どうやって盗まれたかわからない!? ミステリアスな銀行口座ハッキング事件

牧野武文

October 10, 2017 08:00
by 牧野武文

中国の招工銀行の利用者42名の口座から、まったく知らない間に資金が盗まれるという不可解な事件が起きた。被害者の中には、大手IT企業のセキュリティエンジニアもいるが、手口がまったくわからないという。犯人がどうやって資金を移動させたのか、大きなミステリーになっていると北京時間NEWSが報じた。

いつの間にか340万円盗まれた

事件が起きたのは、招工銀行の利用者42名の口座。利用者の居住地は、北京、江蘇省、河南省などと中国全土に散らばっている。招工銀行では、利用者にワンタイムパスワードの機能を提供していた。資金を移動するときは、登録してある携帯電話にショートメッセージ(SMS)で4桁から8桁の使い捨ての暗証番号が送られ、これを操作画面に入力しないと、資金移動は実行されない。しかし、42名の被害者すべてが、このワンタイムパスワードが送られずに資金が移動されてしまったと訴えている。

北京に住んでいる呉さんは、2015年10月23日午後6時過ぎに、招工銀行からのSMSを受け取った。内容は、招工銀行で9万元(約152万円)の理財商品を購入したことを通知するものだった。詳細情報が表示されるリンクもついていたが、呉さんは、ありふれたフィッシングメールだと思って無視をした。

そして、夕飯を食べていたが、なにか嫌な予感がして、パソコンを使って、招工銀行の自分の口座を開いてみた。すると、口座には29万元(約490万円)が入っているはずなのに、9万元に減っていたのだ。20万元(約340万円)が盗まれていた。その20万元が移動されたのは、10月21日午前1時50分になっていた。

呉さんは、慌てて残りの9万元だけでも守ろうと、自分の別の口座に移動する操作をし、携帯電話にワンタイムパスワードが送られてきた。しかし、驚いたことに、パスワードを入力しても、資金移動が行われない。

わけがわからなくなっている呉さんの元に、タイミングよく、招工銀行理財基金の社長と称する人物から電話がかかってきた。その人物は、「あなたの招工銀行の口座におかしな動きがあったので、口座を一時凍結している」と言う。呉さんが「残高の9万だけでもすぐに移動したい」と言うと、その人物は「では、先ほど送られたワンタイムパスワードを教えてください。すぐに口座凍結を解除します」と言う。

気が動転していた呉さんは、その人物にワンタイムパスワードを教えてしまった。すると、目の前のパソコンに表示される口座情報が動いて、「88821元が別の口座に移動された」と表示された。20万元を知らないうちに盗まれ、まんまと残りの9万元も盗まれてしまった。呉さんは、警察と招工銀行の顧客センターに通報した。もちろん、招工銀行理財基金では呉さんに電話をしたことはなく、社長と称した人物は詐欺師だった。

呉さんは、最後の9万元は自分が愚かであったにしろ、最初の20万元はワンタイムパスワードなしで、どうやって盗まれたのか、今でも不思議に思っている。


呉さんの口座の取引記録。5000元が4回、連続して資金移動されている。しかも、すべて10月21日に集中している。他の被害者も同じ時間に被害にあっており、この時間になにか意味があるのかどうかも議論されている。写真は北京時間NEWSより

セキュリティエンジニアも被害に

北京時間NEWSは、同様の被害にあった招工銀行の利用者42名を探し出し、そのうちの9名に接触することができた。同様の手口で、9名は合計で120万元(約2000万円)の被害を受けていた。しかも、資金を移動された時間が、すべて10月20日から21日の間の24時間に限られていた。

同じく被害にあった北京市の郭さんは、大手IT企業に勤務をするセキュリティエンジニアだ。「私は、携帯電話、コンピューターに詳しく、仕事ではフィシングサイト、マルウェア、偽携帯電話基地局などの情報を扱っています。まさか、自分の身にこんなことが起きるなんて、今でも信じられません」。

郭さんは10月20日の夜、北京市内にある自宅にいた。10時11分から19分の間に、招工銀行からのSMSを4通受け取った。資金移動が4回に渡って実行されたということを通知するもので、金額は合計で20万元に達していた。

「オンライン口座のパスワードは、妻も知りませんし、メモもつくっていません。あるアルゴリズムで、英数字を織りまぜる方法で、私の頭の中にしかありません。その日は、携帯電話は手放したことなく、ずっとポケットに持っていました。ワンタイムパスワードなどはまったく送られてきていません」。

郭さんは、すぐに招工銀行の顧客センターに電話をして、口座を凍結した。それから警察にも通報をした。郭さんが貯めていた20万元は、両親のためにマンションを購入する頭金にするつもりだった。セキュリティエンジニアとしての自尊心が傷つけられ、人生設計も狂ってしまった。郭さんは今でも落胆をして、ふさぎがちな日々を送っている。

侵入手口を巡ってネットで議論

ハッキング事件としては、ありがちなものではあるが、その手口を巡って、ネットではミステリーを楽しむかのように盛り上がっている。一体、犯人たちはどうやって、こっそりと資金を移動することができたのか。
 
(1)SIMカード再発行による携帯電話の乗っ取り
以前お伝えした(銀行口座が空っぽ!? 中国で頻発するスマホを狙ったサイバー詐欺)ように、携帯電話ショップで「携帯電話を紛失した」と言って、偽の身分証などを使い、SIMカードを再発行してもらうという手口がある。他人の携帯電話を乗っ取ることができ、ワンタイムパスワードも乗っ取った携帯電話の方に送られてくる。この場合、被害者の携帯電話は、無信号になって使えなくなってしまう。しかし今回の事件では、被害者の携帯電話に特に不審なことは発生していない。
 
(2)クラウドバックアップを利用
これも以前THE ZERO/ONEに掲載(銀行口座を空にする「深夜の幽霊」が中国のECサイトを徘徊)したが、クラウドバックアップサービスを使い、被害者の携帯電話内容を保存する。それからリモートワイプをかけ、被害者の携帯電話を使えない状態にし、副番号の方にSMSが送られるように設定する。これでワンタイムパスワードを入手し、資金を移動する。仕事が終わったら、バックアップから回復を行い、被害者の携帯電話を元の状態に戻す。だが、この手口を利用すると携帯電話が使えない状態が数時間続くので、被害者は気がつくはずだ。
 
(3)偽造カードを使ったATMからの資金移動ではない
ATMで資金移動をした場合は、資金移動を通知するSMSは送られてこない。その場でATMから帳票が出力される。SMS通知可能なのは、オンライン口座で操作をした場合だけ。被害者にSMSが届いているので、犯人はATMではなく、オンライン口座を操作して犯行を行った可能性が高い。そのため銀行カードを偽造してATMを使う手口ではなかったと推定される。
 
(4)ワンタイムパスワードをSMSに転送するマルウェア利用
これも辻褄が合わない。セキュリティエンジニアである郭さんは、セキュリティソフトを携帯電話に入れていて、マルウェアに感染していないことが確認されている。
 
(5)資金操作が可能な行員による内部犯行
これが最も妥当な推測だが、招工銀行は内部調査を行い、この疑惑を否定している。

被害者たちは、この被害は利用者には防ぎようがなく、口座を管理している招工銀行側の責任だとして、損害賠償を求め、呉さんは北京市西城区法院に、郭さんは朝陽区法院に民事訴訟を個別に起こしている。しかし、法廷でも手口がさっぱりわからないので、一体誰に責任があるのか決めることができず、審理は異常に長引き、未だに結審ししていない。ネットユーザーたちは、ミステリーとして、この事件の話題で盛り上がっている。

ニュースで学ぶ中国語

 
偽卡盗刷(weika daoshua):偽造カードを使って資金を盗むこと。現在では銀行カードもIC化され、またATMには防犯カメラも設置されているので、偽造カードを利用した犯行は少なくなっている。一方で、ネット口座を利用した犯行は増え続けている。

BugBounty.jp

必要な情報を収集・分析脅威リサーチ

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

公衆無線LANを悪用した暗号通貨マイニング術

January 19, 2018 08:00

by Zeljka Zorz

何も疑っていないユーザーのマシンを使って密かに暗号通貨のマイニングをさせることは、暗号通貨オーナーにとっての夢のような話だ。そして彼らの一部は、倫理的配慮を考えずにその夢の実現に取り組んでいる。 一般的に用いられる2つのアプローチは、コンピューターやウェブサイトを危殆化し、マイニングのソフトウェアを…

ベトナム政府が背後にいる!? ハッカー集団「APT32」の暗躍

January 15, 2018 08:10

by 牧野武文

アジア圏で暗躍するハッカー集団がいる。「APT32」あるいは「オーシャンロータス」(Ocean Lotus Group)と呼ばれる組織だ。どちらの名前も、観測をした研究者が命名したものであり、正式名称は不明だ。米セキュリティ企業ボレシティ(Volexity)は、ブログでこのオーシャンロータスが、ベト…

国内の言論統制が目的か? ベトナム人民軍のサイバー部隊「Force 47」(後編)

January 12, 2018 08:00

by 江添 佳代子

近年のベトナムとFacebook 前編でお伝えしたとおり、オンラインでの自由な発言を国民に許可していないベトナムは、中国やトルコなどの国とたびたび比較されてきた。しかし、これらの国々の中では比較的「ブロックが手ぬるいほう」だったと言えるかもしれない。 たとえばベトナムは2009年頃からFaceboo…