三井住友銀行は12日、個人のインターネットバンキングで新たなコンピューターウイルスを悪用した不正送金の被害が発生したと発表した。被害総額は約3000万円。
同行は利用者にセキュリティー対策ソフトや振込完了通知メールの活用を求めている。

 新たなウイルスを使った手口は、利用者が何らかの形でウイルスに感染したパソコンを使ってインターネットバンキング「SMBCダイレクト」にログインすると偽画面が表示される。
その際、犯罪組織側への振込先口座や金額も自動的に設定される。
その上で、利用者が暗証番号を入力すると不正取引が実行される仕組み。
従来は犯罪組織などがメールで利用者を偽サイトに誘導し、IDやパスワードを入力させる「フィッシング」と呼ばれる手法が主流だった。

※下記リンクより、一部抜粋。続きはソースで
http://www.nikkei.com/article/DGXNASFL120SX_S4A510C1000000/

10 名無しさん@13周年@\(^o^)/ :2014/05/12(月) 16:52:14.54 ID:SE8m/v8i0.net

ワンタイムパスワードでやられたらどうしようもねーじゃん

14 名無しさん@13周年@\(^o^)/ :2014/05/12(月) 16:53:40.57 ID:bOEC05Eo0.net

みずほはシステムアレだし三菱東京も詐欺メールがすごいし三井住友まで

24 名無しさん@13周年@\(^o^)/ :2014/05/12(月) 17:00:44.71 ID:YdA/uvJpO.net

三井もしばらく怪しい擬装メールらしきものが送り付けられてたな

27 名無しさん@13周年 :2014/05/12(月) 17:04:22.89 ID:gO+T/z7b2

税金逃れかなw

57 名無しさん@13周年@\(^o^)/ :2014/05/12(月) 17:24:51.85 ID:eKhv5q1L0.net

フフフ・・・ワンタイムパスワードは四天王の中では最弱

58 名無しさん@13周年@\(^o^)/ :2014/05/12(月) 17:25:24.58 ID:JbxPkcBl0.net

ワンタイムでも抜かれるって事は入力した瞬間にリアルタイムで不正送金されてしまうという事か?

100 名無しさん@13周年@\(^o^)/ :2014/05/12(月) 18:03:02.60 ID:gd+TaC1+0.net

PCも安くなったしネットバンキングしかしないPCを1台用意した方がいいかもね

123 名無しさん@13周年@\(^o^)/ :2014/05/12(月) 18:37:47.75 ID:45x0hnTq0.net

そのうち給料袋とか現金に回帰するんじゃねえかな?

143 名無しさん@13周年@\(^o^)/ :2014/05/12(月) 20:05:33.23 ID:MznVl/rW0.net

もしかしてオートコンプリートしか使わない方が安全?

148 名無しさん@13周年@\(^o^)/ :2014/05/12(月) 20:34:23.77 ID:FHoC5pO50.net

つまりタンス預金最強って事か

149 名無しさん@13周年@\(^o^)/ :2014/05/12(月) 20:43:42.41 ID:4W6mtWSj0.net

ここでビットコインですよ

7 名無しさん@13周年@\(^o^)/ :2014/05/12(月) 16:50:35.64 ID:EDYGXiU80.net

これって技術的にグダグダ言い訳しても、結局銀行が信用できない仕組みしか提供できていないって事だよね。

16 名無しさん@13周年@\(^o^)/ :2014/05/12(月) 16:56:31.49 ID:0HYrJ/C30.net

>>7
それを言っては銀行に取って酷かな。
家の鍵とかわらんからね。ネットのセキュリティは常にいたちごっこ。

どういう方法で生成されているのかは知らんが

・使用者本人がワンタイム生成機を盗まれた
・コード生成アルゴリズムが解読された
・銀行本体に入られそのワンタイムパスワードの照合を盗まれた

過失は下に行けば行くほど過失は銀行になるのだが
正直むりっつうもんだろうな。

42 名無しさん@13周年 :2014/05/12(月) 17:15:11.69 ID:lp0d7mcxk

>>7
セキュリティなんて堅くしてほしけりゃガチガチにできるけど
それだと顧客がついてこれないから妥協点を探るんだよ

8 名無しさん@13周年@\(^o^)/ :2014/05/12(月) 16:50:52.99 ID:0HYrJ/C30.net

ワンタイムでもやられたのか?
仕組み的にはあのパスワードは時間?や普通口座の番号に依存しているのだろうか?
まぁワンタイムのそのコードがハックされたのか大本がハックされて暗号が破られたのかは分からんけど
恐ろしいこともあるもんだな。

38 名無しさん@13周年@\(^o^)/ :2014/05/12(月) 17:11:41.99 ID:p9YI24T30.net

>>8
ユーザーには偽画面を表示させて、詐欺師がその入力を本ページに中継?するらしい。
リアルタイムに中継するんでワンタイムパスワードも有効になってしまう。

対処するならPCとは別経路で認証する方法をとるしか手がない

49 名無しさん@13周年@\(^o^)/ :2014/05/12(月) 17:16:58.47 ID:0HYrJ/C30.net

>>38
ああなるほどな。
そういうハッキングの方法か・・・
ユーザーが注意すれば防げる事故と言うわけだな。
時々来るからな。

しかし去年からかなりハッキングされまくっているね。
去年の2chの●とか官公庁や東大や理研とかもか?

俺のマイクロソフトアカウントもハックされてたwww
俺のせいじゃないけどなw パスワード7種類ぐらいあるがもう増やせない。
面倒だから大体1passwordに入れておいているけど。

62 名無しさん@13周年@\(^o^)/ :2014/05/12(月) 17:26:10.32 ID:nNI1IOyb0.net

>>38
>対処するならPCとは別経路で認証する方法をとるしか手がない

ケータイ・スマホか

79 名無しさん@13周年@\(^o^)/ :2014/05/12(月) 17:41:47.96 ID:Wtx8mzXB0.net

>>62
住信SBIが始めたね。これが最強のセキュだろ

87 名無しさん@13周年@\(^o^)/ :2014/05/12(月) 17:48:56.31 ID:xV0fnY590.net

>>79
スマフォのソフトも偽物を作ることができたら今回と同じ。
スマフォに表示された取引執行コードを盗まれてしまう。

89 名無しさん@13周年@\(^o^)/ :2014/05/12(月) 17:50:08.31 ID:osUG67320.net

>>87
やっぱ人間の手で振り込むしかないなこりゃ

93 名無しさん@13周年@\(^o^)/ :2014/05/12(月) 17:52:08.28 ID:Wtx8mzXB0.net

>>87
今のセキュは端末1台で処理するだろ、どこの銀行も。
今回のSBIの認証には端末を2台使用するってことだよ。

98 名無しさん@13周年@\(^o^)/ :2014/05/12(月) 18:00:23.22 ID:xV0fnY590.net

>>93
俺は実際に使ってるよ。第二経路で振り込み送金などに必要な
第三認証を行うのだがその端末の登録は第一認証と第二認証で
簡単に出来る。
偽ログイン画面で第二認証まで盗むことが出来たら
第三認証を行う端末を成り済まして登録できるはず。
俺の勘違いかも試練が従来の第三認証である乱数表の入力は
求められなかった。

115 名無しさん@13周年@\(^o^)/ :2014/05/12(月) 18:25:18.44 ID:kevSKwSo0.net

>>98
システム的には第二まで盗めたら可能だね
第一盗めてるから裏で第二を盗むことも出来る

17 名無しさん@13周年@\(^o^)/ :2014/05/12(月) 16:57:29.94 ID:Zr6IS2We0.net

10万でも50万でもいいけどさ、そんな金額を他名義に振り込むなんて、
一般人はめったにないんだから、そのときだけ極端に厳しくしろよ。
上限金額変更+振込されても困るから、上限金額変更時もな。

18 名無しさん@13周年@\(^o^)/ :2014/05/12(月) 16:57:32.07 ID:LzzRYoli0.net

いや、これ銀行側の不手際だろw
何らかの形って言ってるけどさ、顧客情報漏えいでフィッシングメールが来るんじゃん
人のせいにしてんなよwww

20 名無しさん@13周年@\(^o^)/ :2014/05/12(月) 16:58:03.12 ID:nhaDcqiP0.net

つ 内部犯行説

47 名無しさん@13周年@\(^o^)/ :2014/05/12(月) 17:15:40.69 ID:wwDAUx1X0.net

>>20
俺も内部犯行かと思ったわ。
どうやってあの3重防壁をとっぱできるんだろうか

34 名無しさん@13周年@\(^o^)/ :2014/05/12(月) 17:06:35.44 ID:0Lg3GXuq0.net

ドコモのガラケーからのネットバンキングが最強なのがまた証明されたなw

59 名無しさん@13周年@\(^o^)/ :2014/05/12(月) 17:25:25.39 ID:8Pfng/tqO.net

>>34
僕ちんソレw

53 名無しさん@13周年@\(^o^)/ :2014/05/12(月) 17:20:23.94 ID:lx2bizX+0.net

ワンタイムパスワって、VASCO社のDIGIPASS GO 6が有名。

以前、スクウェア・エニックスでワイタイムパスワあるのに
不正アクセスされて大ショックを受けた人間だからねー

結局、VASCO社のセキュリティートークンが解析されたわけじゃなく
スクウェアのサーバーの隙から入り込まれて
ワイタイムパスワなくてもアクセスできる状態となってたことが判明。

今回の三井住友も同じじゃないの?

54 名無しさん@13周年@\(^o^)/ :2014/05/12(月) 17:22:05.70 ID:0HYrJ/C30.net

>>53
まぁワンパスあってもサーバー本体が脆弱だとな。
でも今回のは誘導らしいぞ。ソースはこのレスの中だからわからんけど。

78 名無しさん@13周年@\(^o^)/ :2014/05/12(月) 17:41:06.59 ID:AhvzxNsF0.net

ワンタイムは正規の手順で利用者が入力したものだろう
ウィルスにより正規処理・手続きに処理に
「犯人指定の口座に金を振り込む」割り込む処理が加えられるって事だろうな

フィッシングなら別サイトに飛ぶが、この場合だと判別不可能
現状のSSL方式以上のセキュアな通信を確立できないならネットバンキング終了か。

83 名無しさん@13周年@\(^o^)/ :2014/05/12(月) 17:46:11.85 ID:nhaDcqiP0.net

しかも接続記録のIPアドレスとか全部証拠が銀行側に残る

そうした証拠がないのに、パスワードカードが破られたというなら

もう内部犯行以外にありえない

SMBCは詳しい犯行の手口を公表せよ

107 名無しさん@13周年@\(^o^)/ :2014/05/12(月) 18:11:18.56 ID:zyPRf12O0.net

ワンタイムでもだめって意味が分からん
手元にある限り究極完璧のハッキング対策だと思ってたんだが
結局完璧な対策なんてないってことか・・・

124 名無しさん@13周年@\(^o^)/ :2014/05/12(月) 18:37:56.86 ID:nOXRzV/s0.net

ワンタイムパスワード届いたけど設定しない方がいいのかな

134 名無しさん@13周年@\(^o^)/ :2014/05/12(月) 19:03:28.05 ID:n4fEM86L0.net

>>124
いや、設定したほうがいい
ワンタイムパスワードが破られたわけではない

被害者は偽のサイトに誘導されてそこにワンタイムパスワードを入力した
1分間は有効だからその間に有効なワンタイムパスワードを利用された。
振込成功させるために何度かパスワードを偽サイトに入力したはずだ

この手の攻撃はパスワード入力時にブラウザのURLをよく確認すればほぼ防げる

146 名無しさん@13周年@\(^o^)/ :2014/05/12(月) 20:27:33.69 ID:QpnOe8zv0.net

>>134
ローカルプロキシ作られて銀行相手のアクセス横取りすんだよ。
smbcのワンタイムパスは使用されると無効になるんで使用前にトラップする
必要あるから。

最初のアクセスの時に待ち画面表示して、その間に裏で残高確認→送金準備
準備出来たらワンタイムパスの再入力要求すればok

130 名無しさん@13周年@\(^o^)/ :2014/05/12(月) 18:52:33.22 ID:AYzk6Vjg0.net

規約に「補償しねえよ」と書いてあったら終わり

133 名無しさん@13周年@\(^o^)/ :2014/05/12(月) 19:00:13.74 ID:IYQSD4hc0.net

>>130
自分の口座からの送金なら、金銭的被害は全く無い

141 名無しさん@13周年@\(^o^)/ :2014/05/12(月) 19:36:50.30 ID:AkizaZLk0.net

オーバーレイ表示された偽画面に入力された
取引用パス、ワンタイムパス等ぶっこ抜いて
裏の金額や口座が指定済みの通常に動いてる
オンラインATMの画面に引き渡すだけかね。

と、想定するなら
ワンタイムパスのタイマーギリギリで使用すれば回避出来そうな気がw

142 名無しさん@13周年@\(^o^)/ :2014/05/12(月) 19:53:00.58 ID:j3u1m6Nz0.net

>>141
サーバ側である程度マージンを取ってる
ワンタイムパスワードの機械とサーバの時計の進み方にズレがあるんで、使う度に同期し直す

■編集元:http://ai.2ch.sc/test/read.cgi/newsplus/1399880840/