日 0時43分 (#824224)
     同行のエレクトリックバンキング(EB:法人向けインターネットバンキング)を契約する顧客宛に同行を騙るCD-ROM入りの郵送物が発送され、

    だけならともかく

     また、一回の取引金額の上限も個人向けとは異なり、高い金額に設定することも可能で、さらに契約者を狙い撃ちにしているところから、犯人がどうやってCD-ROMの送付先を決めたのかなど謎の多い事件だ。

    なんてところを読んでも、銀行の顧客情報が漏れてる可能性には誰だって気づくと思います。
    当然銀行だって気づいてるんだろうけど、まだ調査を始めたばかりだから銀行のニュースリリースにはその辺の事が載ってないって事なんでしょうか。
    流石に調べもしないって事はないよね・・・?
  • メール<封書 (スコア:3, すばらしい洞察)

    by jun_kkk (28822) on 2005年11月02日 0時44分 (#824225) 日記
    この手のフィッシング詐欺ではメールや偽サイトを使った手口もあるけど、やはり封書で来ると多少は信用度が上がるのだろうか?

    しかし件の新聞記事を読む限り、「セキュリティソフトです」ってそんな親切な銀行があるんだろうか・・・
    現時点で被害にあったのは法人ということだが、実際受け取った人が鵜呑みにしてインストールしてしまったのか・・・
    恐らく銀行からの封書ということで担当者に回されたのか、そもそも担当者なんていない小さな会社が被害にあったのか。それとも送りつけたやつが担当者名などを何らかの方法で入手していたのか。
    ある程度の知識(というか猜疑心?)があれば、銀行がセキュリティソフトを配布するなんて何か怪しい、と思いそうなもんだが、それは自分の感覚だろうか。それなりの文面(「ネットバンキングの情報を傍受するスパイウェアの対策です」等々)は相手も用意してきているだろうが。
    • by Anonymous Coward on 2005年11月02日 9時51分 (#824387)
      まあそれは持つ者と持たぬ者の差の話なので
      角に置いとくとして、

      これはいい死角を突いたなという印象を持ちました。

        Eメール→形の無い得体の知れない物
        郵便→形のある信用あるもの

      と思っている人は相当に多い。
      こんなもの統計する間でもない。

      思いつく人が他にも居たかもしれませんが、
      何しろ形ある物で詐欺をするには
      形の無い物で詐欺をするより高い予算が必要ですから。

      これはこれで、
      ローテクを再度見直して取り入れる
      という好例かもしれません(笑)
      親コメント
    • Re:メール<封書 (スコア:3, すばらしい洞察)

      by akiraani (24305) on 2005年11月02日 11時28分 (#824460) 日記
       CD-ROM入りの封書でスパイウェアをもぐりこませることが出来るとなると、ISP騙ってスパイウェア送りつけられるとほこほこ引っかかる人がいるってことですよね……。
       ネットで拡散しないようにしておけばウィルスベンダーもなかなか検知できないだろうし、いろいろ対策が必要な気がするなぁ。
      親コメント
  • by Heiji (10279) on 2005年11月02日 0時49分 (#824232) ホームページ
    あるセキュリティ関連のベンダーから定期的に届くCDは、
    配達記録便が使われていて不思議に思っていたのですが、
    ニセモノ発生への対策としての効果もあるんでしょうかね?
  • CD-ROM ?? (スコア:3, 参考になる)

    by Anonymous Cat (27860) on 2005年11月02日 1時45分 (#824273)
    asahi.comも千葉銀行もCD-ROMと伝えていますが
    色素の薄いCD-Rとかじゃないのかなと思いました。
    CD-ROMのプレスって設備もいるし・・・と思ってググってみたんですが
    100枚から請け負う業者もあるようですね。(汗)

    被害にはあわなかったけど送りつけられていたという企業が
    今後どんどん出てくるかもしれませんね。

    レーベルの印刷も一目では怪しいと分からないぐらいの出来だったんでしょうかね?
    まあ、レーベルの印刷が安っぽく見えても「経費ケチっているな」位にしか思われないのかもしれませんが。

    詳しい状況はまだ分からないようですが、
    weakest link が人間であるという場合はやっぱり多いんでしょうね。
    --
    単なる臆病者の Anonymous Cat です。略してACです。
  • by Anonymous Coward on 2005年11月02日 0時24分 (#824212)
    千葉銀行がおっしゃる [chibabank.co.jp] には:
    被害に遭われたお客様には、心よりお見舞い申し上げます。
    • by Anonymous Coward on 2005年11月02日 0時27分 (#824213)
      同情するなら金をくれ
      親コメント
      • by Anonymous Coward on 2005年11月02日 0時40分 (#824222)
        当行といたしましては、上記の依頼について

        承諾する術を持ち合わせておりませんが、

        代わりの口座を手配する事はできます。

        もうすぐボーナスシーズンという事ですので、

        たくさんの金融商品を取り揃えていますのでお立ち寄りください。

        今年のクリスマスに資金運用予定の無いアナタも、

        未来への資金投資は是非とも当行におまかせください。

        金利等は銀行法に基づいて公平に適用されますので、

        ご了承賜りますようお願いします。(白石)
        親コメント
  • by Anonymous Coward on 2005年11月02日 0時50分 (#824233)
    毎回この手の話を見る度に疑問に思うのですが、口座を開設したり出金したりするところから足が付かないですか?
    浮浪者雇ってテンポラリな口座を作り送金早々に引き出して逃亡、みたいなパターンなのだろうか。
    • by Anonymous Coward on 2005年11月02日 4時59分 (#824313)
      • 管理の行き届いていないアパートの空き部屋のポストに名前シールを貼っておく。
      • 偽造免許証/保険証で口座開設手続きを行う。
      • 銀行より書類が書留郵便で郵送される。当然その部屋は不在なので、ポストに不在票が入る。
      • 不在票をポストから回収し、郵便局で書類を引き取る。
      • (以下略)

      口座開設する際の本人確認方法は、自宅に書類を郵送して返送させるというのが一般的だと思いますが、振込め詐欺で実際に上記のような手口が使われたらしい。
      頃合いを見計らって名前シールを剥がせば以下略。

      不動産業者は空き部屋で不正が行われていないかきちんと管理しましょう、というお話。

      親コメント
    • by condor (22946) on 2005年11月02日 10時05分 (#824400)
      この記事 [impress.co.jp]が面白くて参考になる。
      しかし、架空口座を1400も作り続けることができるって言うのは、こういった詐欺の検挙率がかなり低いって事でしょうね。
      親コメント
    • クロサギ? (スコア:5, 参考になる)

      by simon (1336) on 2005年11月02日 13時33分 (#824567)
      なんでも、架空口座の転売を利用した詐欺詐欺というのもあるそうです。

      ●架空口座を作る。
      ●その際予備のキャッシュカードを一枚作っておく。
      (家族用に二枚以上キャッシュカードを作れるところがけっこうある)
      ●架空口座を転売する。
      (この際通帳と一枚のキャッシュカードしか渡さない。予備のカードについては黙ってる)
      ○架空口座を買ったやつがオレオレ詐欺とかの振込先に利用する。
      ●振り込まれたカネを予備のキャッシュカードを使って横からごっそり頂く。
      ○そもそも非合法なので架空口座を買った客は文句を言えない。泣き寝入り。
      ●ウマー(゚д゚)

      いやあ、なんつーかものすごいことを考えるヤツもいるもんですな。まさに「浜の真砂は尽きるとも」です。
      親コメント
    • 口座の売買は違法ですが、金になるから売るやつもいる。買うやつもいる。
      出金は、変装して無人ATMで、ってかんじでしょうか。1日の限度額を超えられないんで、組織的にたくさんの口座を一度にやらないと、ペイしないでしょうね。って、何に対してペイするんだ?
      親コメント
    • by bunny-wheat (25840) on 2005年11月02日 1時40分 (#824271) 日記
      CD-ROMってことは、プレスした業者から足がつくかも?
      それにしてもロット数からして3枚ってのも考えにくいですかね。
      実は手焼きのCD-Rだったりして……でもCD-Rだったら明らかに怪しいですよね。
      (数百万円送金できるなら、1000枚プレスした中の3枚であってもペイしそうですが)

      # 脅迫状の書体からどこのワープロか割り出すみたいに、
      # CDメディアの記録特性からCD-Rドライブやプレス機の型番を割り出すとか
      --
      『月面兎兵器ミーナ』2007年1月13日から放送開始
      親コメント
      • Re:CDのプレス (スコア:4, 参考になる)

        by Anonymous Cat (27860) on 2005年11月02日 2時54分 (#824302)
        それにしてもロット数からして3枚ってのも考えにくいですかね。
        実は手焼きのCD-Rだったりして……でもCD-Rだったら明らかに怪しいですよね。
        (数百万円送金できるなら、1000枚プレスした中の3枚であってもペイしそうですが)
        私も同じような事を考え、ググってみたのですが・・・
        スタンパーが11万円、100枚プレス(& レーベル印刷)が2万円、計13万円という業者もありました。
        1000枚だと、スタンパー11万円、1000枚プレス(& レーベル印刷)15万円、計26万円でした。。。

        CD-ROMを作るのは意外とコストがかからないようです。
        個人でもCD-ROMを手軽に作れるようになったのは喜ばしいですが、
        こういった犯罪のハードルも下がってしまいますね。

        プレス機の型番が分かって、業者が分かったとしても
        それを発注したのが誰かまでたどるのは難しい気がしてきました。
        --
        単なる臆病者の Anonymous Cat です。略してACです。
        親コメント
  • by Anonymous Coward on 2005年11月02日 2時36分 (#824296)
    千葉銀行のログイン画面 [chibabank.co.jp]
    いまどきアドレスバー隠しに、「右クリックは禁止です」はないだろ。

    まあ、そんなところだからね。
    • タレコミ者です

      日記でも幾度か指摘していますが、千葉銀行の個人向けインターネットバンキングは、日立製作所の共同センター型インターネットバンキングのFINEMAXを使用しています

      FINEMAXは、NTTデータのANSER-WEBと共に地銀の共同センター型インターネットバンキング・パッケージでは二番目のシェアがあるシステムですが、デフォルト仕様でどうも「アドレスバー隠蔽」「Javascriptで右クリック禁止」「Javascriptを使用した過度のブラウザチェック」「ステータスバーを隠蔽して電子証明書が確認できない」「ポップアップで取引画面を表示」という仕様が横行している悪名高いパッケージです

      実際、千葉銀行は法人向けのEBサービスではFINEMAXではなく、NTTデータのANSER-WEBのEB版を使っていますが、このような制限はありません。一方で、千葉銀のEBサービスの中でも、L/C(輸入信用状)の確認/外国送金サービスはNTTデータの別のパッケージを使っていますが、「ポップアップ」「アドレスバー隠蔽」という仕様です

      FIMAXを使っている金融機関は勘定系システムに日立製作所のメインフレームを使用している金融機関に割と多く、有名どころだと他に新銀行東京などがあります。新銀行東京の場合も、FINEMAXのデフォルト仕様のため、「アドレスバー隠蔽」「Javascriptで右クリック禁止」「Javascriptを使用した過度のブラウザチェック」「ポップアップで取引画面を表示」といった状態ですが、かつてFINEMAXを使用していた京都銀行は、個人向けインターネットバンキングをANSER-WEBに切り替えてからこう言った対応をやめました

      もちろん、FINEMAXを使用している金融機関の中でも、システム部門がデフォルト仕様に関係なく主体的にセキュリティ対策を行っている銀行では、こういった対応を取らないところがあります(例えば山陰合同銀行など)

      千葉銀の例を見れば明らかのように、採用しているパッケージのデフォルト仕様のまま、明確なセキュリティポリシーがなく、採用パッケージごとにバラバラの仕様の銀行というのは、極めて問題だと思います
      親コメント
    • さらにOpera8.5にはこんな事を言われたんですが、、、
      サーバー www2.ib-center.gr.jpとの通信は暗号化されていますが、証明書にエラーがあります: サーバーがセキュアでない暗号化レベルを要求しました。
      この接続を使用してサーバーに重要な情報を送信することは安全ではありません!
      中略
      TLS v1.0 128 bit ARC4 (512 bit RSA/SHA)
      ううむ
      親コメント
    • by Anonymous Coward on 2005年11月02日 3時09分 (#824305)
      そのリンクから私がログインしようとしたところ
         「お客様のブラウザをチェックしました所、
        このバージョンではちばぎんマイアクセスを御利用することはできません。
        当行が推奨するブラウザをダウンロードしてください。」

      って言われました。(当方Firefox 1.0.7)

      ブラウザチェックとバージョンチェックがごっちゃになってるぜ大丈夫かよオイ!とか
      IEだけかよ使えねーなオイ!とか思ったのですが、この深夜に部屋で一人キレてもしょうがないので
      とりあえずトップページから利用可能ブラウザを見てみたところ
      なんとMicrosoft InternetExplorerとNetscape Communicatorの文字が。
      (Windows98、2000、NT4.0 / ME / XP はNC4.75,4.78、MacOS8.6、9.0、XはNC4.7)

      しかも
       *Netscape6.X 7.Xはご利用になれません。
      の注釈付きでした。
      (日本語版がリリースされてない為Netscape8は無いと思われる)

      さすがにここまで来るともう何もいうことはありません。
      親コメント
      • 上司「Firefoxなんて保証の怪しいモノに対応して、何か不具合がでたらキミ達責任とれんの?」
        部下「・・・」
        上司「顧客がFirefoxに対応しろって言い出すまで放っておけば良いんだよ」
        部下「・・・」
        ...という情景が目に浮かびますが、システムの動作を保証しなければならない側からすると「一定のシェアがある(あった)、かつブラウザの側に商用サポートがある(あった)」というのは矢張り大きなポイントなのですよ。
        責任持って品質を保証できないモノに「対応」しちゃって、なにか問題が発生した場合に責任とらされるのは嫌ですから。

        要は動作確認に投入できるコストの問題なのですが、細かな制御をしようとするとブラウザ間の差異は馬鹿になりません。
        NS6のリリース当時、ブラウザの基本品質のテストになんて割ける工数なんてねーよ、と私も叫んだものです。
        結局、そのプロジェクトではNS6をサポートしませんでしたが、その判断時には上記のようなやりとりが...
        親コメント
        • by Anonymous Coward on 2005年11月02日 10時41分 (#824425)
          >Firefoxなんて保証の怪しいモノに対応して、何か不具合がでたらキミ達責任とれんの?

          この表現って、的確に問題提起してますよね
          いつからIEが何を保証したんだろう、って思いますから

          結局は何が起こっても顧客のせいにされるわけで、
          それなのにIEじゃなきゃダメという不便さを押し付けて
          当たり前というネットの状況は異常です
          親コメント
      • Opera8.5だと、次の画面に進むようですが…
        それも、Operaとブラウザを認識させた状態で…

        って、単純にFireFoxだったら弾くだけって事か?
        なんか、銀行のシステムにしては間抜けすぎるというか…
        --

        /* Kachou Utumi
        I'm Not Rich... */
        親コメント
      • by Anonymous Coward on 2005年11月02日 5時59分 (#824321)
        > この深夜に部屋で一人キレてもしょうがないので
        夜中にキレるのは近所迷惑なので正しい行動(笑)

        > 利用可能ブラウザを見てみたところ
        > なんとMicrosoft InternetExplorerとNetscape Communicatorの文字が。
        そのブラウザチェック [chibabank.co.jp]のページですが、
        私の環境(Windows2000 SP4, Firefox1.0.7)でこのページの”ブラウザをチェック”を行ってみたところ

         お使いのブラウザは Windows2000版 Netscape Communicator5.0 なのでご利用になれません。

        と表示されました。
        あぁ確かにWindows2000版で使えるのはNC4.75と4.78だから、例え上位バージョンでも駄目なのね。
        結構硬いブラウザチェックにしてるじゃないか。などと思う訳がありません。

        ブラウザチェックはJavaScriptなのですぐにソースが見られたのですが、
        お前User AgentにMSIEって入ってなかったら全部Netscape Communicator扱いかよと。
        この頃既に存在しているOperaも当然NC扱いです。
        ここまで乱暴な分類のしかたは学生でもやらないぞと、流石に呆れました。
        親コメント
        • by Anonymous Coward on 2005年11月02日 6時54分 (#824326)
          > この頃既に存在しているOperaも当然NC扱いです。

          NC扱いなのでしょうか?と書こうとして修正忘れて上げてしまいました。
          しかし、よく考えるとOperaってUAに"MSIE"の文字が入ってたと思うので
          IEとして認識されるかもしれませんね。
          #824317 [srad.jp]はログインの次画面まで進んだという事ですし。

          あとですね、ログイン画面のJavaScriptも見てみました。
          するとブラウザチェック画面とログイン画面ではチェックルーチンが違っています。
          こういうのってどちらも同じチェックルーチン使わないと意味が無いですよね?
          この運用だと、ブラウザチェックでは引っかかると思われるNC4.73が
          ログイン画面では恐らく通過するでしょう。
          ブラウザチェックの動作リストの意味がありません。

          流石にNC4.73でログインする人はもういないと思うけど、
          そういう所まで考えての開発でしょうに。随分と杜撰な事してるなぁと思いました。
          反面教師としてはいい教材だと思うけど。
          親コメント
      • 自分が勤めている会社は案外大きめですが、推奨されているブラウザはIEです。
        ネスケに関しては一応6とか7とか入ってますが、会社側が用意したシステム等は
        未だにNC4.78付近とか存在しています。(残っているという意味で)

        複数のブラウザに対応して時間とお金を搾取される事が(銀行側に)良いわけでもなく、
        また、法人という枠の中で、今利用されているスタンダードなブラウザへの対応という
        意味では、他のブラウザへの対応をしていない理由も浮かんでくるものです。

        ・・・と、書いてみたものの、右クリック以外でのソース閲覧が出来たり、
        各所に杜撰な部分が目立つのはどうかと思った。
        親コメント
  • by onnoji (27294) on 2005年11月02日 9時41分 (#824380)
    >インストールして何らかのキーを操作

    と記述が。
    ・・・何らかの操作・・・IDとパスワード入力という操作?

    #気になった。(笑
  • おふとぴ (スコア:1, おもしろおかしい)

    by Anonymous Coward on 2005年11月02日 9時55分 (#824390)
    これだけの仕組みを作る腕と実行力があるなら、ちゃんと働けばいいのに。 > 詐欺犯
  • by rnk (11502) on 2005年11月02日 10時21分 (#824412)
    このCDの箱か何かに「封を開けると,口座情報を外部に送ることに同意したこととみなします」のような注意書きがあったらやだな……

    # 地上デジタル・チューナ付きのテレビを買ったら,B-CASカード [b-cas.co.jp]がシュリンクラップ契約になっていました.
  • Shiftキーを押しながら。

    #実はこれでも防げないことがあるなんてことないですよね。。。
    • by seoth (17664) on 2005年11月02日 11時30分 (#824464)
      Shiftキー押しっ放しにしていても、「もう放しても安全」というメッセージって出ませんよね。
      個々人が「これくらい押し続ければ大丈夫」という感覚に頼っていると思います。
      そこで、ドライブがスピンアップするのに手間取るような物理的な細工をCD-ROMに施しておいて、ユーザが「もう大丈夫だろう」と放す頃におもむろにAutorun、とか。

      キーを放すタイミングをスピンアップの音やアクセスランプで判断する人には無効ですが。

      自動実行自体が鬱陶しいという人は
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\Autorun
      を0にしときましょう。

      まあ、今回の事件に巻き込まれるような人は自動で実行されなきゃ手動で実行しちゃうんでしょうけど…
      親コメント
typodupeerror

皆さんもソースを読むときに、行と行の間を読むような気持ちで見てほしい -- あるハッカー

読み込み中...