ドコモ口座を使った不正な預金引き出し事件が問題化している。ドコモ口座側の穴はともかく、いったいどのようにして銀行口座を不正に入手できたのかが不可解だ。(『牛さん熊さんの本日の債券』久保田博幸)
※『牛さん熊さんの本日の債券』は、毎営業日の朝と夕方に発行いたします。また、昼にコラムの配信も行います。興味を持たれた方はぜひこの機会に今月すべて無料のお試し購読をどうぞ。
銀行口座を登録すれば、本人確認は不要に
NTTドコモの電子マネー決済サービス「ドコモ口座」を利用した不正な預金引き出し被害が拡がっている。
七十七銀行だけでなく、中国銀、大垣共立銀でも新規登録を中止した。また、これらを加えて14の銀行で口座の新規登録を停止したとドコモは発表した。
今回の不正な預金引き出しには「ドコモ口座」が絡んでいた。こちらは不正引き出し先となる。
こちらのからくりには、銀行口座を登録することによって本人確認が済んでしまうことで、不正に入手した銀行口座の情報だけで本人になりすましやすい仕組みとなっていたようである。
どうやって銀行口座を不正に入手?
そしてもうひとつ不可解な点があった。不正に入手した銀行口座とあるが、いったいどのようにして銀行の「口座番号、「名義」、「4ケタの暗証番号」を不正に入手できたのかという点であった。
これについては「リバースブルートフォース攻撃」という仕組みを使ったのではないかとの指摘があった。しかし、現実にそのようなことは可能なのか。
被害が出ている銀行は限られており、ドコモ口座との紐付けは可能ながらも出ていない銀行もあった。この違いは何か。ひとつには個人の認証度合いの違いがあったものとみられる。
そこであらためて「リバースブルートフォース」の可能性を考えてみた。
リバースブルートフォースによる攻撃とされるものは、登録に必要なパスワードは変えずに固定し、口座番号などのIDを変えながらログインを繰り返す攻撃となる。
ネットで調べてみると、オーストラリアでパスワードスプレー攻撃が大量発生したとの記事があった。このパスワードスプレー攻撃は、一般的に用いられることが多い安易なパスワードを使用しつつも、特定のIDに対する連続攻撃を避け、アカウントのロックを避けつつ、ログインを試行する攻撃手法とされ、リバースルートフォース攻撃の別称である。
パスワードや暗証番号は複数回入力するとアカウントが凍結されるような仕組みとなっているが、IDの方は何度入力し直しても凍結されることはないケースがどうやら存在しているようである。
しかし、これを行えば異常なログインと認識されるのではなかろうか。
Next: 銀行間でも被害に差。狙われた銀行の特徴とは?