パスワードを忘れた? アカウント作成
11560154 story
犯罪

2014年上半期、インターネットバンキングにログインするとウイルスが不正な振り込みを行うMITB攻撃が国内で初めて確認される 21

ストーリー by headless
攻撃 部門より
あるAnonymous Coward のタレこみより。警察庁は11日、今年上半期のサイバー犯罪・サイバー攻撃などの情勢を発表した。インターネットバンキングの不正送金額は上半期だけで既に昨年の総被害額を上回っており、パソコンに感染したウイルスが不正な振り込みを行うMITB(Man In The Browser)攻撃という手口が国内で初めて確認されたそうだ(平成26年上半期のサイバー空間をめぐる脅威の情勢について: PDFINTERNET Watchの記事日本経済新聞の記事)。

MITB攻撃はユーザーによるインターネットバンキングへのログインをウイルスが検知し、自動的に不正送金を実行するというもの。海外では以前から被害が発生していたが、国内でも被害の発生が明らかになったという。インターネットバンキングにおける不正送金被害は昨年、過去最大の約14億600万円を記録したが、今年上半期の被害額は既に約18億5,200万円となっている。背景としては法人名義口座での被害が増加していることや、地域金融機関に被害が拡大していることが挙げられるとのことだ。

(続く...)
このほかのサイバー犯罪でも手口は悪質・巧妙化しており、標的型メール攻撃では対象を絞り込んだ攻撃やWindowsのショートカットを添付したメールによる攻撃が増加。無償ソフトウェアの更新機能を悪用して不正プログラムに感染させるといった手口も今年に入って新たに確認されている(過去記事)。/.Jでも繰り返しストーリーになっているが、WebサービスのID・パスワード使いまわしに着目した不正ログイン攻撃など、インターネットの利用が浸透するに伴って犯罪に巻き込まれるリスクも増加しているとのこと。また、3Dプリンターや仮想通貨などの新たな技術やサービスの登場は社会的利益をもたらす一方で、犯罪に悪用される危険性もあるとしている。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 他の金融先進国では、西暦2000年頃からトランザクション署名付きのトークンが使われています。振込の際には、トークンに振込先の口座番号を入力する必要があるので、トークンに詐欺師の口座番号を入力しない限り、不正振込がされない仕組みです。

    現状日本は、ゆうちょ銀行のトークン [japanpost.jp] も 三井住友銀行のワンタイムパスワード [smbc.co.jp] も、トランザクション署名対応のVASCO(バスコ)のDIGIPASSトークン [vasco.co.jp]なのに、インターネットバンキングのシステム(Webサイト)がそれに対応していない為、使えないという大変残念な状態です。

    あとは、Webサイト側がトランザクション署名に対応させれば、MITB(Man In The Browser) は完全に防ぐことが可能です。

    日本国内で MITB 攻撃が発生した今、ネットバンキングのシステムをトランザクション署名に対応させるべきです。

    • by Printable is bad. (38668) on 2014年09月13日 18時14分 (#2676333)

      西暦2000年頃から
       ↓
      西暦2010年頃から

      親コメント
    • 高木浩光先生のこれ [atmarkit.co.jp]とかですね。

      普及までにはどうしても時間がかかるでしょうから、その間のつなぎにはCD/USBブートのLinuxでも使えないかなぁ、とか妄想しています。各銀行が純正のウイルスフリーCDを配ってとか。でも一般ピープルにはPCの起動デバイスの指定はきっと無理…。

      --
      Jubilee
      親コメント
      • by Anonymous Coward

        このデバイス、どうやってMITBを防ぐのでしょう? 表示後に改竄されたら終わりのような?

        • by Anonymous Coward
          デバイス?

          元ACではないけれど、LiveCDなんでシステムが基本的に読み取り専用。起動直後はいつもクリーン。
          起動して即銀行のサイトにアクセスすればよい。

          MITBはマルウェアによってもたらされるので余計なサイト見なければ大丈夫ということだろうね。
          銀行のサイト自体が改ざんされるのはMITBよりひどい状況なので対象外(MITB不正でもサイトがダメになってるんだから意味ない)。

          銀行を騙ってディスクを配布されたり、起動後~銀行のサイトみるまでに感染したり、そもそも配布したイメージが古くなってセキュアじゃない状態となったらどうするかとか、気にしないといけないことはいろいろあるとは思うけどね。
          • by Anonymous Coward
            あわてなさんな
            リンクリンク
    • by Anonymous Coward

      TANで十分防げると思うのですが...駄目なんかな??
      http://en.wikipedia.org/wiki/Transaction_authentication_number [wikipedia.org]

    • by Anonymous Coward

      サイバー攻撃不正行為が深刻の中国国内では、殆どの金融機関では、4、5年前からMITB対策に取り込んています。

      現在、中国国内の200以上の金融機関では、トランザクション署名対応のOCRAトークン及び液晶画面付きのUSBトークン、及びWebサイト側でトランザクション署名の仕組みでMITB(Man In The Browser) 対策を採用しています。

      WorldWideから見ると、日本の金融機関のインターネットバンキングのセキュリティ対策が数年遅れています。

      • by Anonymous Coward
        専用ハードウェアを併用するぐらいなら、
        そもそもの取引を専用ハードウェアでってとこまではいかないのかな。コスト的に無理?

        MITBでWebページ改ざんできる状況でトークンってどこまで有効なの?チャレンジアンドレスポンスならチャレンジが書き換えられる状況なわけだけど。
    • by Anonymous Coward

      三井住友銀行のはこっちですね。
      http://www.smbc.co.jp/kojin/direct/passca/index.html [smbc.co.jp]

  • by Anonymous Coward on 2014年09月13日 13時30分 (#2676225)

    最近、個人名義口座のインターネットバンキングのアカウントを削除しました。
    仕事ならともかく、個人が差し迫った必要もないのにインターネットバンキングに手を出すものじゃないですね。

    • それなら、
      「宵越しの銭は持たない」
      という生き方が最強でしょう。
      親コメント
    • by Anonymous Coward

      先日「グランド・イリュージョン」という映画を見たんだけど、大規模なマジックショーでのトリックで、罠にはめられた人物の口座から大金が盗まれ、
      観客全員のそれぞれの口座に振り分けて入金されるというシーンがあった。

      で、入金が始まると、観客の携帯電話が次々に鳴り出し、端末を見ると入金通知が表示されているんだわ。
      「欧米のモバイルバンキング普及率はんぱねぇw」と思った。

    • by Anonymous Coward

      必要な額だけ入れておく口座を作れば有用でしょう。
      個人口座は補償もあるわけですから。

      • 今、(個人口座で)使っているインターネットバンキング(の銀行)は、一回と一日の送金額の上限が設定できて(まあ、普通は設定できるでしょう)しかも、書面でしか変更できなかったのです。
        そこで、かなり低めの金額を設定していたわけです。まあ、大金を使う時は、それなりの時なので、銀行まで出かけていけば良いかと。

        それが、「利便性の確保」のために、オンラインでも、上限金額が変更できるように、「改善(?)」されまして、ちょっと、抗議した記憶があったりします。
        一応、今でも、かなり低めの金額を設定してはいますが。
        親コメント
  • by Anonymous Coward on 2014年09月16日 2時12分 (#2677401)

    ブラウザの中には小人さんがいてだな......
    #小人さんの欠点は計算を間違える事くらいなのだ

typodupeerror

最初のバージョンは常に打ち捨てられる。

読み込み中...