1: ムヒタ ★ 2020/02/06(木) 12:09:05.37 ID:CAP_USER
インターネットバンキングの口座から預金を不正送金する2019年の被害が前年比4.4倍の20億3200万円(暫定値)に急増したことが6日、警察庁のまとめで分かった。「ワンタイムパスワード」を破る手口が横行し、被害額は4年ぶりに増加した。金融機関は不正送金を防ぐため、顔や指紋で本人確認する生体認証の普及を急いでいる。
ワンタイムパスワードはネットバンキング利用時に、ユーザーが元来設定している固定パスワードに加え、事前に登録した携帯電話などに毎回異なる使い捨てのパスワードが届く仕組み。固定パスワードが漏洩した場合でも第三者の不正ログインを防ぐことができ、不正送金の被害防止に有効とされてきた。
19年秋ごろから、ワンタイムパスワードが破られるケースが目立ち始めているという。犯人側がSMS(ショートメッセージサービス)で、銀行の偽サイトに利用者を誘導してIDと固定パスワードを盗み取ったうえ、その情報を基に正規のネットバンキングにログイン。銀行から利用者にワンタイムパスワードが送られるタイミングに合わせ、偽サイト上に新たな画面を表示し、ワンタイムパスワードも入力させる手口だ。
こうした情報を盗まれると、利用者は自身の口座から別の口座へ不正送金されてしまう。捜査幹部は「ワンタイムパスワードを設定すれば安心という心理的な隙を突いた巧妙な手口だ」と話す。
不正送金被害は19年9月から急増し、10月の被害は397件、被害額は5億1900万円。11月はさらに増えて578件、7億8700万円となり、月間としての件数、被害額とも過去最悪だった。19年全体の被害件数は1813件で、過去最多だった14年(1876件)に迫る水準だった。
2020/2/6 10:19
https://www.nikkei.com/article/DGXMZO55313840W0A200C2MM0000/
ワンタイムパスワードはネットバンキング利用時に、ユーザーが元来設定している固定パスワードに加え、事前に登録した携帯電話などに毎回異なる使い捨てのパスワードが届く仕組み。固定パスワードが漏洩した場合でも第三者の不正ログインを防ぐことができ、不正送金の被害防止に有効とされてきた。
19年秋ごろから、ワンタイムパスワードが破られるケースが目立ち始めているという。犯人側がSMS(ショートメッセージサービス)で、銀行の偽サイトに利用者を誘導してIDと固定パスワードを盗み取ったうえ、その情報を基に正規のネットバンキングにログイン。銀行から利用者にワンタイムパスワードが送られるタイミングに合わせ、偽サイト上に新たな画面を表示し、ワンタイムパスワードも入力させる手口だ。
こうした情報を盗まれると、利用者は自身の口座から別の口座へ不正送金されてしまう。捜査幹部は「ワンタイムパスワードを設定すれば安心という心理的な隙を突いた巧妙な手口だ」と話す。
不正送金被害は19年9月から急増し、10月の被害は397件、被害額は5億1900万円。11月はさらに増えて578件、7億8700万円となり、月間としての件数、被害額とも過去最悪だった。19年全体の被害件数は1813件で、過去最多だった14年(1876件)に迫る水準だった。
2020/2/6 10:19
https://www.nikkei.com/article/DGXMZO55313840W0A200C2MM0000/
トップページ > PC > 【悲報】「ネットバンキング」被害4倍に 「ワンタイムパス」破る
112: 名刺は切らしておりまして 2020/02/06(木) 16:34:41.45 ID:raQFuLw8
>>1
アプリにログインしたら、画面いっぱいに本人の名前を表示して
「田中さんですよね?違う名前が出たら偽サイトなので覚えておくように」とか表示させろ
偽サイトなら本名わからないだろ。
アプリにログインしたら、画面いっぱいに本人の名前を表示して
「田中さんですよね?違う名前が出たら偽サイトなので覚えておくように」とか表示させろ
偽サイトなら本名わからないだろ。
127: 名刺は切らしておりまして 2020/02/06(木) 17:45:29.03 ID:t1Or8rhu
>>1
金融機関のワンタイムパスワードも破られるってのに、中小零細企業が小銭で何かやっても、狙われたら即アウトの焼け石に水w
金融機関のワンタイムパスワードも破られるってのに、中小零細企業が小銭で何かやっても、狙われたら即アウトの焼け石に水w
144: 名刺は切らしておりまして 2020/02/06(木) 18:25:17.37 ID:54y5PO5x
>>1
これそのうち起こりそうな気がしてた
例えばMUFGの法人用のBizStationだとログイン時も振込時もそれぞれワンタイムパスワード入れる必要あるんだけど
個人用の三菱ダイレクトだとログイン時にはワンタイムパスワード要らないんだよね
でも普通のユーザー感覚としてはログイン時にも当然入力させられるだろうと予測してるから
偽のログイン画面にワンタイムパスワード入れろって表示されてたら誰でも入れちゃうと思うんだ
まぁURL確認せずに偽サイト誘導されちゃうのはその人が間抜けってのは異論はないが
これそのうち起こりそうな気がしてた
例えばMUFGの法人用のBizStationだとログイン時も振込時もそれぞれワンタイムパスワード入れる必要あるんだけど
個人用の三菱ダイレクトだとログイン時にはワンタイムパスワード要らないんだよね
でも普通のユーザー感覚としてはログイン時にも当然入力させられるだろうと予測してるから
偽のログイン画面にワンタイムパスワード入れろって表示されてたら誰でも入れちゃうと思うんだ
まぁURL確認せずに偽サイト誘導されちゃうのはその人が間抜けってのは異論はないが
149: 名刺は切らしておりまして 2020/02/06(木) 18:34:19.82 ID:dG8IMaph
>>144
振込ごとにワンタイムパス要求でも、犯人側がログインした画面をコピーして
ログイン状態の偽ページを自動生成してユーザーに見せたら、全部意味ないんじゃない?
「振り込み完了」の最後まで偽ページ見せられる。
振込ごとにワンタイムパス要求でも、犯人側がログインした画面をコピーして
ログイン状態の偽ページを自動生成してユーザーに見せたら、全部意味ないんじゃない?
「振り込み完了」の最後まで偽ページ見せられる。
156: 名刺は切らしておりまして 2020/02/06(木) 19:06:49.30 ID:1WQQqk4I
>>1
やだ、怖い(´・ω・`)
やだ、怖い(´・ω・`)
160: 名刺は切らしておりまして 2020/02/06(木) 19:24:14.34 ID:VBTBtuml
>>1
だから嫌いなんだよネットバンキングなんて!凸(゚Д゚#)
だから嫌いなんだよネットバンキングなんて!凸(゚Д゚#)
174: 名刺は切らしておりまして 2020/02/06(木) 20:25:55.57 ID:miOMCgqv
>>1
SMSなんか詐欺に決まってるだろう
引っかかるほうも隙がありすぎる
SMSなんか詐欺に決まってるだろう
引っかかるほうも隙がありすぎる
189: 名刺は切らしておりまして 2020/02/06(木) 21:50:23.81 ID:QoQps3yS
>>1
この手口で、「破る」っていうか??
この手口で、「破る」っていうか??
190: 名刺は切らしておりまして 2020/02/06(木) 21:55:10.56 ID:HHN9c8l0
>>1
偽か真かはウェブ証明書確認するくらいはやるんだが、メンドクセーよなw
ウェブ証明書のインターフェイスも素早く分かりやすくするのも、これからの課題
おれらも爺になって頭ぼけたら、おしまいだからなw
世界全体の課題。
偽か真かはウェブ証明書確認するくらいはやるんだが、メンドクセーよなw
ウェブ証明書のインターフェイスも素早く分かりやすくするのも、これからの課題
おれらも爺になって頭ぼけたら、おしまいだからなw
世界全体の課題。
200: 名刺は切らしておりまして 2020/02/06(木) 23:42:47.94 ID:98jezp8k
>>1の場合だとメールまで乗っ取られている訳無いから振込確認メールで直ぐに気が付けるのかな?
それともログインされちゃってるからその手のメールも届かない様に設定を改変されちゃうのかね。
まあせめて銀行の取引くらいは専用アプリ使うなり自分で登録したリンクから飛ばないとあかんわな。
それともログインされちゃってるからその手のメールも届かない様に設定を改変されちゃうのかね。
まあせめて銀行の取引くらいは専用アプリ使うなり自分で登録したリンクから飛ばないとあかんわな。
213: 名刺は切らしておりまして 2020/02/07(金) 05:20:36.45 ID:GZTaGl5p
>>1
Man in the Middle攻撃やね
フィッシングサイトだとワンタイムパスワード効かないからな
Man in the Middle攻撃やね
フィッシングサイトだとワンタイムパスワード効かないからな
3: 名刺は切らしておりまして 2020/02/06(木) 12:13:56.18 ID:Ahsh5Ofh
だめだこりゃ
6: 名刺は切らしておりまして 2020/02/06(木) 12:17:48.06 ID:Gla4XCyz
指紋はやくしろよ
7: 名刺は切らしておりまして 2020/02/06(木) 12:17:56.01 ID:cpLAqZC8
SMSのリングなんか踏むなよ
24: 名刺は切らしておりまして 2020/02/06(木) 12:33:37.61 ID:zfy6xCAo
>>7
プロレスするみたいでちょっとかっこいい
プロレスするみたいでちょっとかっこいい
26: 名刺は切らしておりまして 2020/02/06(木) 12:34:53.05 ID:qrF/LWez
>>7
これにつきる
これにつきる
8: 名刺は切らしておりまして 2020/02/06(木) 12:20:20.04 ID:bI6kloaq
トークンはどうか いずれ破られそうか
9: 名刺は切らしておりまして 2020/02/06(木) 12:21:00.35 ID:4v9NebEN
騙される団塊幸せならなんくるないさー
10: 名刺は切らしておりまして 2020/02/06(木) 12:22:11.23 ID:x2/74WIL
Amazon公式を名乗って送られてるくる迷惑メール
スパムとして報告してるのにまだ送られてくるわ
ヤフーメールに
スパムとして報告してるのにまだ送られてくるわ
ヤフーメールに
56: 名刺は切らしておりまして 2020/02/06(木) 13:20:19.33 ID:XbjAZwTg
>>10
スパムでAmazonの名前でメール送っといて、送り主が「@youtube.com」だったのがあって笑った
しかもその横には本当の送り元の乱数メアドまで出ている始末
「やる気あんのかコイツラ?」と思った
スパムでAmazonの名前でメール送っといて、送り主が「@youtube.com」だったのがあって笑った
しかもその横には本当の送り元の乱数メアドまで出ている始末
「やる気あんのかコイツラ?」と思った
187: 名刺は切らしておりまして 2020/02/06(木) 21:19:19.06 ID:j30n29L+
>>56
土日は迷惑メール激減するからな
あいつら土日休みのホワイト環境でまったりぬるめの仕事してんだよ
やる気なんか在るわけない
気が向いたらオモシロ作文して反応待ってみたり楽しみながら働いてるわ
土日は迷惑メール激減するからな
あいつら土日休みのホワイト環境でまったりぬるめの仕事してんだよ
やる気なんか在るわけない
気が向いたらオモシロ作文して反応待ってみたり楽しみながら働いてるわ
199: 名刺は切らしておりまして 2020/02/06(木) 23:41:07.64 ID:MNh9t9JU
>>56
自分の所に来る迷惑メールは未来から送られてくるのしかない
自分の所に来る迷惑メールは未来から送られてくるのしかない
143: 名刺は切らしておりまして 2020/02/06(木) 18:24:59.30 ID:9CVq3Y3G
>>10
これ最近多いわ
あとAppleを語るiTunes Store関係メール
これ最近多いわ
あとAppleを語るiTunes Store関係メール
11: 名刺は切らしておりまして 2020/02/06(木) 12:22:50.25 ID:yWoTkBmJ
ワンタイムパスに正規サイトのURLつけるんじゃダメなのか
12: 名刺は切らしておりまして 2020/02/06(木) 12:23:19.71 ID:zBTvxUk/
こんなん引っかかるアホは何しても無駄
15: 名刺は切らしておりまして 2020/02/06(木) 12:26:13.09 ID:jSwxr8k2
>>12
人はリンクがあるとクリックしたくなる
人はリンクがあるとクリックしたくなる
78: 名刺は切らしておりまして 2020/02/06(木) 14:29:20.06 ID:t5jFx7sP
>>12
結構巧妙だしお前みたいな奴が騙されるんだぞ
結構巧妙だしお前みたいな奴が騙されるんだぞ
14: 名刺は切らしておりまして 2020/02/06(木) 12:26:07.47 ID:SyzPYWae
自分が失敗しないようには注意できても、
企業側からすると、こういう「アホ」が出ないようにするのは難しいから、
社会全体としてこういう犯罪をなくすことは難しいんだろうな。
企業側からすると、こういう「アホ」が出ないようにするのは難しいから、
社会全体としてこういう犯罪をなくすことは難しいんだろうな。
16: 名刺は切らしておりまして 2020/02/06(木) 12:26:27.85 ID:8EL7sb6m
ワンタイムパスワードの仕組みわからん
あれ通信してないのになんで認証できんの?
あれ通信してないのになんで認証できんの?
41: 名刺は切らしておりまして 2020/02/06(木) 12:51:27.12 ID:lPzv2Am6
>>16
単なる時計表示と同じ。
何時何分にIDを紐付けして暗号化しているだけ。
だから、同じ時刻を示していれば同じ結果になる。
問題は携帯機器の精度と、入力者の速度を考慮した場合、1分毎の更新しかできない事。
単なる時計表示と同じ。
何時何分にIDを紐付けして暗号化しているだけ。
だから、同じ時刻を示していれば同じ結果になる。
問題は携帯機器の精度と、入力者の速度を考慮した場合、1分毎の更新しかできない事。
67: 名刺は切らしておりまして 2020/02/06(木) 13:34:52.82 ID:iEMiDgwj
>>41
へぇ
じゃあ1時間に60回×24時間=1440個しか数字持ってないんだ?
へぇ
じゃあ1時間に60回×24時間=1440個しか数字持ってないんだ?
81: 名刺は切らしておりまして 2020/02/06(木) 14:39:57.12 ID:lPzv2Am6
>>67
月日まで入れたら525600通りまで増えるね。
ただ、問題は1分以内なら同じパスが何度でも通ること。
リダイレクトされればたまったもんじゃない。
月日まで入れたら525600通りまで増えるね。
ただ、問題は1分以内なら同じパスが何度でも通ること。
リダイレクトされればたまったもんじゃない。
87: 名刺は切らしておりまして 2020/02/06(木) 14:56:36.01 ID:y/mV9g3u
>>81
1分内に使用する乱数を60個程度持っておいて
1回使ったら破棄で次のやつでないと入れなくしたらどうだろうか
まぁフィッシュされて、自分が正規ログインで乱数消費する前に
相手に使われたら意味ないけど(´・ω・`)
そういう意味ではフィッシュされた時点でお手上げだなぁ
1分内に使用する乱数を60個程度持っておいて
1回使ったら破棄で次のやつでないと入れなくしたらどうだろうか
まぁフィッシュされて、自分が正規ログインで乱数消費する前に
相手に使われたら意味ないけど(´・ω・`)
そういう意味ではフィッシュされた時点でお手上げだなぁ
89: 名刺は切らしておりまして 2020/02/06(木) 14:59:13.27 ID:LxAIwSg2
>>87
ワンタイムパスの発行依頼をする端末/IPと紐付けするだけで不正は防げそう。
ワンタイムパスの発行依頼をする端末/IPと紐付けするだけで不正は防げそう。
99: 名刺は切らしておりまして 2020/02/06(木) 15:53:19.94 ID:ZsKXTClg
>>81
あぁカードには一年分はいってるのね。なるほど。
たしかに1分は長いね。リダイレクトされなくても出先で使って落としてすぐ使われる可能性もあるしなあ
あぁカードには一年分はいってるのね。なるほど。
たしかに1分は長いね。リダイレクトされなくても出先で使って落としてすぐ使われる可能性もあるしなあ
17: 名刺は切らしておりまして 2020/02/06(木) 12:26:30.46 ID:uDk8SZQD
ネットには鴨しかおらんわな
19: 名刺は切らしておりまして 2020/02/06(木) 12:29:08.44 ID:wcLcOy3v
他人にIDとパスワード送りつけるバカが被害者になるのは防げないよ
20: 名刺は切らしておりまして 2020/02/06(木) 12:29:30.89 ID:BUjSdABb
新たな振込先を登録するときは、
たとえば振込先口座番号を、配られたテンキー付きカード型ワンタイムパスワード生成器に入力しないと登録できないとか、
振込先口座番号を、配られた乱数表で変換して入力しないと登録できないとか、
そんなのにしろよ
ただし、一部の信用できる業者の口座番号だけは、このプロセスを省いて登録できるようにして
たとえば振込先口座番号を、配られたテンキー付きカード型ワンタイムパスワード生成器に入力しないと登録できないとか、
振込先口座番号を、配られた乱数表で変換して入力しないと登録できないとか、
そんなのにしろよ
ただし、一部の信用できる業者の口座番号だけは、このプロセスを省いて登録できるようにして
69: 名刺は切らしておりまして 2020/02/06(木) 13:49:46.26 ID:l1CDsUlw
>>20
スマホじゃなくてネットバンキング専用端末を配布して、その端末からしかログイン出来ないってやれば、物理的に端末を奪われない限り大丈夫。
問題はそんな専用端末を作っても利用者が買ってくれないこと。
スマホじゃなくてネットバンキング専用端末を配布して、その端末からしかログイン出来ないってやれば、物理的に端末を奪われない限り大丈夫。
問題はそんな専用端末を作っても利用者が買ってくれないこと。
83: 名刺は切らしておりまして 2020/02/06(木) 14:41:47.65 ID:1D76lmM6
>>69
思ったより電池の消耗が速いんだよな、月2回しか使わんのに2年持たなかった
思ったより電池の消耗が速いんだよな、月2回しか使わんのに2年持たなかった
139: 名刺は切らしておりまして 2020/02/06(木) 18:22:13.84 ID:MPMadq3t
>>20
振込みにりそな銀行使ってるけど専用のワンパス生成機使ってパス作成して入力してるな
ただこれ、スマホアプリじゃできなくてWeb専用なのが難点だが
振込みにりそな銀行使ってるけど専用のワンパス生成機使ってパス作成して入力してるな
ただこれ、スマホアプリじゃできなくてWeb専用なのが難点だが
182: 名刺は切らしておりまして 2020/02/06(木) 20:56:01.02 ID:Exy3z0kc
>>139
そりゃすごい仕組みだな
振込先の口座番号でパス生成するのか?
そりゃすごい仕組みだな
振込先の口座番号でパス生成するのか?
179: 名刺は切らしておりまして 2020/02/06(木) 20:45:55.03 ID:zNluQSQo
>>20
それじゃなんの操作か誤魔化した画面表示をして入力を促されたらやられる
それじゃなんの操作か誤魔化した画面表示をして入力を促されたらやられる
22: 名刺は切らしておりまして 2020/02/06(木) 12:33:04.91 ID:bfCqeaaV
どうやって?と思ったら偽サイトかよw
23: 名刺は切らしておりまして 2020/02/06(木) 12:33:18.79 ID:RDbpeyya
ワンタイムパスってつまらんのじゃのう
最強じゃなかったんかい
最強じゃなかったんかい
25: 名刺は切らしておりまして 2020/02/06(木) 12:34:39.18 ID:aopy30Hd
URLを確認しろよ アドレスバー緑になってカギのマークでてるのか
157: 名刺は切らしておりまして 2020/02/06(木) 19:10:25.60 ID:sACvS3XC
>>25
DOMベースで改竄されることもあるんやけど?
DOMベースで改竄されることもあるんやけど?
27: 名刺は切らしておりまして 2020/02/06(木) 12:37:19.67 ID:jv+QbXl1
ログインはブックマークかアプリからいけと
28: 名刺は切らしておりまして 2020/02/06(木) 12:37:41.98 ID:6r6MZ5Pg
SMSを踏む勇気!
29: 名刺は切らしておりまして 2020/02/06(木) 12:40:10.97 ID:tEus0i12
野良wifiならDNSの設定で公式サイトすら偽装できるからな
33: 名刺は切らしておりまして 2020/02/06(木) 12:42:37.87 ID:aopy30Hd
>>29
偽装サイトがgoogle検索にひっかかるの?
偽装サイトがgoogle検索にひっかかるの?
220: 名刺は切らしておりまして 2020/02/07(金) 12:40:31.49 ID:HzTPkl/k
>>33
Googleだって偽装できちゃうんだからっ!舐めないでよね!
Googleだって偽装できちゃうんだからっ!舐めないでよね!