【社会】ネットバンキング被害4倍に 「ワンタイムパス」破る

マネー,企業

 金融
1: ムヒタ ★ 2020/02/06(木) 12:09:05.37 ID:CAP_USER
インターネットバンキングの口座から預金を不正送金する2019年の被害が前年比4.4倍の20億3200万円(暫定値)に急増したことが6日、警察庁のまとめで分かった。「ワンタイムパスワード」を破る手口が横行し、被害額は4年ぶりに増加した。金融機関は不正送金を防ぐため、顔や指紋で本人確認する生体認証の普及を急いでいる。

ワンタイムパスワードはネットバンキング利用時に、ユーザーが元来設定している固定パスワードに加え、事前に登録した携帯電話などに毎回異なる使い捨てのパスワードが届く仕組み。固定パスワードが漏洩した場合でも第三者の不正ログインを防ぐことができ、不正送金の被害防止に有効とされてきた。

19年秋ごろから、ワンタイムパスワードが破られるケースが目立ち始めているという。犯人側がSMS(ショートメッセージサービス)で、銀行の偽サイトに利用者を誘導してIDと固定パスワードを盗み取ったうえ、その情報を基に正規のネットバンキングにログイン。銀行から利用者にワンタイムパスワードが送られるタイミングに合わせ、偽サイト上に新たな画面を表示し、ワンタイムパスワードも入力させる手口だ。

こうした情報を盗まれると、利用者は自身の口座から別の口座へ不正送金されてしまう。捜査幹部は「ワンタイムパスワードを設定すれば安心という心理的な隙を突いた巧妙な手口だ」と話す。

不正送金被害は19年9月から急増し、10月の被害は397件、被害額は5億1900万円。11月はさらに増えて578件、7億8700万円となり、月間としての件数、被害額とも過去最悪だった。19年全体の被害件数は1813件で、過去最多だった14年(1876件)に迫る水準だった。 2020/2/6 10:19 https://www.nikkei.com/article/DGXMZO55313840W0A200C2MM0000/

127: 名刺は切らしておりまして 2020/02/06(木) 17:45:29.03 ID:t1Or8rhu
>>1
金融機関のワンタイムパスワードも破られるってのに、中小零細企業が小銭で何かやっても、狙われたら即アウトの焼け石に水w

192: 名刺は切らしておりまして 2020/02/06(木) 22:30:37.70 ID:1ICtjRtn
>>127
うちも消費税が上がったときに解約したわ。
新聞解約したら毎年5万円のキャッシュバックがあると考えるとでかいよ。
知り合いもみんな解約してる。ニュースならスマホで見れるし。
いまじゃ月に1回、爪切り用に分厚いから日経新聞を買うぐらい(笑)

144: 名刺は切らしておりまして 2020/02/06(木) 18:25:17.37 ID:54y5PO5x
>>1
これそのうち起こりそうな気がしてた
例えばMUFGの法人用のBizStationだとログイン時も振込時もそれぞれワンタイムパスワード入れる必要あるんだけど
個人用の三菱ダイレクトだとログイン時にはワンタイムパスワード要らないんだよね
でも普通のユーザー感覚としてはログイン時にも当然入力させられるだろうと予測してるから
偽のログイン画面にワンタイムパスワード入れろって表示されてたら誰でも入れちゃうと思うんだ
まぁURL確認せずに偽サイト誘導されちゃうのはその人が間抜けってのは異論はないが

149: 名刺は切らしておりまして 2020/02/06(木) 18:34:19.82 ID:dG8IMaph
>>144
振込ごとにワンタイムパス要求でも、犯人側がログインした画面をコピーして
ログイン状態の偽ページを自動生成してユーザーに見せたら、全部意味ないんじゃない?
「振り込み完了」の最後まで偽ページ見せられる。

146: 名刺は切らしておりまして 2020/02/06(木) 18:29:33.76 ID:T1gjotAO
>>1はアホ
ワンタイムパスのシステムが破られたのではなく、ワンタイムパスが偽サイトで盗まれただけ
もう少し勉強しような!

200: 名刺は切らしておりまして 2020/02/06(木) 23:42:47.94 ID:98jezp8k
>>1の場合だとメールまで乗っ取られている訳無いから振込確認メールで直ぐに気が付けるのかな?
それともログインされちゃってるからその手のメールも届かない様に設定を改変されちゃうのかね。
まあせめて銀行の取引くらいは専用アプリ使うなり自分で登録したリンクから飛ばないとあかんわな。

213: 名刺は切らしておりまして 2020/02/07(金) 05:20:36.45 ID:GZTaGl5p
>>1
Man in the Middle攻撃やね
フィッシングサイトだとワンタイムパスワード効かないからな

スポンサーリンク

2: 名刺は切らしておりまして 2020/02/06(木) 12:13:49.22 ID:mltvRek/
だからワンナイトラブは危険だと、あれ程・・・(´・ω・`)

164: 名刺は切らしておりまして 2020/02/06(木) 19:43:49.89 ID:AHFjNYLh
>>2
俺はいつもワンサイデッドラブ

5: 名刺は切らしておりまして 2020/02/06(木) 12:16:58.84 ID:qnTJ1uDi
ワンタイムパスのシステム化そのものが破られた訳ではなく
「偽サイトに騙されてセキュリティ情報を入力するバカ」というおなじみのパターンじゃん

31: 名刺は切らしておりまして 2020/02/06(木) 12:41:09.91 ID:yPUbldL9
>>5

え、オンラインバンクってアプリ以外でアクセススンの?
馬鹿なの?

35: 名刺は切らしておりまして 2020/02/06(木) 12:43:28.58 ID:ZorFTQCm
>>31
アプリだろうがWebだろうが何も変わらないが?

44: 名刺は切らしておりまして 2020/02/06(木) 12:55:36.75 ID:jC/GatdR
>>31

この人はアプリとWebブラウザとインターネットが区別できてない馬鹿の一例です。

115: 名刺は切らしておりまして 2020/02/06(木) 16:41:34.00 ID:MTZ7l5kj
>>31が馬鹿にされてる理由がわからん
銀行の公式アプリを普段から使えば偽URLでアイパスを入れることはないということなのでは??

7: 名刺は切らしておりまして 2020/02/06(木) 12:17:56.01 ID:cpLAqZC8
SMSのリングなんか踏むなよ

26: 名刺は切らしておりまして 2020/02/06(木) 12:34:53.05 ID:qrF/LWez
>>7
これにつきる

8: 名刺は切らしておりまして 2020/02/06(木) 12:20:20.04 ID:bI6kloaq
トークンはどうか いずれ破られそうか

10: 名刺は切らしておりまして 2020/02/06(木) 12:22:11.23 ID:x2/74WIL
Amazon公式を名乗って送られてるくる迷惑メール
スパムとして報告してるのにまだ送られてくるわ
ヤフーメールに

56: 名刺は切らしておりまして 2020/02/06(木) 13:20:19.33 ID:XbjAZwTg
>>10
スパムでAmazonの名前でメール送っといて、送り主が「@youtube.com」だったのがあって笑った
しかもその横には本当の送り元の乱数メアドまで出ている始末
「やる気あんのかコイツラ?」と思った

187: 名刺は切らしておりまして 2020/02/06(木) 21:19:19.06 ID:j30n29L+
>>56
土日は迷惑メール激減するからな
あいつら土日休みのホワイト環境でまったりぬるめの仕事してんだよ
やる気なんか在るわけない
気が向いたらオモシロ作文して反応待ってみたり楽しみながら働いてるわ

199: 名刺は切らしておりまして 2020/02/06(木) 23:41:07.64 ID:MNh9t9JU
>>56
自分の所に来る迷惑メールは未来から送られてくるのしかない

143: 名刺は切らしておりまして 2020/02/06(木) 18:24:59.30 ID:9CVq3Y3G
>>10
これ最近多いわ
あとAppleを語るiTunes Store関係メール

14: 名刺は切らしておりまして 2020/02/06(木) 12:26:07.47 ID:SyzPYWae
自分が失敗しないようには注意できても、
企業側からすると、こういう「アホ」が出ないようにするのは難しいから、
社会全体としてこういう犯罪をなくすことは難しいんだろうな。

16: 名刺は切らしておりまして 2020/02/06(木) 12:26:27.85 ID:8EL7sb6m
ワンタイムパスワードの仕組みわからん
あれ通信してないのになんで認証できんの?

41: 名刺は切らしておりまして 2020/02/06(木) 12:51:27.12 ID:lPzv2Am6
>>16
単なる時計表示と同じ。
何時何分にIDを紐付けして暗号化しているだけ。
だから、同じ時刻を示していれば同じ結果になる。
問題は携帯機器の精度と、入力者の速度を考慮した場合、1分毎の更新しかできない事。

67: 名刺は切らしておりまして 2020/02/06(木) 13:34:52.82 ID:iEMiDgwj
>>41
へぇ
じゃあ1時間に60回×24時間=1440個しか数字持ってないんだ?

81: 名刺は切らしておりまして 2020/02/06(木) 14:39:57.12 ID:lPzv2Am6
>>67
月日まで入れたら525600通りまで増えるね。
ただ、問題は1分以内なら同じパスが何度でも通ること。
リダイレクトされればたまったもんじゃない。

87: 名刺は切らしておりまして 2020/02/06(木) 14:56:36.01 ID:y/mV9g3u
>>81
1分内に使用する乱数を60個程度持っておいて
1回使ったら破棄で次のやつでないと入れなくしたらどうだろうか

まぁフィッシュされて、自分が正規ログインで乱数消費する前に
相手に使われたら意味ないけど(´・ω・`)
そういう意味ではフィッシュされた時点でお手上げだなぁ

89: 名刺は切らしておりまして 2020/02/06(木) 14:59:13.27 ID:LxAIwSg2
>>87
ワンタイムパスの発行依頼をする端末/IPと紐付けするだけで不正は防げそう。

18: 名刺は切らしておりまして 2020/02/06(木) 12:27:58.58 ID:WmKebxrG
トークンなら大丈夫じゃね?

244: 名刺は切らしておりまして 2020/02/08(土) 14:30:36.62 ID:jEWah1CY
>>18
金融機関がコストかけたくないからアプリのワンタイムパスワードにしたがる
トークンだとコストかかるし更新の分も考えると金融機関は嫌なんだろう

21: 名刺は切らしておりまして 2020/02/06(木) 12:31:01.58 ID:sh3WI62c
トークンでも話は同じだろ

29: 名刺は切らしておりまして 2020/02/06(木) 12:40:10.97 ID:tEus0i12
野良wifiならDNSの設定で公式サイトすら偽装できるからな

42: 名刺は切らしておりまして 2020/02/06(木) 12:51:33.07 ID:F6J+MEBr
総括:アホはネットバンキング使わず窓口で高い手数料払ってろよ

45: 名刺は切らしておりまして 2020/02/06(木) 12:55:59.45 ID:sh3WI62c
Google 検索から行くほうがむしろ危ないと思うんだけど

47: 名刺は切らしておりまして 2020/02/06(木) 12:58:11.37 ID:aopy30Hd
>>45

URLを確認しろよ  アドレスバー緑になってカギのマークでてるのか

63: 名刺は切らしておりまして 2020/02/06(木) 13:23:06.09 ID:7wvjX2tU
トークン使えばいいよ

66: 名刺は切らしておりまして 2020/02/06(木) 13:31:48.37 ID:98jezp8k
>>63
携帯だろうがトークンだろうが偽サイトに入力しちゃった時点でアウトな訳で。

固有識別番号とか使えばセキュリティも少しは上がるんだろうけど今度は個人情報保護との兼ね合いが出てくるから難しいんだろな。

68: 名刺は切らしておりまして 2020/02/06(木) 13:35:42.63 ID:KTfH2ME2
人間は一番のセキュリティホール

82: 名刺は切らしておりまして 2020/02/06(木) 14:40:56.58 ID:Vn+SIGO0
これのせいでキャリアのメアドが捨てれないんだけど

132: 名刺は切らしておりまして 2020/02/06(木) 18:05:33.90 ID:7q9CCumy
ワンタイムトークン持ってようが
ワンタイムパスワードをsmsで受け取ろうが
入力するサイトが詐欺サイトなら意味ないんですがそれは
サイトのシグネチャ確認は最近しっかりしてるけど、
根本的に利用者側で判断できないと意味ないよね

135: 名刺は切らしておりまして 2020/02/06(木) 18:10:25.25 ID:dG8IMaph
専用アプリそっくりのフィッシングサイト画面でIDパス入力
→犯人が専用アプリ使って本物サイトにIDパス入力。

ユーザーのメールかSMSに、ワンタイムパスが送られてくる。

専用アプリそっくりのフィッシングサイト画面でワンタイムパス入力
→犯人が専用アプリ使って本物サイトにワンタイムパス入力。

136: 名刺は切らしておりまして 2020/02/06(木) 18:13:16.33 ID:47eDyeK6
生体認証は一見安全そうに見えるけど怪しい
一回情報を盗まれたら変更がきかない

富士フイルムが盗撮カメラを販売し始めた
あれで手を撮影されてみ
指紋抜かれるから
実際、指が写ってる盗撮写真が公開されてたし
やばいんだぜ

145: 名刺は切らしておりまして 2020/02/06(木) 18:29:05.96 ID:Feoey5RY
GPS認証も導入しろよ

147: 名刺は切らしておりまして 2020/02/06(木) 18:29:47.78 ID:Feoey5RY
天候や外気温認証も導入しろよ

引用元: https://www.logsoku.com/r/2ch.sc/bizplus/1580958545/