ニュース速報

【ドコモ口座】専門家「リバースブルートフォース攻撃された可能性」 被害の銀行、登録に口座番号、名義、4桁暗証番号の3点利用!総当たり攻撃か?

1:名無しさん@2ろぐちゃんねる : 2020/09/09(水) 09:37:21.86 ID:ZUBSH9zV9


「ドコモ口座」で相次ぐ不正出金、なぜ地銀だけが狙われた? 専門家の見解は
2020年09月09日 07時00分 公開
[井上輝一,ITmedia]

 NTTドコモが提供する電子決済サービス「ドコモ口座」を利用して、銀行から不正に現金を引き出す被害が相次いでいる。七十七銀行(宮城県仙台市)は9月7日、同行の顧客に被害があったとしてドコモ口座への新規登録を当面停止すると発表。中国銀行(岡山県岡山市)、大垣共立銀行(岐阜県大垣市)、東邦銀行(福島県福島市)も8日、同様の理由で新規登録の停止を発表した。

地銀ばかりで被害 なぜ?
 今回被害が発生しているのはいずれも地方銀行。NTTドコモはITmedia NEWSの取材に対し「被害のあった銀行はいずれも『Web口振受付サービス』を使ってドコモ口座と連携していた」と話す。
 Web口振受付サービスは、地銀ネットワークサービス(東京都中央区)が提供する、収納企業(決済サービス提供社)と地方銀行の連携サービス。ユーザーは収納企業のWebサイトを通じて預金口座振替の新規登録などの手続きを行える。

 ユーザーが自身のドコモ口座へ銀行口座から入金するには、ドコモ口座のWebサイトから銀行口座を登録する必要がある。ドコモは「銀行のWebサイト側での作業ではあるが、いずれの銀行も登録には『口座番号』『名義』『4桁の暗証番号』の3点を利用していた」と明かす。
 ドコモは、これらの情報が何らかの理由で第三者に漏れたことが不正利用の一因ではないかとしている。
 一方、最初に不正利用の被害を発表した七十七銀行は「自社のシステムから顧客の口座番号やキャッシュカードの暗証番号などの情報が漏えいした事実はない」という。
 不正利用の被害にあった人のネットへの書き込みなどから、ネット上では「リバースブルートフォース」や「パスワードスプレー」と呼ばれる攻撃があったのではないかという臆測が上がっている。

「リバースブルートフォース」とは? 原因について専門家の意見は
 Webセキュリティ専門家の徳丸浩さんは「リバースブルートフォースやパスワードスプレーが使われた可能性はある」としながらも、「ドコモ口座側の防御策に問題があった可能性もある」と話す。
 「リバースブルートフォースはパスワード(ここでは4桁の暗証番号)を固定してID(ここでは口座番号)を総当たりする攻撃のことで、パスワードスプレーは数千~数万のIPアドレスを使っていろいろなIPアドレスから少しずつ攻撃し、攻撃を気付かれにくくする手法。これらが使われたかどうかは臆測でしかいえないが、いずれにせよ今回は暗証番号が4桁という部分が狙われたと考えられる。しかし、4桁の暗証番号を決済アプリとの連携に使っていても被害を受けていないケースもある」(徳丸さん)
 「例えばゆうちょ銀行は、『LINE Pay』や『ゆうちょPay』などとの連携に4桁の暗証番号を使っている。しかしこれらで被害が発生していないのは、いずれもアプリがスマホ専用のものだからだと考えられる。『スマホを利用する』ということ自体が一種の認証であり、防御策になっている」
 一方、ドコモ口座はPCからでも利用できる。ログインに2段階認証は必要なものの、口座開設時に携帯回線をひも付けていなければ登録メールアドレスにセキュリティコードが送られてくるため、攻撃者自身がドコモ口座を開いた場合はPCのみで操作が完結する。
 徳丸さんは「こうした防御策の差で、今回は地方銀行とドコモ口座が狙われたのではないか」と分析している。
 銀行が取るべき対策としては「アプリとの連携に4桁の暗証番号を使うのをやめ、ネットバンキングと同等のセキュリティ対策を取れるようにするべきだ」と話した。

続きはソース
https://www.itmedia.co.jp/news/articles/2009/09/news048.html


 




元スレ
https://asahi.5ch.net/test/read.cgi/newsplus/1599611841/



2:名無しさん@2ろぐちゃんねる : 2020/09/09(水) 09:37:46.66 ID:Uz/XwR+V0


生年月日とか届出電話番号とか聞かれないんですか



174:名無しさん@2ろぐちゃんねる : 2020/09/09(水) 10:10:50.00 ID:y17QW4d10


>>2
銀行によるみたい
ゆうちょは生年月日必要



3:名無しさん@2ろぐちゃんねる : 2020/09/09(水) 09:38:06.41 ID:qMPPR5RR0


銀行側があまりにも杜撰



227:名無しさん@2ろぐちゃんねる : 2020/09/09(水) 10:20:51.92 ID:QYbNirbn0


>>3
いや杜撰なのはドコモだよ
通常のなんとかPay同様にスマホの電話番号と紐づけてセキュアにするものをドコモがスマホがなくても良いようにした
リバース~攻撃を普通のなんとかPayでやろうとすると何万何十万機のスマホ本体とケータイ契約の「本物」を用意せねばならず実質不可能だがドコモはそのどちらも無くてPC1台で出来てしまう
地銀はドコモから口座紐付けの要求が有れば本人認証はドコモの責任で出来ていると見做したのだろう
地銀にはこの見なしのレベル確認をしていないかする仕組みがないかの責任はあるが基本頭のおかしい処置をしたのはドコモだ



261:名無しさん@2ろぐちゃんねる : 2020/09/09(水) 10:26:49.11 ID:KPZrEDe+0


>>227
スマホ必須にするとスマホ強制するのかとお前等みたいなバカがドコモを叩くだろ



4:名無しさん@2ろぐちゃんねる : 2020/09/09(水) 09:38:22.25 ID:xmtrSpKS0


ドコモロ座



5:名無しさん@2ろぐちゃんねる : 2020/09/09(水) 09:38:50.04 ID:OEC1tdPg0


可能性って。攻撃されたのならログが残ってんだろ。



8:名無しさん@2ろぐちゃんねる : 2020/09/09(水) 09:39:48.73 ID:Xe6J22f40


>>5
Web口振受付サービスだな、ログが残ってるのは
Web口振受付サービス側からは何も発表がない



23:名無しさん@2ろぐちゃんねる : 2020/09/09(水) 09:43:43.09 ID:JT2Og1VH0


>>5
残ってないなんて言ってないだろ



28:名無しさん@2ろぐちゃんねる : 2020/09/09(水) 09:44:32.63 ID:6YqoBcw80


>>5
IPアドレスをとっかえひっかえしてくるから、本人からのアクセスか攻撃によるアクセスか、ログから判別できないのかもね



55:名無しさん@2ろぐちゃんねる : 2020/09/09(水) 09:49:25.77 ID:F0AhkypG0


>>5
個人情報保護法が厳し過ぎるので、ログに肝心の情報が残って無いと思われ



76:名無しさん@2ろぐちゃんねる : 2020/09/09(水) 09:52:03.19 ID:tKxWkuIg0


>>5
可能性があるからログを使うんだろ?



6:名無しさん@2ろぐちゃんねる : 2020/09/09(水) 09:38:58.20 ID:Xe6J22f40


大手はネットバンク作ってワンタイムパスワード設定してないと使えないんだろ
地銀は利便性重視でガバガバにしすぎ



10:名無しさん@2ろぐちゃんねる : 2020/09/09(水) 09:40:24.59 ID:KMicE48y0


ああ、リバースブルートフォース攻撃か。
俺だったらアンチ・リバースブルートフォース攻撃で撃退するけどダメなん?



12:名無しさん@2ろぐちゃんねる : 2020/09/09(水) 09:40:59.08 ID:khcCE0nu0


北朝鮮か中国の仕業だ連中ケツに火がついた状態だから
いままで温存しておいた犯罪手口をすべて使いきってくるぞ



15:名無しさん@2ろぐちゃんねる : 2020/09/09(水) 09:42:13.54 ID:otd/Pf0L0


赤の他人が本人騙って勝手に作れて

銀行口座からうつし放題ってwwwwwもはやテロ
仕様考えた馬鹿出てこい



16:名無しさん@2ろぐちゃんねる : 2020/09/09(水) 09:42:16.25 ID:+REHkSgl0


「リバースブルートフォース攻撃!!」
「リバースブルートフォース攻撃!!」



17:名無しさん@2ろぐちゃんねる : 2020/09/09(水) 09:42:27.89 ID:VHb9s8l50


言うほどリバースか?



18:名無しさん@2ろぐちゃんねる : 2020/09/09(水) 09:42:33.22 ID:EMnU5eFL0


これってクレジットカードと紐付けできないの?

ペイパルのコピーと思ってたけど違うのかな?



19:名無しさん@2ろぐちゃんねる : 2020/09/09(水) 09:42:48.62 ID:OF4to/PS0


まだ四桁とかw



20:名無しさん@2ろぐちゃんねる : 2020/09/09(水) 09:42:59.70 ID:0Yl7NxJD0


ただのスクリプトだろ
難しくいうな



21:名無しさん@2ろぐちゃんねる : 2020/09/09(水) 09:42:59.94 ID:nbwvw0wf0


俺リバースブルートフォース耐性レベル5だから大丈夫だわ



22:名無しさん@2ろぐちゃんねる : 2020/09/09(水) 09:43:35.36 ID:bBhQxUYF0


え?ネットでの送金するのに4桁だけてやれてるのか
都市銀だと金銭移動はカード型の暗証つかうよな



26:名無しさん@2ろぐちゃんねる : 2020/09/09(水) 09:44:11.45 ID:vlJiCS0c0


ゆうちょ銀行の紐つけやばくね?

ドコモ口座の名義、生年月日が表示されて、ゆうちょの口座番号と生年月日しか聞いてこないんだけど。暗証番号すら聞いてこない。



31:名無しさん@2ろぐちゃんねる : 2020/09/09(水) 09:45:08.88 ID:6YqoBcw80


>>26
資金移動するときに暗証番号必要なのでは?



27:名無しさん@2ろぐちゃんねる : 2020/09/09(水) 09:44:20.32 ID:1grvuFbX0


デジタル庁なら防いでくれるよな



29:名無しさん@2ろぐちゃんねる : 2020/09/09(水) 09:44:42.69 ID:PcfTCQ9P0


そもそも暗証番号はどういう経緯で流出してるんだ?
ドコモロだけの問題じゃないよねこれ



34:名無しさん@2ろぐちゃんねる : 2020/09/09(水) 09:46:18.51 ID:6YqoBcw80


>>29
例えば暗証番号を1234と固定して、銀行口座番号をとっかえひっかえして試していく。
なので口座番号と名前さえわかれば当たる可能性があるってこと。



295:名無しさん@2ろぐちゃんねる : 2020/09/09(水) 10:32:10.76 ID:6/HeyC//0


>>34
今回被害にあった人
暗証番号全員同じだとしたら面白いな
1111とか



54:名無しさん@2ろぐちゃんねる : 2020/09/09(水) 09:49:18.63 ID:619HZ6lO0


>>29
暗証番号から適当な口座にアタックするから、流出もクソも無いようだ



102:名無しさん@2ろぐちゃんねる : 2020/09/09(水) 09:55:32.98 ID:HQixFcB20


>>29
ブルートフォースって0000から9999まで連打するやつじゃなかった?



115:名無しさん@2ろぐちゃんねる : 2020/09/09(水) 09:58:11.07 ID:u4Hx31jW0


>>102
ちがうで
暗証番号以外にもパスワードにも使われるで
文字数多いけど
英単語とかパスワードに使ってるやつかなり居るから
もしくは漏れたパスワード
日本でも放置されているパスワードはクソ多い

これらから方法を選んで口座にアタックを掛けてたってことやろ
一応技術者として知識あるから何でも聞いてくれや



コメント一覧

  1. 匿名 より:

    だからローラーあるから暗証番号あたまの数0,1から始めるなて言われるよ

コメント

メールアドレスが公開されることはありません。