ついにオンラインバンクに対する大規模な事件が発生してしまったね
もちろん犯罪ハッカーを国を挙げて要請している中国人が主犯ってわけだ

楽天銀行、住信 SBI ネット銀行、三菱 UFJ ニコス、みずほ、三井住友、ゆうちょ・・・

被害が確認されているだけでも大手は全滅って感じがしない訳でもない

今回のフィッシング詐欺は銀行の本物のサイトにアクセスした際に出てくるポップアップ画面にパスワードや認証コードを入力させる手口で、たぶん2007年あたりに出てきた「Man in the Browser」という技術が使われているっぽい

2007年というと、今から5年以上前でありその間に銀行もユーザ側も十分対応する余裕はあったはずだけど、実際銀行側では今回の事件発覚後に慌てて「各種情報をポップアップでは聞きません」とかアナウンスするレベルw
抜本的な対策はこれからだろう

ユーザ側はと言えば、セキュリティキーボードやパスワード管理ソフトなどを利用しておらず、その上セキュリティソフトもFWなしとか、危険な振る舞いを完治しないものとか使ってたんだろうね(もしくはセキュリティソフトの期限切れとかw)

とりあえず、セキュリティ対策にはFWが強いソフトを使うのが一番なんだけど、振る舞いで検知する場合、しょっちゅうアラートが出たりするのもあるので善し悪し・・・

オンラインバンキングを行うPCでは他の操作を一切しないってのが企業側では一番安心かな?いまどき3万円でノートPCが手に入るのだ、これくらいの安全策は採ってもいいだろう

個人ではパスワード管理ソフトを使うのも手だ
パスワード管理ソフトは入力するパスワードとプログラムやサイトのアドレスを紐づけている。今回のようにポップアップのアドレスが異なればパスワードはそのままでは入力されない(大手の有料を使ったがいいよ)
※私はロボフォームを使っていますよ

なんにせよ、自分の安全は自分で守らないといけない
例えばPeerBlockを一時的に使い、不正なアドレスからの通信を遮断するという方法だってある




トラックバックURL
http://kyounoare.blog117.fc2.com/tb.php/1228-578623b4
トラックバック
コメント
これは酷いねぇ。
こういう手口を考えるやつもだけど、
普段と違うことに違和感や危機感を抱かない馬鹿なユーザーも。
企業側はトークンの発行してワンタイムパスのような一定期間で効果を無くす二次パスワードを積極的に使わないとインターネットバンキングは破綻するよね。
730. くろ | 2012-11-06 22:05 | 編集
管理者にだけ表示を許可する
 
記事検索
カウンター
カテゴリー
最近のコメント
最近のトラックバック
おすすめサイト更新情報
相互リンク