覚えのない口座に2億5500万円振り込み ネットバンキングで
ITmediaの速報から
学習塾経営の修学社は、何者かがネットバンキングを使い、同社口座から2億5500万円を覚えのない口座に振り込んでいたと発表した。
という事件。
さらに毎日新聞からのネタによると当日の担当者二人は、会社にいなくて、振り込める端末も限られていた。 スパイウェアが進入した可能性についてはわからないということになっている。
さて ここで業務として送金業務に携わっている立場から言わせてもらえば、いろいろと疑問点が浮かび上がってくる。
まず一般的なセキュリティ上の甘さを許しているという点。
「送金にネットバンキングを使っていた」と出ているのだが、オンラインの送金処理をインターネット経由のネットバンキングでかなりの高額の送金をできるようにするということは、たとえ端末限定であってもあまり考えられない。
送金をかける場合にはANSER SPCを使いANSERセンターとのデーター送受信、全銀協プロトコルを使った総合振込みによる銀行との直接の送受信を選択するのが普通である。 こちらの二つは電話回線を使って回線番号で送金に使う端末を限定できるからである。
次に暗証番号の問題、ネットバンキング(インターネットバンキング)だとしても、コード表がないと新規の振込み先を登録できないわけで、それをどうやって知ったのかという点が疑問だ。キーロガーがしかけてあっても毎回変わる暗証には対処できないはず。
そこで匂ってくるのが,「振り込み操作が行われた当時は、この2人の社員は会社内にいなかったという。」という点。
ぶっちゃけた話、トロイの木馬でなくてもリモートでPCに入り込む手段はいくらでもある。 リモートで入って遠隔操作をしてアリバイを作ったと考えるのが自然ではないのかな?