« スピアメールが飛んできた! | トップページ | 今回もネット選挙運動が解禁されなかった »

2012年10月27日 (土)

正規ネットバンキング用銀行サイト偽入力画面事件

警察庁が、インターネットバンキング利用者の金融情報を狙った新たな犯行手口の発生について、平成24年10月26日付けで広報資料を公表して、注意を呼びかけている。

この広報資料によると、次のような内容である。

利用者が、金融機関の正規のインターネットバンキングのページからログインをすると、不正にポップアップ画面が表示され、
「システムのメンテナンスや機能の向上のためにお客様情報の再入力を
お願いします。」
などの記載とともに
・第2暗証
・質問、合言葉
・インターネット用暗証番号
などの入力フォームが表示されるもの。

要するに、正規のネットバンキング用の銀行サイト画面上に、ニセ入力画面をオーバーレイするという手口であり、手が込んでいる。

フィッシング詐欺のように偽サイトへ連れて行くのではなく、本件の場合には、本物の銀行サイトの前で待ち構えてキャッチする。詐欺師がニセ店舗に連れて行く代わりに、本物の店舗の前で詐欺師がたむろして、あたかも本物の銀行員のような顔で話し掛けてくるようなものだ。フィッシング詐欺とは呼べないから、それに代わって、どう呼べばいいのだろうか。

この事件を見て、1973年発生の大阪ニセ夜間金庫事件を思い出す人も多いのではないか。三和銀行(当時)の阪急梅田北支店にニセ夜間金庫が設置されたというものである。本物の前にニセモノを置いて信じさせようとする発想の基本が類似している。

本件の性格上、おそらく国内犯だと思われる。マルウェア、つまり、刑法上の不正指令電磁的記録に該当するはずである。早く検挙されることを望みたい。

補足しておくと、本件は、他にも不正アクセス禁止法7条違反として、罰則の対象となることもありうる。同条は、典型的なフィッシング行為に限定しているわけではないからである。

不正アクセス禁止法

(識別符号の入力を不正に要求する行為の禁止)
第七条  何人も、アクセス制御機能を特定電子計算機に付加したアクセス管理者になりすまし、その他当該アクセス管理者であると誤認させて、次に掲げる行為をしてはならない。ただし、当該アクセス管理者の承諾を得てする場合は、この限りでない。
一  当該アクセス管理者が当該アクセス制御機能に係る識別符号を付された利用権者に対し当該識別符号を特定電子計算機に入力することを求める旨の情報を、電気通信回線に接続して行う自動公衆送信(公衆によって直接受信されることを目的として公衆からの求めに応じ自動的に送信を行うことをいい、放送又は有線放送に該当するものを除く。)を利用して公衆が閲覧することができる状態に置く行為
二  (略)

第十二条  次の各号のいずれかに該当する者は、一年以下の懲役又は五十万円以下の罰金に処する。
一  第四条の規定に違反した者
二  第五条の規定に違反して、相手方に不正アクセス行為の用に供する目的があることの情を知ってアクセス制御機能に係る他人の識別符号を提供した者
三  第六条の規定に違反した者
四  第七条の規定に違反した者
五  第九条第三項の規定に違反した者

<参考>

・警察庁「インターネットバンキング利用者の金融情報を狙った新たな犯行手口の発生について」

・ウィキペディア「大阪ニセ夜間金庫事件」

不正アクセス禁止法

|

« スピアメールが飛んできた! | トップページ | 今回もネット選挙運動が解禁されなかった »

情報ネットワーク法」カテゴリの記事

個人情報保護・セキュリティ」カテゴリの記事

コメント

この記事へのコメントは終了しました。

トラックバック


この記事へのトラックバック一覧です: 正規ネットバンキング用銀行サイト偽入力画面事件:

« スピアメールが飛んできた! | トップページ | 今回もネット選挙運動が解禁されなかった »