マネーボイス メニュー

ドコモ口座問題、なぜ銀行預金は盗まれた?無差別に奪う手口のウラ=久保田博幸

money voice K

ドコモ口座を使った不正な預金引き出し事件が問題化している。ドコモ口座側の穴はともかく、いったいどのようにして銀行口座を不正に入手できたのかが不可解だ。(『牛さん熊さんの本日の債券』久保田博幸)

※『牛さん熊さんの本日の債券』は、毎営業日の朝と夕方に発行いたします。また、昼にコラムの配信も行います。興味を持たれた方はぜひこの機会に今月すべて無料のお試し購読をどうぞ。

銀行口座を登録すれば、本人確認は不要に

NTTドコモの電子マネー決済サービス「ドコモ口座」を利用した不正な預金引き出し被害が拡がっている。

七十七銀行だけでなく、中国銀、大垣共立銀でも新規登録を中止した。また、これらを加えて14の銀行で口座の新規登録を停止したとドコモは発表した。

今回の不正な預金引き出しには「ドコモ口座」が絡んでいた。こちらは不正引き出し先となる。

こちらのからくりには、銀行口座を登録することによって本人確認が済んでしまうことで、不正に入手した銀行口座の情報だけで本人になりすましやすい仕組みとなっていたようである。

どうやって銀行口座を不正に入手?

そしてもうひとつ不可解な点があった。不正に入手した銀行口座とあるが、いったいどのようにして銀行の「口座番号、「名義」、「4ケタの暗証番号」を不正に入手できたのかという点であった。

これについては「リバースブルートフォース攻撃」という仕組みを使ったのではないかとの指摘があった。しかし、現実にそのようなことは可能なのか。

被害が出ている銀行は限られており、ドコモ口座との紐付けは可能ながらも出ていない銀行もあった。この違いは何か。ひとつには個人の認証度合いの違いがあったものとみられる。

そこであらためて「リバースブルートフォース」の可能性を考えてみた。

リバースブルートフォースによる攻撃とされるものは、登録に必要なパスワードは変えずに固定し、口座番号などのIDを変えながらログインを繰り返す攻撃となる。

ネットで調べてみると、オーストラリアでパスワードスプレー攻撃が大量発生したとの記事があった。このパスワードスプレー攻撃は、一般的に用いられることが多い安易なパスワードを使用しつつも、特定のIDに対する連続攻撃を避け、アカウントのロックを避けつつ、ログインを試行する攻撃手法とされ、リバースルートフォース攻撃の別称である。

パスワードや暗証番号は複数回入力するとアカウントが凍結されるような仕組みとなっているが、IDの方は何度入力し直しても凍結されることはないケースがどうやら存在しているようである。

しかし、これを行えば異常なログインと認識されるのではなかろうか。

Next: 銀行間でも被害に差。狙われた銀行の特徴とは?



銀行自体にもセキュリティの穴があった?

もう一度、ドコモ口座と銀行口座の紐付けの方法を確認すると、このときに使われるのが、地銀ネットワークサービス株式会社の「Web口振受付サービス」であった。

ただし、「Web口振受付サービス」はあくまでドコモ口座と銀行口座のつなぎの役割となり、ドコモ口座に銀行口座を登録する際には、それそれの銀行のサイトに繋がったかたちで行うようである。つまり、そこでの認証手続きは、その銀行の仕様によるものとなる。

銀行口座でのネットでの利用時にはネットの登録番号などと暗証番号があれば、入ることは可能となるとみられる。この画面でどのようなセキュリティが働いているのかは、各銀行によって異なると思われる。

IDを入力後にパスワードを間違えると数回で入力そのものができなくなる。しかし、リバースブルートフォース攻撃はパスワードを固定した上で、IDをプログラムを使ってログインを繰り返して探ることになる。

果たしてこれは、銀行サイトの上で可能なのか。サーバーアタックのような格好となるプログラム攻撃を感知して、警戒が発せられることはないのであろうか。

誰もが被害者になりうる

もしも今回、このリバースブルートフォース攻撃によって暗証番号が盗まれるという事態が発生していたのであれば、フィッシングメールなどによって盗まれずとも、知らないうちに暗証番号が抜き取られている可能性が出てしまう。これはこれであらたな脅威となりうる。

いまのところ今回の事件にリバースブルートフォース攻撃が使われたという確証は出ておらず、
それが使われた可能性もある程度である。

続きはご購読ください。初月無料です

※『牛さん熊さんの本日の債券』は、毎営業日の朝と夕方に発行いたします。また、昼にコラムの配信も行ないます。興味を持たれた方はぜひこの機会に今月すべて無料のお試し購読をどうぞ。

【関連】日本のコロナ感染者数、年内に53万人超えの衝撃予測。全米疾病対策センター採用AIの警告=高島康司

【関連】日本人の8割が加入する生命保険はムダだらけ。対策すべきは不慮の事故より長生きリスク=俣野成敏

【関連】スマホで自宅から納税、2022年に実現へ。キャッシュレス化も加速か=久保田博幸

image by:マネーボイス編集部

牛さん熊さんの本日の債券』2020年9月10日号より
※記事タイトル・リード文・本文見出しはMONEY VOICE編集部による

初月無料お試し購読OK!有料メルマガ好評配信中

牛さん熊さんの本日の債券

[月額1,100円(税込) 毎週月・火・水・木・金曜日(祝祭日・年末年始を除く)]
金融サイトの草分け的な存在となっている「債券ディーリングルーム」の人気コンテンツ、「牛さん熊さんの本日の債券」がメルマガとなりました。毎営業日の朝と引け後に、当日の債券市場を中心とした金融市場の動きを会話形式にてお伝えします。さらっと読めて、しっかりわかるとの評判をいただいている「牛さん熊さんの本日の債券」をこの機会にぜひ御購読いただければと思います。

シェアランキング

編集部のオススメ記事

この記事が気に入ったら
いいね!しよう
MONEY VOICEの最新情報をお届けします。