2012年11月01日

<ネットバンキング不正>別の3口座にも送金 中国人名義か?

三井住友銀行のインターネットバンキングのホームページ(HP)上に表示された不正画面に暗証番号などを入力した顧客の口座から、200万円が別の口座に不正送金された事件で、中国人名義とみられる別の3口座に送金されていたことが警察当局への取材でわかった。警察当局は新手のフィッシングを使用した事件とみて、調べを進めている。

警察庁などによると、不正送金の被害に遭った利用者は29日午後、HPに表示された不正画面に暗証番号などを入力していた。同日中に何者かがその暗証番号などを使って被害者の口座から約200万円を別の日本人名義とみられる別口座に送金していた。その後、中国人名義とみられる三つの口座に移されていた。同行が口座を凍結したため不正引き出しを未然に防いだ。

警視庁などは、預金者のパソコンをウイルスに感染させて不正な画面を表示し、暗証番号などを盗み取る新しい手口のフィッシングとみて、不正アクセス禁止法違反などの容疑で捜査している。

ネットバンキングを巡っては、利用者の口座から不正送金される被害が昨年、56金融機関で総額約3億円に上った。一時沈静化したが今年6月に再び確認され、総額約3000万円が中国人名義などの口座に送金された。

一連の事件で警視庁や埼玉、福岡など5都県警は、不正送金先の口座から現金自動受払機(ATM)で現金を引き出すなどした中国籍の男女計14人を、不正アクセス禁止法違反や窃盗などの容疑で逮捕。背後に中国マフィアがいるとみて、全容解明を進めている。

一方、これまでに不正な入力画面の表示が確認されたのは三井住友銀行とゆうちょ銀行、三菱東京UFJ銀行の3行で、不正画面に入力をしたという顧客からの相談・通報は156件に上っている。


ネットバンキングを運営する金融機関は会員番号などが知られても簡単に悪用されることがないよう、乱数表を使うなどして認証方式の高度化を進めてきた。しかし、今回のケースのように利用者本人がパスワードなどを不正画面に入力してしまえば、その効果はなくなる。ある銀行の担当者は「利用者が自ら犯人に鍵を渡しているようなもので、どうにもならない」と頭を抱える。

不正送金が確認された三井住友銀行は、3種類の暗証番号を入力するシステムを採用。うち1種は、乱数表から毎回違う番号を入力しなければならない。

同銀行は、ほかにも1分ごとに異なるパスワードを指定する小型装置「パスワード生成機」を希望者に有料配布したり、不正な送金を防ぐため携帯電話から出入金をロックする機能を導入している。だが利用するかは本人次第。担当者は「セキュリティーと利便性は相反する部分があり、利用は限定的」という。

ゆうちょ銀行は08年から、正規のHPであることを利用者が確認できるよう、アドレスバーに本物であることを証明するデジタル証明書を表示。10年からは、普段と違うパソコンからアクセスされるなど利用環境の変化があった場合のみ、追加で「合言葉」の入力を求めている。だが、今回はその合言葉もフィッシングされた。担当者は「パスワードを複雑にしても犯人はすぐに対応してくる。利用者に注意を呼びかけていくしかない」と話す。

毎日新聞 2012年11月1日
posted by networksecurity at 07:07| ネットバンキング