インターネットバンキングで正規サイトにログオン後、不正なポップアップ画面 98
ストーリー by headless
不正 部門より
不正 部門より
hashitomのタレコミによれば、インターネットバンキングで正規サイトへのログオン後に不正なポップアップ画面が表示され、暗証番号などを盗み取ろうとする事例が数件確認されているそうだ(日本経済新聞の記事、毎日jpの記事、NHKニュースの記事)。
不正なポップアップ画面が確認されたのは、ゆうちょ銀行、三井住友銀行、三菱東京UFJ銀行の3銀行。サーバー側に異常は見つかっておらず、不正な画面の表示が一部の利用者に限られることから、警察庁は利用者のパソコンがウイルスに感染しているものとみてデータ提供を求めているとのこと。3銀行では利用者にWebサイトで注意を呼びかけている(ゆうちょ銀行からのお知らせ、三井住友銀行からのお知らせ、三菱東京UFJ銀行からのお知らせ)。
不正なポップアップ画面が確認されたのは、ゆうちょ銀行、三井住友銀行、三菱東京UFJ銀行の3銀行。サーバー側に異常は見つかっておらず、不正な画面の表示が一部の利用者に限られることから、警察庁は利用者のパソコンがウイルスに感染しているものとみてデータ提供を求めているとのこと。3銀行では利用者にWebサイトで注意を呼びかけている(ゆうちょ銀行からのお知らせ、三井住友銀行からのお知らせ、三菱東京UFJ銀行からのお知らせ)。
ポップアップ画面であることが重要なの? (スコア:5, 興味深い)
ゆうちょ銀行のお知らせ [japanpost.jp]では
と書いてある。三井住友銀行のお知らせ [smbc.co.jp]でも
とある。だけど、ポップアップ画面であることって何か重要なんだろうか。本来ないはずのポップアップ画面を出すことができるということは、たぶんウェブページのフォームの送信先を書き換える等、ポップアップ画面を使わない手法で情報を入力させることも簡単にできる状態にあるように思うんだけど。そうだとしたら、単に今出回っているマルウェアがポップアップ画面を使っているだけで、「ポップアップ画面が出たら気を付けろ」なんて言っていたらすぐにポップアップ画面を使わないバージョンが出回るだけだろう。「今出回っているマルウェアはこうだけど、変種が出てくる可能性もあるから情報収集に努めてほしい」とか何とか書くべきなのではなかろか。
「おれおれ詐欺」という言葉がはやった後、「おれおれ」と言わない振り込め詐欺が出てきて、「おれおれ」という言葉にだけ注意していた人たちがまんまと騙された。「ポップアップ画面に注意」というのも似たような話にならないかと心配。
Re:ポップアップ画面であることが重要なの? (スコア:2)
いや、そのりくつはおかしい。 (AA略)
今回の仕組みで偽画面が表示されるのは、既にパソコンが乗っ取られた後だと考えられるので、表示されているアドレスとページ内容が一致する保証はない。そもそも、その保証があるなら、攻撃者は今回のポップアップ画面を表示することもできないわけで。攻撃者がミスをしない限り、アドレスバーを確認しても偽画面かどうかはわからない。
攻撃者がミスをして、偽画面である証拠をアドレスバーなり他の部分なりに残してくれる可能性はあるけれど、それはポップアップ画面であるかどうかとは無関係だと思う。
Re:ポップアップ画面であることが重要なの? (スコア:2)
何言っても聞かない人も一部にはいるだろうけど、大半の人はニュース等で「こういうことに気を付けましょう」と言っていたらしばらくは注意を向けるものだと思う。無駄ってことはないんじゃないかな。
Re:ポップアップ画面であることが重要なの? (スコア:2)
常識って、誰にとって? 「別バージョンが出てくる可能性にも注意」と書くのがわかりきっていて無駄だとは、僕にはとても思えない。
Re:ポップアップ画面であることが重要なの? (スコア:2)
ある。 #2260991 [srad.jp] で
と書いた通り。
起こっていそうなこと (スコア:1)
- なんか変な虫が常駐して、最低でもHTTPトラフィックの中身は全部読まれてるんだろうな。現在も続々送信中かも。
- 老人とかマスコミが危険性だけを煽る
- ゴミ役人は規制団体を作る大義名分ゲットで祝杯
不正なポップアップ画面 (スコア:1)
ゆうちょ銀行と三菱東京UFJはお知らせの中に不正なポップアップ画面例を表示ししているが、三井住友のお知らせには無い.
被害にあったパソコンの状況をまだ確認出来ていないのか、単にユーザーに対する配慮が欠けているだけなのか........
#「ポップアップ」が何か分からない人がいてもおかしくはないと思わなきゃ
今更だなぁ (スコア:1)
Webブラウザにダイアログ“詐称の脆弱性あり”との主張 [srad.jp]
これ7年も前の記事だけど、人間の考えることはいつの時代も変わらないんだね。
まぁ、なりすましなんてものは、有史以来、どの時代でも起きてた「悪さ」の一つではあるけどもw
Re:今更だなぁ (スコア:2)
小島肇さんのセキュリティホール memo [ryukoku.ac.jp]では
日経BP ITプロ [nikkeibp.co.jp](2007年)が報じた F-Secure の警告
RSA [rsa.com]
Kaspersky [threatpost.com]
のリンクを示して Man-in-the-Browser 攻撃の可能性を疑っているようす。
これを「新たな手口」と言いきると、当人が不勉強を恥じるような昔からのことなんだなあ。
Re:今更だなぁ (スコア:1)
それにしても、7年前と今のここの内容の落差に少し吹いたw
単に当たり前の事になったから誰も真面目に議論しないだけなのか、ここの層が変わったのかw
パスワード確認時の乱数表を全て入力させる (スコア:1)
三菱東京UFJのサイトで事例を確認してみたが、暗証番号を盗むのではない。
ユーザに配布されているパスワード確認時の乱数表を全て入力させるということのようだ。
普通は気付くと思うが、たまにしかログインしない人で何かとリテラシーの低い人は結構引っかかるのかもしれん。
やっぱりワンタイムパスワードを導入するしか解決の道はないわけだな。
Re: (スコア:0)
三井住友に至っては、ワンタイムパスワードを有償提供などと眠いことをしている
子会社のジャパンネット銀行はデフォルトでワンタイムパスワードだというのに・・・。
Re:パスワード確認時の乱数表を全て入力させる (スコア:3, 参考になる)
保険料みたいなものかと。月105円の掛け捨てです。
ちなみに、ポイントパックに入っていて、毎月ポイントが貯まるようなことをしていたら、ポイントで使用料を払えます。
Two-factor authenticationにすらなっていない銀行、信用金庫は結構あるので、それに比べると有料でもサービスを提供してくれるだけありがたいとおもいます。三井住友は生体認証、two factor authなど最新のセキュリティ技術を導入した日本で最初のメガバンクだと思うので、そういうところで信頼しています。
ちなみに、三大都市銀行のOTPの価格、対応時期、方式はこんな感じです。
三井住友: 費用: 初回 1,050円、105円/月 開始: 2006年2月*1 ハードウェアトークン(RSA,The Security Division of EMC)
みずほ: 費用: 2,100円/5年 開始: 2008年03月*2 ハードウェアトークン(VASCO Data Security International) *3
東京三菱UFJ: 費用: 0円? 開始: 2012年02月12日 6digitトークンをメール送信*4 (実証実験開始: 2006年春 / キャッシュカード内蔵 *5)
*1 http://www.smbc.co.jp/news/j600034_01.html [smbc.co.jp]
*2 http://www.mizuhobank.co.jp/company/release/2008/pdf/news080219_1.pdf [mizuhobank.co.jp]
*3 http://itpro.nikkeibp.co.jp/article/NEWS/20070222/263016/ [nikkeibp.co.jp]
*4 http://direct.bk.mufg.jp/info_news/20111220_onetimepw/index.html [bk.mufg.jp]
*5 http://www.dnp.co.jp/news/1189558_2482.html [dnp.co.jp]
ジャパンネット銀行が無料でハードウェアトークンを配ったのはスパイウェアによる送金問題が取り沙汰されたからかと思います。
http://internet.watch.impress.co.jp/cda/news/2005/07/13/8395.html [impress.co.jp]
世の中ある程度の保険料をかけても安全性を保ちたい人はいますよ。生体認証の登録料は昔1,050円かかっていましたが、これだと1日に1,000万円までおろせるようになるので、まぁ、そういうお金を動かしている人が使うものだと思いました。
Re: (スコア:0)
ジャパンネット銀行って口座維持費はかからないのか?
ワンタイムパスワードのトークンを全ユーザに無償で配布するって結構なコストがかかると思うんだが。
Re:パスワード確認時の乱数表を全て入力させる (スコア:1)
http://www.japannetbank.co.jp/information/fee/account.html [japannetbank.co.jp]
廃止したらしいですね、つい最近。きっと従来にもまして本気なんだなあ。
Re:パスワード確認時の乱数表を全て入力させる (スコア:3)
>たぶん暗号強度の問題なんだろうが。
暗号強度というか、所詮疑似乱数を発行しているだけなので、
乱数の生成アルゴリズムと種を見破られない程度の期間かなと。
さすがに利用実態の無い顧客には送らない様で。
切り替えるから最低額の入金をしてくれと言う督促メールが定期的に送られてきておりますw
>全てのトークンを口座番号と紐付けしながら。
紐付けは最初の利用時に行いますね。
トークンの発行する番号を何度か入力させて、サーバー側で一致する物を見つけている様な感じでしたね。
もうね、お年寄りは怖がって誰もインターネット使おうとしない (スコア:0)
報じられ方も問題在るけど、悪質な手口が大杉。
Re:もうね、お年寄りは怖がって誰もインターネット使おうとしない (スコア:2)
事件が成立してるかどうかは知らないけど、県警のお知らせメールを受信してると、少なくとも複数の県で振り込め詐欺事案は今でも相当発生してることがわかる。
だからインターネットバンキングをやってる年寄りを標的にする必要性はまだ低い。
通帳と判子を使わない銀行手続にまだまだ不安感を持っているお年寄りは多いしね。
ただ、振り込み詐欺の成功率が落ちる将来を見越して、インターネットバンキングに方向転換を図っている輩がいても不思議ではない。
その被害に遭うのは歳をとった私等の世代だと思うよ。
Re: (スコア:0)
悪質な手口なのは認めるが、正直、2ch(2chに限らないが)で怪しげなソフトをDLしてPC乗っ取られても、自業自得であんま同情心は起きないんだがなあ。
まあ、サイト閲覧だけで仕込まれるとかもあるけど、ウイルス対策やFWしてない人ほんと多いし、それすらしないで人のせいとか誤認逮捕ってのもなあ。
ネットは無法地帯だという認識が必要なのかもしれないね。
Re:もうね、お年寄りは怖がって誰もインターネット使おうとしない (スコア:5, すばらしい洞察)
他人の不幸を「自業自得」でかたづけちゃうような人は
自分は知識も備えもあるから悪徳商法に引っ掛からない、と、思い込んでいる人で
罠に引っ掻ける側からするとカモなんだそうです。
御注意ください。
Re:もうね、お年寄りは怖がって誰もインターネット使おうとしない (スコア:2)
ご注意して読まなくても分かるけど、論理的に変だね、それ。
Re:もうね、お年寄りは怖がって誰もインターネット使おうとしない (スコア:2)
「危険な行為」に「自分も手を出してしまうかも」と思っていたら気をつけよう、と思うだけ。
「自分は手を出さない」と思っている人と「自分も手を出してしまうかも」と思っている人
一番大きく引っ掛けやすいのは前者(これは詐欺師のコメントなり見ればいくらでも出てくる)
小さくでも引っ掛けやすいのはそんなん知らん、自分には関係ないと思ってる人だろうけど。
Re:もうね、お年寄りは怖がって誰もインターネット使おうとしない (スコア:2)
>ウイルス対策やFWしてない人ほんと多いし、それすらしないで人のせいとか誤認逮捕ってのもなあ。
騒動になった遠隔操作ウイルスは、ウイルス対策やFWしてあっても防げなかったのでは?
各ベンダーが対応したのは後からですし
ψアレゲな事を真面目にやることこそアレゲだと思う。
Re: (スコア:0, すばらしい洞察)
まず、怪しいか怪しく無いかの判断が出来ないんですよ。
慣れてる人なら常識的として信頼できるサイトでも分からない人には分からないから、全てを警戒して何もしないか、一切無警戒でノーガードになってしまう。
Surface(RTの方)みたいに審査済のアプリしか入らないWindowsマシンはやはり必要でしょう。
Re:もうね、お年寄りは怖がって誰もインターネット使おうとしない (スコア:1)
2chでよくある「嘘を嘘だと見抜ける人でないと...」のもじりですが、「危険を危険と見抜ける人じゃないと、インターネットを使うのは難しい」ということでは?
だからといって、インターネットを使うのを免許制にしようとは思いませんが。
要は自転車みたいなものでしょう。子供でも免許なしで乗れるけれど、交通ルールを教える機会が定期的にあって注意喚起しますよね。
Re:もうね、お年寄りは怖がって誰もインターネット使おうとしない (スコア:1)
>もしかして痴漢に遭うのは女が挑発するような服装をしてるのが悪いんだとか言っちゃう頭の悪い人?
それはちょっと極端だけど、外国旅行で治安の少し悪いところに行く場合は、近寄らない、目立たないカッコをする、カバンは後ろではなく前に抱えるとか普通にしますよね?そんな対策をしておけば、楽しく旅行ができる(可能性が高い)わけで、それと同じと考えればよいのじゃないでしょうか。
後ろポケットに長財布刺していてスリにあったところで、気の毒ではあるがまあ仕方ないなと思うわけで・・。
Re:もうね、お年寄りは怖がって誰もインターネット使おうとしない (スコア:1)
治安を解決する方がより建設的だと思うのだがどうだろう。
自衛は所詮その場凌ぎで、根本的な解決にならないし。
実際問題として、治安がいい場所は存在するわけで、つまり不可能ではないことを意味してるんだし。
世界のどこにも治安がいい場所がなく、そんなものは理想上にしか存在しないというなら
自衛しないのが悪いという結論に達してもしょうがないとは思うが。
Re:もうね、お年寄りは怖がって誰もインターネット使おうとしない (スコア:2)
「治安を解決する」のに必要なコストは誰が出すのか?という問題だと思うんだけど。
#「紛争状態の国と平和な国、どっちに住みたいか?」と問われれば誰だって「平和な国」と言う
#でもこの世から戦争が無くなることは当分無いのと同じ。
Re:もうね、お年寄りは怖がって誰もインターネット使おうとしない (スコア:5, 興味深い)
治安維持に市場原理が働かないのがいけないのです。
命ぐらいしか守る者のない貧困層にとって、現在の先進国のような治安、すなわち警察や消防・軍の体制は過剰で無駄な税負担。
もし、彼らの命が脅かされたとき、来るまでに時間を要する誰かより、いつもそばにある一丁のカラシニコフの方が彼らにとって遙かに有用で確実です。
逆に、自前でSPなどの警備体制を構築して守らなければならない程大量の資産を持つ富裕層にとって、常駐してくれもしない警察はあまりにも不足で、ただ金を奪うだけの木偶の坊です。
更に、警察や軍・消防などが民営化されて市場原理が働けば、警備産業が活性化して経済が潤うし膨大な雇用が生まれるのは間違いありません。
故に、一刻も早く日本も警察を解体し、全ての火器、兵器の所持・使用を自由化し、市場原理にまかせるべきです。
そうすれば、あなたの資産価値、そしてあなた自身の命の価値に見合った警備をリーズナブルな価格で実現できるようになるでしょう。
とはなぜかガチガチの市場原理主義者でさえ言わない不思議w コストいうならここまで言えば良いのに。
本来、市場原理を働かせるのにそぐわないサービスが公共サービスとして残っているわけですから、当然なのですけどね。
Re:もうね、お年寄りは怖がって誰もインターネット使おうとしない (スコア:2)
ネットの場合、「治安が良くなるということは言論の自由が大幅に制限されます」ということなので
それを望むのであればホワイトリスト式のペアレンタルコントロールでも使え、となります。
だからコストの問題ではなく、治安と自由の両方を望むことはできない、という問題だと思います。
Re: (スコア:0)
>治安を解決する方がより建設的だと思うのだがどうだろう。
まあ、それもあるけど、現状では自衛せざるを得ない状況下で、自衛していないのもどうかと思う。
両面から収斂させていけばよいのじゃないでしょうか。
Re:もうね、お年寄りは怖がって誰もインターネット使おうとしない (スコア:1)
だがちょっと待ってほしい (スコア:0)
常駐してるならずっとこっそりと情報収集し続けていればいいのに、
わざわざ表に出てきて感染していることがわかりやすくなっている。
悪質とは言い切れないのではないか?
Re:IB使ったことないな (スコア:3)
こっそり情報収集じゃダメなんだよ。
Re:IB使ったことないな (スコア:1)
ばれる危険を冒しても一挙に集めるか。
で、後者を選んだと。
#全部補完されるのは、コンプガチャ問題と根は一緒でかなりの回数必要。
Re:だがちょっと待ってほしい (スコア:1)
マルウェアとして当該PCに常駐して、ブラウザの挙動を乗っ取る、なんてことしてるなら、
もっとひっそりといくらでもまずいことができそうな気がするよなぁ……
というか、その手のマルウェアなんて、わりと昔からよく騒がれてたはず。
あえて、わざわざポップアップ出してユーザに入力させるってのは、
通常の画面での入出力をジャックするだけじゃ不足な情報があるから、
専用の入力でそれを収集したい、とか、そういうことなのかな?
Re:だがちょっと待ってほしい (スコア:5, 参考になる)
ちょっと追ってみた。
スクショ見ると、ゆうちょは合言葉、三菱東京UFJは乱数表(全部)を入力させるようだ。
ゆうちょの場合、
http://www.jp-bank.japanpost.jp/direct/pc/security/dr_pc_sc_riskbase.html [japanpost.jp]
普段と違う環境でアクセスしたときとかに、合言葉を聞いてくる。
三菱東京UFJの場合、
http://direct.bk.mufg.jp/secure/index.html [bk.mufg.jp]
普段と違う環境からのアクセスのときは、メールで送るワンタイムパスが必要。
で、登録情報の変更等を行う時に、カードの乱数表の入力が必要らしい。
乱数表入手>メールアドレス追加>ワンタイムパスワードゲット! って流れかな?
三井住友は画面ないからよくわからんけど、まあ、似たようなことだろう。
キーロギングやセッションジャックでIDとパスワードが漏れちゃっても、
それだけじゃアクセスできないような仕組みが導入されている。
でも、このポップアップで収集した情報があれば、それを突破できるぜ、ってことだね。
Re:だがちょっと待ってほしい (スコア:1)
>これは銀行側ではどうやって判定しているのか分かる?
わかんない。
判定方針ばれたら悪人に対処されちゃうから秘密でしょうね。
#想像だけど、かなりいろいろやってんじゃないかなぁ?
Re:だがちょっと待ってほしい (スコア:1)
Re:だがちょっと待ってほしい (スコア:1)
>>普段と違う環境からのアクセスのときは
>これは銀行側ではどうやって判定しているのか分かる?
某銀行の場合は、同じPC、同じブラウザからアクセスしてても、2-3ヶ月間をあけてログインすると「新しい環境を検知しました。今の環境を登録してください」と言われる。
PCを初期化してクリーンインストールした直後にも聞かれるなぁ。
OSやブラウザのバージョンの細かい違い以外にも、なにかを検知している模様。
Re:だがちょっと待ってほしい (スコア:1)
> 専用の入力でそれを収集したい、とか、そういうことなのかな?
資金を移動するために,二要素認証 (乱数表とか) の情報を入力させたいのではないでしょうか.
攻撃者としては乱数表を全部入力させるのが理想ですが,怪しまれるでしょうし,セキュアトークンには対応できません.
ID/パスワードの情報は盗聴で得られる (あるいはセッションを乗っ取ればいい) から,バックグラウンドで振り込みの取り引きを進めることは可能です.
振り込みの最後の認証操作 (乱数表の一部を入力するとか,セキュアトークンに表示された文字列を入力するとか) だけを利用者にやらせれば,資金を攻撃者の好きなように動かせますね.
Re:だがちょっと待ってほしい (スコア:1)
http://www.bk.mufg.jp/info/phishing/ransuu.html
http://www.smbc.co.jp/security/popup.html
# ああ,アホなことをIDで書いてしまって恥ずかしい.
## しかも,後半不要だったし.
Re: (スコア:0)
だよねえ。遠隔操作できるならキーロガーも仕掛けられるし、別にそんなことしなくても画面転送すればいくらでも情報は素抜けると思うんだが。
Re:電子政府のあれはどうなの? (スコア:2)
ICカードに穴が有ったらコピーはまだしも、偽装はできちゃったり。
B-CASなんてとんでもないことに成りましたし。
クレカやキャッシュカードはセキュリティが高いと思いたいけどね。
インターネットネットバンキング (スコア:0)
なんだか陽気な海賊の歌っぽくていいですね。
小さなバンキング~♪
Re:インターネットネットバンキング (スコア:1)
ねとねとしてそう。
Re:インターネットネットバンキング (スコア:1)
おしえてえらいひと (スコア:0)
本物のサイトを訪問したタイミングで、偽ポップアップを発生させるウイルスが出回ってるって理解で正しいの?
物騒な世の中になったな。ダマされる前に、欺せって気にもなるわな。
Re: (スコア:0)
ならない、ならない
Re: (スコア:0)
中学生は宿題でもやってろ