銀行自体にもセキュリティの穴があった?
もう一度、ドコモ口座と銀行口座の紐付けの方法を確認すると、このときに使われるのが、地銀ネットワークサービス株式会社の「Web口振受付サービス」であった。
ただし、「Web口振受付サービス」はあくまでドコモ口座と銀行口座のつなぎの役割となり、ドコモ口座に銀行口座を登録する際には、それそれの銀行のサイトに繋がったかたちで行うようである。つまり、そこでの認証手続きは、その銀行の仕様によるものとなる。
銀行口座でのネットでの利用時にはネットの登録番号などと暗証番号があれば、入ることは可能となるとみられる。この画面でどのようなセキュリティが働いているのかは、各銀行によって異なると思われる。
IDを入力後にパスワードを間違えると数回で入力そのものができなくなる。しかし、リバースブルートフォース攻撃はパスワードを固定した上で、IDをプログラムを使ってログインを繰り返して探ることになる。
果たしてこれは、銀行サイトの上で可能なのか。サーバーアタックのような格好となるプログラム攻撃を感知して、警戒が発せられることはないのであろうか。
誰もが被害者になりうる
もしも今回、このリバースブルートフォース攻撃によって暗証番号が盗まれるという事態が発生していたのであれば、フィッシングメールなどによって盗まれずとも、知らないうちに暗証番号が抜き取られている可能性が出てしまう。これはこれであらたな脅威となりうる。
いまのところ今回の事件にリバースブルートフォース攻撃が使われたという確証は出ておらず、
それが使われた可能性もある程度である。
※『牛さん熊さんの本日の債券』は、毎営業日の朝と夕方に発行いたします。また、昼にコラムの配信も行ないます。興味を持たれた方はぜひこの機会に今月すべて無料のお試し購読をどうぞ。
『牛さん熊さんの本日の債券』2020年9月10日号より
※記事タイトル・リード文・本文見出しはMONEY VOICE編集部による
初月無料お試し購読OK!有料メルマガ好評配信中
牛さん熊さんの本日の債券
[月額1,100円(税込) 毎週月・火・水・木・金曜日(祝祭日・年末年始を除く)]
金融サイトの草分け的な存在となっている「債券ディーリングルーム」の人気コンテンツ、「牛さん熊さんの本日の債券」がメルマガとなりました。毎営業日の朝と引け後に、当日の債券市場を中心とした金融市場の動きを会話形式にてお伝えします。さらっと読めて、しっかりわかるとの評判をいただいている「牛さん熊さんの本日の債券」をこの機会にぜひ御購読いただければと思います。