修学社事件 2億5500万円の不正振り込みはネットバンクではなく専用端末によるものと判明

【続報】2億5500万円の不正振り込みは専用端末によるものと判明 福田 崇男=日経コンピュータ 2005/08/08
学習塾「シドウ会」を経営する修学社が、8月1日に2億5500万円の不正振り込み被害にあった事件で、利用していたのは同社発表にあったネット・バンキングではなく、ホストと電話回線でつながった専用端末であることが分かった。これにより、ネット経由での不正アクセスの可能性は低くなった。

 同社が利用していたサービスでは、特定のパソコンを使った上でID/パスワードによる認証に成功しなければ、振り込み操作はできない。犯人は8月1日の22時30分に、同社が持つみずほ銀行の口座から、翌日に2億5500万円をほかの口座に振り込むよう予約手続きをしていたことが分かっている。

 しかも修学社によると、すでに犯人一味の面相は特定できているという。振り込み当日の8月2日に、振り込み先国内銀行の窓口に犯人が現れ、本人確認手続きの上、2億5500万円を引き出した、とのこと。その様子を、銀行の監視カメラが撮影していた。修学社は8月4日に通帳に記帳した際、不正振り込みに気付いた。

 ネット経由での不正アクセスによるものでないとすると、内部犯行や、同社内に侵入して直接端末を操作した可能性などが考えられる。しかし同社は、「振り込み操作をするためのID/パスワードを知っている二人の経理担当者は、不正振り込みが行われた1日の22時30分にはすでに会社にいなかった。誰かが不正に端末を操作したら、その時に残っていた担当者が気付いたはず」とコメントしている。


 ふ~む。話がよくわからんなぁ。

 「同社が利用していたサービスでは、特定のパソコンを使った上でID/パスワードによる認証に成功しなければ、振り込み操作はできない」
 「ネット経由での不正アクセスによるものでないとすると、内部犯行や、同社内に侵入して直接端末を操作した可能性などが考えられる」

 「特定のパソコンで」ってのはどういう意味なのだろう。GUIDとかMACみたいなものだと偽装できるし、証明書の類だってソフト的なものなら盗まれないことはなかろうし。「汎用の」パソコン使ってる限りは「特定」個体限定というのはかなり困難な気がするのだが。ドングルみたいな認証用のハードでも使うものなのかしら。

 仮に電話番号などでも認証してるとしても、公衆とかISDN回線でおまけに自社ビルでないとすりゃあ、アクセスしやすいMDFかIDFでもあれば、回線盗聴とか横取りするとかはありうるんじゃないかなぁ。ちゃんと暗号化とかやってるのだろうか。

 IDとパスワードはこの際あまり意味はないような気もするなぁ。もしも、この「専用端末」とやらがフツーのオフィスフロアにおいてあったとすりゃあ、ショルダーサーフィンでIDとパスワード盗み見られたとか、そういう可能性はあるかと思うし。

 監視カメラに写ってるということは、犯人が捕まるのは意外に早いかもしれない。
 システムに不備があるとすれば大きな問題だろうから、是非とも情報公開をしてほしいものだ。

 まあ、上の話を単純に邪推すると、「IDとパスワードを盗み見た内部犯行」つーセンが濃厚のように思えるが…
[PR]
by SIGNAL-9 | 2005-08-09 15:48 | 情報保護・セキュリティ
<< 民主党大阪府連の公式サイトがア... 学習塾経営の修学社、ネットバン... >>