パスワードを忘れた? アカウント作成
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30
2020年9月のセキュリティ人気記事トップ10
14300300 story
お金

ドコモ口座を悪用した不正引き落とし問題、ゆうちょやイオン銀行など大手銀でも被害 197

ストーリー by nagazou
10日午前段階の話です 部門より
ドコモ口座を悪用した不正引き落とし問題が大ごとになっている。当初は七十七銀行のみの問題とみられたが、全国の地方銀行でも同様の引き落としが発生していることが判明した。このため現在は35行すべてで連携が停止している。ドコモは再発防止策として本人確認を厳格化するとしている。(朝日新聞共同通信t)。

当初ドコモ側は一部銀行の銀行口座登録などを行うことで対処していたが、最終的にはすべての提携金融機関でのサービス申込受付が停止されたなど対応が二転三転した。ただ10日の午前段階では、すでに口座連携済みのドコモ口座に関してはまだチャージが可能とされ、口座の持ち主が気がついておらず、発覚していない場合は引き落としが可能。このため被害拡大が収まったとはとても言えない状況だ。

今回の件の大きな問題は、ドコモのキャリア契約をしていなくてもドコモ口座のアカウントは作りたい放題だったこと、ドコモ口座を利用していないどころか携帯やスマホを持っていなくても、ドコモ口座の提携銀行に口座を持っていれば誰でも被害に遭う可能性がある点にある。このほか、去年の5月にもりそな銀行から同様の不正引き出しが起きていたとも報じられている(NHK毎日新聞)。

当初の被害は地方銀行口座がほとんどだったが、今はゆうちょ銀行とイオン銀行などでも被害が報告されている(朝日新聞)。9日時点のITmediaによるドコモへの取材によると、被害にあった地方銀行に関してはいずれも『Web口振受付サービス』を使ってドコモ口座と連携していたそうだ。

このシステムの場合、ドコモ口座側から預金口座振替の新規登録が可能となっていた。つまりネットバンキング口座のないユーザーでも被害に遭う可能性がある。また、いずれも登録には口座番号と名義、4桁の暗証番号の3点を利用していたとも話しているとのこと。

これらの話や被害者などの発言などから、ネット上では4桁の暗証番号だけを固定して口座番号を総当たりするリバースブルートフォースとIPアドレスを変えて攻撃を気付かれにくくするパスワードスプレーが使われたのではないかという推測が出回っている模様。

また今回の被害について、ドコモに被害を通知しても無関係だと言われ、当初はドコモ側に信じてもらえない事例も複数発生していたようだ(NHK)。

ドコモは10日、被害者に全額補償する方向で銀行と協議を開始した模様(共同通信)。
14573842 story
テクノロジー

日本政府、セキュリティの観点から中国製ドローンを排除へ。既存品も1~2年で入れ替え 122

ストーリー by nagazou
どれくらいの数が省庁で使われているのだろう 部門より
日本政府は、2021年度から政府が購入するドローンのセキュリティ対策を強化するという(毎日新聞ビバ! ドローン)。

ドローンによって収集されたデータが、外部に盗み取られるのを防ぐため、2021年度から政府機関・全省庁、すべての独立行政法人がドローンを購入する際、内閣官房に計画書を提出した上で審査を受ける必要があるとしている。これにより、中国製ドローンの新規購入が実質的に禁止されたとしている。

安全保障に関わるもの、犯罪捜査、発電所や鉄道などの重要インフラの点検、人命救助といった分野で使用されるドローンに関しては、計画書の提出が必須になるという。また関連業務を外部に委託する場合も、セキュリティ対策を施されたドローンを使用する必要があるとしている。

ドローンに関しては現在、中国製がシェアの7割を占めているとされる。しかし、国をあげて国産ドローンの開発を進め、保有済みのドローンも1~2年内にこうした国産品などに置き換えていく方針だとしている。米国でも中国製ドローンの使用が禁止されており、日本の米国の動きに歩調を合わせたものとみられる(TechCrunch)。

あるAnonymous Coward 曰く、

「全省庁、すべての独立行政法人が対象」だそうな。

情報元へのリンク

14285398 story
インターネット

note、Internet Archiveで保存できなくなる、古いドメインはブロック 36

ストーリー by nagazou
魚拓失敗 部門より
Internet Archiveからnote関連のキャッシュがまるごと消えてしまったそうだ(5ちゃんねるの書き込み)。新たな登録もできないという。noteの以前のドメインであるnote.muに関しても完全にブロックされているとのこと。

5ちゃんねるのInternet Archive総合スレの書き込みによると、8月上旬まではnote.comドメインのキャッシュが共有されていたという。8月に発生したnoteのIPアドレス流出事故の後に対処されたのではないかとしている。実際にnote.comのrobots.txtを見るとInternet Archiveとウェブ魚拓のクロールを拒否する記述がされている。

あるAnonymous Coward 曰く、

またこれで保存できなくなって2020年代のインターネットの歴史に空白が生まれましたとさ

情報元へのリンク

14326462 story
ニュース

ゆうちょ銀行で「ドコモ口座」以外のサービスでも不正預金引き出しが発生 127

ストーリー by nagazou
家族の口座なども確認を 部門より
高市早苗総務大臣は9月15日の記者会見で、ゆうちょ銀行からドコモ口座を含む6つの決済サービスから不正な預金引き出しが起きていたと発表した(高市総務大臣記者会見[該当部分は7分12秒あたりから]ITmediaケータイ Watch)。

これは11日に行ったゆうちょ銀行からのヒアリングで判明したという。ゆうちょ銀行が即時口座振替(銀行口座連携)を提供している12の決済サービスのうち、6サービスで不正出金が確認されたとしている。ゆうちょ銀行側は被害が発生したサービスについては現在調査中であるとして、どのサービスで不正出金が起きたのかは公開していない。

なお、ITmediaによるとゆうちょ銀行が提供している12の決済サービスは以下の通り。このうちドコモ口座とKyashに関しては新規の口座振替の申し込みを停止しているという。Kyashは不正な貯金の引き出しがあったかは現在調査中という(日経新聞)。
  • 支払秘書(ウェルネット)
  • ドコモ口座(NTTドコモ)
  • Kyash
  • PayB(ビリングシステム)
  • FamiPay(ファミマデジタルワン)
  • pring
  • PayPal
  • PayPay
  • メルペイ
  • ゆめか(ゆめカード)
  • LINE Pay
  • 楽天Edy

高市総務大臣は、ユーザーに対して記帳などをして不審な出金がないか確認するよう求めている。ただしこれはゆうちょ銀行に限らずだが、未記帳件数が一定行を超えると、取引額がまとめて表示され合算されてしまう仕様がある。ドコモ口座問題でこの仕様により、不正取引が見つけにくくなっているという指摘が出ている(Togetterゆうちょ銀行「お取引履歴(通帳未記帳分)のご案内」の送付廃止)。

例えば「イッカツ+合算された期間の取引金額」といった表示パターンだ。このため、記帳だけでなく、取引がまとめて合算表示されている部分に関しては、記載が抜け部分の履歴に関しても、銀行の窓口で発行しないと完全に確認できない場合があるので注意したい。

14333875 story
セキュリティ

リバースブルートフォース攻撃で狙われやすい暗証番号は? RockYouから流出したパスワードから解析 80

ストーリー by nagazou
心当たりのある人はパスワード変えましょう 部門より
ドコモ口座などの不正預金引き出し事件で、パスワードを固定しつつもユーザーIDを様々な辞書データなどから総当たり攻撃を行う方法をとるリバースブルートフォース攻撃の注目度が高まっているが、その固定するパスワードの選定も攻撃の成功率を高めるためには重要だ。

通常は過去に流出したデータなどを元にして解析が行われるらしい。2009年に3200万以上のユーザーアカウントの情報が盗まれ、流出しているソーシャル・ガジェットサイト「RockYou」データなどがよく使われている可能性があるようだ(TechCrunch)。Togetterのまとめによると、このRockYouから流出した4桁暗証番号の分布を解析した人たちがいるそうだ(Togetter)。

ACTIVE GALACTICさんによれば、月日(MMDD or DDMM)と比べて2文字の繰り返しや西暦年(YYYY)の方が高頻度だったという。また底灯天⛩徐嶺依さんの解析によれば、0101~1231までの誕生日ベースの数字が全体に多く、またヴァン・ヘイレンのアルバムから取ったと思われる5150といったものもあるようだ。 そのほか、ピンポイントで使われている2580、8520、7410はテンキー縦一列などから取られたものである模様。ほかにも、5683はラテン文字圏で "LOVE" の隠語、5254はタガログ語圏で「Mahal na mahal kita. (あなたをとても愛しています)」の隠語といったようにターゲットにしやすい怪しげな数字の組み合わせはいくつかあるようだ。

なおRockYouデータを元にした解析は過去にセキュリティ企業によっても行われているが、そのときの上位にいたのは123456、123456789、Password、abc123といったおなじみのものだった。
14386383 story
医療

ランサムウェア攻撃の結果として初の死者、ドイツ・ケルンの検察が過失致死容疑で捜査 73

ストーリー by headless
過失 部門より
ドイツ・デュッセルドルフで大学病院のシステムがランサムウェアによる攻撃を受けて救急患者を受け入れられなくなり、遠くの病院へ搬送されることになった78歳の女性患者が死亡した件について、ケルンの検察が過失致死容疑での捜査を開始したそうだ(APの記事Kölner Stadt-Anzeigerの記事HackReadの記事The Registerの記事デュッセルドルフ大学病院のプレスリリース)。

このランサムウェアが表示するランサムメッセージの宛先はデュッセルドルフ大学(ハインリッヒハイネ大学)になっており、誤ってデュッセルドルフ大学病院を攻撃してしまったようだ。ランサムウェア攻撃者の中には医療機関を攻撃しないと明言している者もいるが、この攻撃者も地元警察から連絡を受けて攻撃を中止し、復号鍵を提供している。しかし、死亡した女性が救急搬送されてきた11日深夜の時点でシステムは復旧しておらず、約30km離れたブッパータールの病院に搬送されることになる。これにより処置が1時間ほど遅れ、病院到着後しばらくして女性は死亡した。医療機関へのランサムウェア攻撃により救急患者が別の医療機関へ搬送されるのは今回が初めてではないが、ランサムウェア攻撃の直接的・間接的な結果として死者が出るのは初とみられる。

ケルンの検察官は当初、恐喝やコンピューター破壊容疑で捜査していたが、過失致死容疑が十分に成立すると判断したそうだ。ただし、女性が死亡した当時の状況がまだ完全には明らかになっていないことを強調したとのこと。なお、攻撃者は復号鍵の提供後、連絡が取れなくなっている。また、ランサムウェアが悪用した脆弱性はCitrix ADP/Gateway/SD-WAN WANOPアプライアンスで見つかった任意コード実行の脆弱性(CVE-2019-19781)で、1月に修正済みビルドがリリースされている。
14320753 story
お金

日本電子決済推進機構の「Bank Pay」、ドコモ口座問題と同じリスクがあるとして新規受け付けを停止 50

ストーリー by nagazou
利用者は取引履歴確認を 部門より
h-harry 曰く、

日本電子決済推進機構が推進しているQRコード決済「Bank Pay」にa href="https://security.srad.jp/story/20/09/09/2032247/">ドコモ口座と同じ問題が見つかり現在新規受け付けを停止している(日本電子決済推進機構[PDF]読売新聞)。

「Bank Pay」もメールアドレスだけで新規アカウント作成が可能で、一部金融機関の口座と紐付けで本人確認が不十分だったようだ。現在、セキュリティー強化の為に「SMS 認証の導入」、「 eKYC の導入検討」、「不正取引モニタリングの高度化」など行っているようだ。

日本電子決済推進機構によると、14日時点ではBank Payを利用した不正取引は発生していないという。仮に不正取引があった場合でも不正取引で発生した損害に関しては全額補償するとしている。Bank Payの利用者数は14日時点でおよそ1万1000人だとしている。

14399244 story
お金

Twitterでハッカーに優しい銀行が話題に 80

ストーリー by nagazou
親切 部門より
Twitterで一部の銀行がハッカーに優しい仕様だとして話題になっていたようだ。イオン銀行やローソン銀行では、ユーザーの誕生月別に支店名が振り分けられる仕様であることから、支店名から名義人の誕生月が特定可能となる(発端となったriron博士のツイートINTERNET Watchイオン銀行ローソン)。

先日のリバースブルートフォース攻撃で狙われやすい暗証番号の話でもあったように、生年月日を暗証番号を例にしているユーザーはとても多く1~31日の日付、いや月によってはもっと少ない数字だけの調査で「当たり」暗証番号を引く可能性はとても高い。つまり攻撃者にとって、攻めやすいとても親切な銀行というなる。

なお誕生月別よりは安全だと思われるが、セブン銀行も支店名から口座開設月の特定が可能となっているとのこと(セブン銀行)。
14304518 story
インターネット

「ログインしたまま」「ブラウザにパスワードを記憶」を利便性重視と評価、フィッシング対策協議会 105

ストーリー by nagazou
顔認証に関してはマスクのせいもあるとは思う 部門より
フィッシング対策協議会は9日、インターネットサービスの認証方法に関するアンケート調査の結果を発表した(インターネットサービス利用者に対する「認証方法」に関するアンケート調査結果フィッシング対策協議会)。調査は02月28日~03月2日の約1か月の間、ネット上で行われたもので、回答者数は562名となっている。調査の目的としては、各種Webサービスの事業者が採用している認証方法についての利用状況の把握と、提供者側と利用者側の意識の違いなどを知るために行われたものだという。

よく利用するインターネットサービスに関する回答結果では、メールが65.3%、ニュースが60.9%、SNSが51.4%となっている。この中でも18~29歳ではSNSが79.3%と高い割合となっている。これらの若い世代に関しては、LINE、Facebook、TwitterといったSNSを利用したサービス認証の利用が77.5%と多くなっている。全体の平均では59.4%で、40~49歳になると59.6%、50~59歳になると46.4%にまで低下する。

各種Webサービスが「ログインしたままの状態」に設定できる場合、設定できると答えた人は、年齢全体では34.3%だったのに対して、18~29歳では49.5%と大幅に多いことが分かった。こちらに関しては30~30歳になると36.0%まで一気に下がり、それ以上の年代でもログインしたままの状態にしておく人の割合は低い。

ブラウザにパスワードを記録させることが多いかについては、こちらも18~29歳は46.8%、30~30歳も39.6%ほどと高めになっている。記憶力に自信がなくなってきていると思われる60~69歳の高齢層も39.3%と高めになっている。40~59歳の年代の人はこうした機能の利用に比較的抵抗があるようだ。

スマホの画面ロック方法については、パスコード方式が42.2%、指紋認証が34.7%、顔認証が23.1%、ロックしていないが23.1%となっており、顔認証や指紋認証についての質問に関しては、顔認証については18.9%の利用者は嫌っており、生体データをサービスへ預けることに嫌悪感を持っているとする回答もあったとしている。
14432127 story
Windows

Windows XP/Server 2003のソースコードが流出か 41

ストーリー by headless
流出 部門より
流出したWindows XP/Server 2003のソースコードとされるものがオンラインで出回っているそうだ(The Vergeの記事BleepingComputerの記事Neowinの記事BetaNewsの記事)。

複数のファイル共有サイトで公開されているというtorrentファイルにはWindows XP/Server 2003のほか、過去に流出が報じられたWindows NT 4.0/2000のソースコードXbox/Windows NT 3.5のソースコードWindows 10 Shared Source Kitなども含まれており、合計サイズは43GBだという。また、ビル・ゲイツ氏に関する陰謀論の動画も含まれており、偽情報の拡散が目的とも指摘されている。アップローダーとされる4chanユーザーは数年前からハッカーの間で流通していたファイルをまとめたものだと述べているとのこと。

BleepingComputerによれば、別途Windows XP/Server 2003のソースコードのみを含む2.9GBの7zファイルも流通しているようだ。BleepingComputerではソースコードを見ても本物かどうかは確認できなかったと述べているが、The Vergeは本物だと確認したという。ただし、本物と断定する根拠については示されていない。Microsoftでは報じられた内容について承知しており、調査を行っているとのことだ。
typodupeerror

アレゲはアレゲを呼ぶ -- ある傍観者

読み込み中...