ネット専業銀行のイーバンク銀行は、同行の顧客がスパイウエアによって口座番号やパスワードを盗まれ、預金13万円を別の口座に不正に振り込まれる被害に遭ったことを明らかにした。同行は警察に通報。Webサイト上で注意を呼びかけている。不正振り込み先は、国内銀行の口座だった。
被害に遭った顧客が7月1日にイーバンク銀行に連絡し、事態が判明した。イーバンク銀行は、同行のWebサイトで振り込み操作をすると、その結果を自動的に顧客にメールで通知するサービスを提供している。被害に遭った顧客は、身に覚えのない振り込みがあったため、自身のパソコンを調べたところ、スパイウエアが侵入していることがわかった。
イーバンクによると、侵入していたのは「SPYW_INVKEY12.A」または「Spyware.InvisibleKey」と呼ばれているスパイウエアで、キーボードで入力したすべての情報をユーザーにわからないように記録する。トレンドマイクロやシマンテックなど主要なウイルス対策ソフトで発見できる。ただし本当に、このスパイウエアが口座番号やパスワード盗んだのかは調査中である。
顧客からの通報を受けたイーバンクが調査したところ、その顧客のIDを使って、「61.121.40.32」と「220.150.173.4」の2つのIPアドレスからログインし不正振り込みの操作をした形跡があった。これらのIPアドレスを基に、ほかの顧客に被害がないか調査したところ、もう一人の顧客のIDでも、これらのIPアドレスから操作した記録が残っていた。この顧客は不正振り込みなどの被害には遭っていなかったが、事情を説明して口座を一時凍結した。
イーバンク銀行のWebサイトで口座振り込みの操作をするためには、まず口座番号とパスワードを使ってログインし、振り込み操作の際に4~12桁の暗証番号で認証する必要がある。他行が導入しているような、ワンタイム・パスワードの仕組みはなかった。
イーバンク銀行は、今回の件で被害金額を補償するかどうかは「検討中」(広報担当)としている。
