2005年02月28日(月) << 前の日記 | 次の日記 >>
これまでの02月28日 編集

■1 続・「チェックコードが一桁あるので、セキュリティが低いとは言えない」[?200502c&to=200502271#200502271][セキュリティ]次の記事 >> このエントリーをはてなブックマークに追加

録画を見直してみた。
1850万円の預金が不正に引き出されるという事件が起きた。供述調書によれば手口は以下の様ものだ。

  1. キャッシュコーナーで預金を引き出す際に、暗証番号を盗み見られた
  2. 車のナンバーから持ち主を特定
  3. 銀行を装って電話を掛け、口座番号を聞き出す
  4. 偽造カードを作成して、全額を引き出す

1については、最近は目隠しを立てる様になってきているし、自分自身は以前から気を付けているけれども、確実に大丈夫かと聞かれると自信がない。混んでいる時など後ろの人が盗み見る積もりになれば読み取れるのでは無いかと思うし、ショルダーハックと比較して、テンキーを盗み見るのはかなり簡単だろう。
3でソーシャルな手法を使っているが、そもそも口座番号は秘密情報では無いので、聞き出すのは簡単だろうし、聞き出すまでも無く知る事ができる場合が多い。事業をやっている場合は、請求書に普通に印刷されていたりするし、名刺に印刷されているものも見た事がある。少し前までは、公共料金などの領収書に引き落とし口座が印字されていたものだし、今でも印字している例は多いかも知れない。

こうやって、預金を引き出された法人が、銀行を相手取って民事訴訟を起こした訳だが、その中で銀行側が主張したのが冒頭の言葉だ。

23の金融機関のキャッシュカードの磁気データを分析したところ、チェックコードを設けていないと考えられるものは8金融機関もあり、全体の3分の1以上ある状況に照らせば、1桁のチェックコードがある被告のセキュリティ技術が一般水準以下であるとは到底言えない。
1桁のチェックコードがあるのは安全な方だ

「1桁で安全」という主張にも驚くが、これが一般水準だったら、キャッシュカードは恐くて使えない。
番組でも「銀行カードに詳しい技術者」に大手7金融機関のカードを分析を依頼していたが、チェックコード無しが1行、チェックコード1桁が4行、チェックコード2桁以上が2行という結果だった。

番組中、技術者は「チェックコード」ではなく「チェックサム」と言っていた。チェックサムだとすると、2桁以上あっても全く安心できない。枚数をある程度集めれば、計算式が推測可能だからだ。桁数を多くしてもサンプルが多く必要になるだけの話だ。

キャッシュカードを使わない様にするとATMが使えないということになるので、実際は相当に不便になる。自分自身も対策をしなければいけないと思いつつ踏み切れていない。
ネットバンキングに切り替えて、キャッシュカードを持つのを止めるというのも考えているところだ。
バランスの問題だけれども、ネットバンキングはキャッシュカードに比べると、利用者が努力すればまだ安全性を確保できそうだ。暗証番号では無くて長いパスワードが使えるし、フィッシングもオレオレ証明書も自分で気を付ければ、ほぼ被害を無くす事ができる。問題は銀行のシステムに穴があった場合だが、その場合に、被害者が自分一人ということはほとんど無いだろうから、比較的安心できる。
残念な事に、キャッシュカードを持たないでネットバンキングを利用することができない銀行もある様な気がする。

■ 関連記事

■2 続・例示用には実在しないドメイン「example.com」等を[?200502b&to=200502173#200502173]<< 前の記事 | 次の記事 >> このエントリーをはてなブックマークに追加

携帯電話アクセス自動振り分け表示
ウチのドメインいつの間にか乗っ取られたかと思ってびっくりしますから、お願いしますよ。
それから、メールアドレスの正当性チェックと称して、「nantoka」を含むドメインをはじくのも勘弁して下さい。スクリプトを配布される作者の方は、サンプルには、bad.example.com等を使って下さる様にお願いします。
Webで入力されたメールアドレスが正しいかどうか調べるためには、 Email::Valid[http://perldoc.jp/docs/modules/Email-Valid-0.14/Email/Valid.pod] あたりをお勧めします。但し、実際に配送してみるまで(配送してみても)、メールアドレスが正しいものであるかどうかを確認する方法はありません。そういう厳密な確認が必要な時は、セションキーを割り当てて、メールにアクセスすべきURIを書いて送って、そのURIへのアクセスを確認する方法がありますが、もちろん、そのアドレスが将来にわたって有効である保証はありません。

■ 関連記事

■3 寝台特急さくら、あさかぜ歴史に幕 長崎駅などで出発式[http://www.asahi.com/national/update/0228/028.html]<< 前の記事 このエントリーをはてなブックマークに追加

ついに九州寝台特急の歴史に幕が下りたわけです。ノスタルジーだけではやっていけないけど、鉄道旅行の楽しみが食堂車についで消えたのは寂しい限りです。とってもひょっとすると、いつか他の寝台車両が九州まで来る事はあるかも知れない。
さくら号 さくら号Bソロ外観 さくら号Bソロ室内1 さくら号Bソロ室内2

トワイライトエクスプレス[http://www.nantoka.com/~kei/TwilightExpress/]:

はまだ現役。もう一度乗りたい。

■ 関連記事

以上、1 日分です。

指定日の日記を表示

前月 2005年02月 翌月
1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28

最近の日記

2019年04月01日

新元号「令和」について

2019年03月23日

DXアンテナ ワイヤレスチューナー メディアコンセント DMC10F1

2019年02月17日

#例のグラボを活用する

2019年01月03日

シリーズ5・myHomeAlexaで自分のCDをかける

2018年12月25日

シリーズ4・英語の楽曲・アルバム・アーティスト名をカタカナに直す

2018年12月23日

シリーズ3: Echo Dotがやってきた

2018年12月19日

続・Echo Dotがやってきた

分野別タイトル一覧


全て
CLIP
SYA!nikki
book
freebsd
hns
magic
おさけ
おしごと
お買いもの
ぐる
ごはん
アクセシビリティ
オープンソース
セキュリティ
音楽
地域情報化
電子自治体
日記

keikuma on Twitter

keikuma Name:前田勝之
Location:長崎市
Web:http://www.nantok...
Bio:前田勝之(まえだかつゆき)。長崎在住。コンサル、SE、プログラマー、 なんとか株式会社代表、非常勤講師(情報セキュリティ)。 セキュアド、テクニカルエンジニア(SV,NW)。サーバ管理とWeb日記を10年ほど。 ネットとリアルの接点に関心あり。食べること・歌うこと・愛すること・作ること・飲むこと。おいしいものがぜんぶすき。

サイト内検索

Google AdSense

Powered by hns-2.19.9, HyperNikkiSystem Project