« 20数ケ国包囲網? 監査法人の監督で国際的な会議発足 | Main | 経済産業省 パブコメ 「産業構造審議会情報セキュリティ基本問題委員会報告書(案)」 »

2007.03.23

不正アクセス はてな、ジェット証券、ネットバンク

 こんにちは、丸山満彦です。不正アクセス関係の事件・報道がいろいろと最近ありますね。。。

 
 小島さんのセキュリティホール memoや、日立システムアンドサービスの情報セキュリティブログから情報を得ました。。。

(1)不正アクセスの話1:ネットバンク関係
■毎日新聞
・2007.03.22 ネットバンク:不正引き出し199件、被害額は3億円

 銀行や郵便貯金のインターネットバンキングで昨年末までの3年間で不正に預金を引き出された被害が199件、被害額は3億円を超えることが分かった。大半は手口を解明できず、誰の犯行かも分かっていない。偽造・盗難キャッシュカード被害のように法的な救済措置もないため、金融機関が補償した件数は4分の1にとどまっており、預金者保護法の見直しをめぐり論議を呼びそうだ。

 ネットバンキングには偽造・盗難キャッシュカード(通帳)被害のような法的な救済措置がないので、いつかはこういう話もあるかなぁ・・・とは思っていましたが。。。
 大半の手口や誰の犯行かが解明できないのは気持ち悪い話ですね。

(2)不正アクセスの話2:はてなのサーバに不正侵入、ボットの踏み台に
■CNETJAPAN
・2007.03.16 はてなのサーバに不正侵入、ボットの踏み台に

 はてなは3月14日、同社のサービスを提供するサーバに外部からの不正侵入があったことを明らかにした。セキュリティ設定の不備によるものという。データベースへのアクセスは確認されていないため、個人情報の流出やデータの改ざんの可能性は低いとしている。
 不正アクセスがあったのは、同社のサーバ群の入り口にあるホストと2台のサーバ。ユーザー名とパスワードがあればアクセスできるようになっていたため、ログイン情報を総当たりすることでアカウントが突き止められたという。
 サーバにはボットプログラムが設置され、外部に対して実行された。ただし、内部のデータベースサーバへの侵入形跡は発見できなかったという。

 ボットが仕掛けられていたと・・・総当り攻撃に対しては、一定回数(例えば、5回など)以上のパスワードミスがあるとアカウントロックがかかるという対策や、IDとパスワードの関連性についてのチェックをいれる(例えば、IDに含まれる4文字と同じ4文字がパスワードにあるとパスワードを設定できないようにする)という対策が有効かもしれませんね。アカウントロックをかけると大変だ・・・という話も聞きますけど、実際にやってみるとそれほどでもないケースが多いように思いますね。。。

(3)不正アクセスの話3:ジェット証券の顧客の取引画面が開かれた可能性があったようです・・・
■ITPro
・2007.03.15 ネット証券に不正アクセスの容疑で日立社員を逮捕

ジェット証券の顧客IDとパスワードを盗み出す目的で、自身が作ったプログラムを使い、同社証券システムのサーバーに、IDとパスワードの組み合わせを総当りで自動入力させた。その結果、26人分のIDとパスワードが照合されてしまった。そのうち9人分のID、パスワードで不正アクセスをし、うち5人分については取り引き画面を閲覧した形跡があるという。これにより、住所や氏名、電話番号、取引関係の情報が流出した危険性があるが、情報の不正使用や勝手に取り引きをした事実は確認されていないという。

 これも、総当り攻撃ですね。。。

●そういえば、今朝のNHKのニュースで、「独立行政法人産業技術総合研究所 」がフィッシング防止のソフトを開発下というニュースをしていましたね。専用の入力バーからIDとパスワードを入力すると、ソフトがパスワードの入力を求めているウェブページが真正なものであることを確認して確認がとれたら、IDとパスワードの情報を送るようです。。。証明書とか確認するのあかなぁ・・・よくわかりませんが・・・。


【過去の今日】
・2006.03.23 IPA 情報セキュリティ白書2006年版発行
・       葉玉ブログ 会社法とCOSOは。。。すいません。何の関係もありません
・       監査役協会 会社法及び法務省令に対する監査役の実務対応
・2005.03.23 個人情報 各協会ガイドライン

|

« 20数ケ国包囲網? 監査法人の監督で国際的な会議発足 | Main | 経済産業省 パブコメ 「産業構造審議会情報セキュリティ基本問題委員会報告書(案)」 »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



TrackBack


Listed below are links to weblogs that reference 不正アクセス はてな、ジェット証券、ネットバンク:

« 20数ケ国包囲網? 監査法人の監督で国際的な会議発足 | Main | 経済産業省 パブコメ 「産業構造審議会情報セキュリティ基本問題委員会報告書(案)」 »