Zeusウィルスを掲示板で売って中学２年生が逮捕されました。
IT語で書きますが、PGではなくスクリプトキディです。
押収品を見れば明らかですね。



これが本題ではなく、なぜスパイウエアが無くならないかです。
なぜ逮捕されたか？、オンラインバンクを乗っ取れるからです。

私も長年技術員をしているので、どういった経過で乗っ取れるのか
これでも理解しています。これがわかってないと対策できないので。



1.ブラウザ(IE/FireF)にインジェクションさせて50msほど一時停止、
次に、一時停止させた所から残りのhtmlスクリプトにJavaを挿入、
これで乗っ取る準備は完了していて、次にオンラインバンキングを
開いたときに、Aサイト=Bサイトだとjavascrが記憶しているので、
Aサイトがタイムアウトする50ms待って、不正なBサイトが出てくる、
ここで口座番号とパスワードを記載すると次に繋ぐと無くなってる。
50msとは、0.05秒のこと。

これがMITB攻撃(Man in the Browser)と呼ばれるウエア



2.ブラウザ(Chrome)にJavaをキャッシュさせる。まずはそれだけ。
次に同様サイトに接続すると以前のJavaキャッシュが利いていて、
そのJavaキャッシュがc:\***\***\Tempにインジェクションする。
インジェクションされたブラウザのProxyは偽物なので、
MicrosoftかAdobeを装って緊急アップデートを案内して実行、
Hostsが書き換えられる。後はやられ放題、必ず悪意を経由する。
これはアダルトサイトによくあるタイプ。

これがホストフィッシング、Proxyを悪用したウエア



要はこの２つを対策すればいいんですが、
スパイウエア作成アプリケーションで作成されたウエアは、
アップデートがなされないウィルス対策ソフトを使用していると
素通りするのが問題、だから市販品はあまりお勧めできない。

次php/js/cgi/xhtmlを使って素人でもHPを作成できるので、
悪意なく脆弱性がある古いホームページ作成ソフトでHPを作り、
知人を呼び込んで、みんな脆弱性あるサイトで交流する。
その脆弱性ページを悪意ある人が見つけ、Proxyを悪用する、
そのページに行けばみんな感染、素人がページ作っちゃダメ。
http://gihyo.jp/dev/serial/01/php-security/0010



３つめ個人法人に関わらず、便利なオンラインバンクは１社に！
後はアナログで通帳記入、口座管理をした方が精神的に楽です。
今一番危険なのは、少し前に流行った楽天バンクやJNB/SBIなどの
数千円以下のまったく運用なされていない口座が一番怖いです。



最後に、本当はこれが一番怖い。
仕事もプライベートも同じパソコンを使っている場合。
仕事使用パソコンは当然法人口座を管理する。
法人口座だから金額が意識せずに半端なく入ってる場合がある、
例えばみずほでもUFJでも、オンラインバンクの基本セキュアは、
同列にSSLが配列されている、それは指名入札なども同じ。

仕事とプライベート用は、絶対分けたほうがいい。
海外で今MITBやられて発狂するくらい被害が出ているのは、
全て同じPCでされてる人が殆どだと思います。それ危険です。

うちのテスト用環境Windows7は、
週に２回くらい常に再インストールしています。