■ このスレッドは過去ログ倉庫に格納されています
【ドコモ口座】専門家「リバースブルートフォース攻撃された可能性」 被害の銀行、登録に口座番号、名義、4桁暗証番号の3点利用 [雷★]
- 1 :雷 ★:2020/09/09(水) 09:37:21.86 ID:ZUBSH9zV9.net
- 「ドコモ口座」で相次ぐ不正出金、なぜ地銀だけが狙われた? 専門家の見解は
2020年09月09日 07時00分 公開
[井上輝一,ITmedia]
NTTドコモが提供する電子決済サービス「ドコモ口座」を利用して、銀行から不正に現金を引き出す被害が相次いでいる。七十七銀行(宮城県仙台市)は9月7日、同行の顧客に被害があったとしてドコモ口座への新規登録を当面停止すると発表。中国銀行(岡山県岡山市)、大垣共立銀行(岐阜県大垣市)、東邦銀行(福島県福島市)も8日、同様の理由で新規登録の停止を発表した。
地銀ばかりで被害 なぜ?
今回被害が発生しているのはいずれも地方銀行。NTTドコモはITmedia NEWSの取材に対し「被害のあった銀行はいずれも『Web口振受付サービス』を使ってドコモ口座と連携していた」と話す。
Web口振受付サービスは、地銀ネットワークサービス(東京都中央区)が提供する、収納企業(決済サービス提供社)と地方銀行の連携サービス。ユーザーは収納企業のWebサイトを通じて預金口座振替の新規登録などの手続きを行える。
ユーザーが自身のドコモ口座へ銀行口座から入金するには、ドコモ口座のWebサイトから銀行口座を登録する必要がある。ドコモは「銀行のWebサイト側での作業ではあるが、いずれの銀行も登録には『口座番号』『名義』『4桁の暗証番号』の3点を利用していた」と明かす。
ドコモは、これらの情報が何らかの理由で第三者に漏れたことが不正利用の一因ではないかとしている。
一方、最初に不正利用の被害を発表した七十七銀行は「自社のシステムから顧客の口座番号やキャッシュカードの暗証番号などの情報が漏えいした事実はない」という。
不正利用の被害にあった人のネットへの書き込みなどから、ネット上では「リバースブルートフォース」や「パスワードスプレー」と呼ばれる攻撃があったのではないかという臆測が上がっている。
「リバースブルートフォース」とは? 原因について専門家の意見は
Webセキュリティ専門家の徳丸浩さんは「リバースブルートフォースやパスワードスプレーが使われた可能性はある」としながらも、「ドコモ口座側の防御策に問題があった可能性もある」と話す。
「リバースブルートフォースはパスワード(ここでは4桁の暗証番号)を固定してID(ここでは口座番号)を総当たりする攻撃のことで、パスワードスプレーは数千〜数万のIPアドレスを使っていろいろなIPアドレスから少しずつ攻撃し、攻撃を気付かれにくくする手法。これらが使われたかどうかは臆測でしかいえないが、いずれにせよ今回は暗証番号が4桁という部分が狙われたと考えられる。しかし、4桁の暗証番号を決済アプリとの連携に使っていても被害を受けていないケースもある」(徳丸さん)
「例えばゆうちょ銀行は、『LINE Pay』や『ゆうちょPay』などとの連携に4桁の暗証番号を使っている。しかしこれらで被害が発生していないのは、いずれもアプリがスマホ専用のものだからだと考えられる。『スマホを利用する』ということ自体が一種の認証であり、防御策になっている」
一方、ドコモ口座はPCからでも利用できる。ログインに2段階認証は必要なものの、口座開設時に携帯回線をひも付けていなければ登録メールアドレスにセキュリティコードが送られてくるため、攻撃者自身がドコモ口座を開いた場合はPCのみで操作が完結する。
徳丸さんは「こうした防御策の差で、今回は地方銀行とドコモ口座が狙われたのではないか」と分析している。
銀行が取るべき対策としては「アプリとの連携に4桁の暗証番号を使うのをやめ、ネットバンキングと同等のセキュリティ対策を取れるようにするべきだ」と話した。
続きはソース
https://www.itmedia.co.jp/news/articles/2009/09/news048.html
- 956 :不要不急の名無しさん:2020/09/09(水) 12:34:36.23 ID:4VE5MTOs0.net
- このドコモロ座から、不正に引き出された先は当然犯人の口座なんだろ?
すぐ犯人は特定されて逮捕できんの?
- 957 :不要不急の名無しさん:2020/09/09(水) 12:35:03.10 ID:dSS0gXz/0.net
- >>949
まぢかwww
- 958 :不要不急の名無しさん:2020/09/09(水) 12:35:30.26 ID:d8XPWvsX0.net
- >>956
ふりーアドレスから犯人辿れるならなw
日本にいなくて全部簡潔している
- 959 :不要不急の名無しさん:2020/09/09(水) 12:35:50.39 ID:lyUTVt9F0.net
- >>924
それやったら影響大きいから踏み切れないんだろうな。
例えば飲食店でドコモ口座から支払い(D払い)しようと思って、食べた後に使えない事が判った、現金や他のカードの持ち合わせもない。
困るぞ
- 960 :不要不急の名無しさん:2020/09/09(水) 12:36:06 ID:yJTwpxn60.net
- >>948
ドコモやめて楽天モバイルに乗り換えて
Dカードやめて楽天カードに乗り換えて
地銀やめて楽天銀行に乗り換えて
- 961 :不要不急の名無しさん:2020/09/09(水) 12:36:23 ID:1VGLsjOq0.net
- >>940
信頼のUFJもお漏らししてるからな。
>2015年11月30日、三菱東京UFJ銀行は、出会い系サイトの運営事業者の口座記録が不正アクセスを受け、振り込みを行ったサイト利用者の約14000件の振込情報の外部流出が発生したとの発表を行いました。
ほかのも
>なお、SaxoTrader PROやSaxoTraderGoなど、当社取引システムへのログインに必要なパスワードやお客様のお取引口座情報等は、親会社であるサクソバンクA/Sが管理するサーバーで保管されており、今回の不正アクセスによる情報流出はないことを確認しておりますので、お取引等への影響やその他情報流出はございません。また、弊社ではサイバー攻撃を検知した後直ちに調査を行い、前記サーバーへの外部からのアクセスを遮断するよう措置を講じております。
流出した可能性のある情報の内容
氏名、住所、生年月日、ご連絡先情報、銀行口座情報、本人確認書類等
こんなまとめも
https://cybersecurity-jp.com/leakage-of-personal-information
- 962 :不要不急の名無しさん:2020/09/09(水) 12:36:26 ID:2TELSJEL0.net
- ドコモ口座は正式名称だろうが、アプリ表示と同じd払い残高にしろ。
なんか銀行口座みたいじゃないか。
- 963 :不要不急の名無しさん:2020/09/09(水) 12:36:31 ID:byC4HIY00.net
- >>956
こういうレス見ると日本のセキュリティ意識の弱さがよく分かるわ
- 964 :不要不急の名無しさん:2020/09/09(水) 12:36:32 ID:juC9eUNV0.net
- >>956
送金先が海外の不正口座だったらどうもならんだろ
- 965 :不要不急の名無しさん:2020/09/09(水) 12:36:50 ID:k45QXIVx0.net
- >>956
捨て垢のメールアドレスで作られた口座でどうやって特定するんや
本人認証してないんやぞ
- 966 :不要不急の名無しさん:2020/09/09(水) 12:37:28 ID:byC4HIY00.net
- >>959
チャージしてる分返せって話にもなるしなw
- 967 :不要不急の名無しさん:2020/09/09(水) 12:37:32 ID:5duv+zZL0.net
- >>950
口座とdアカウントの名義が一致しないとだめなのでは?
だからまず口座の名義を入手しなければならない。
最近だと入手できるところが増えてきたが、それも検知される可能性がある。
頑張って名義を取得した上で、dアカウントをその名義で作ることになるね。
- 968 :不要不急の名無しさん:2020/09/09(水) 12:37:41 ID:KO8vvk6M0.net
- >>955
web口座するのに
収納機関コード、銀行コード、支店コード、口座番号、名義人名
は必須
- 969 :不要不急の名無しさん:2020/09/09(水) 12:38:29 ID:FmIbFLeO0.net
- >>956
ドコモ口座からアメリカやフィリピンに送金できるらしい。
- 970 :不要不急の名無しさん:2020/09/09(水) 12:39:32 ID:5duv+zZL0.net
- >>955
Web口振には名義は要らんだろうけど、ドコモは名義を見るのでは?
- 971 :不要不急の名無しさん:2020/09/09(水) 12:39:41 ID:ELbBbijq0.net
- >>969
なんか確信犯です
- 972 :不要不急の名無しさん:2020/09/09(水) 12:40:52 ID:v3GYlplu0.net
- 口座名義と1111はいいとして、名義なんてどうやって合致するんだ?流出してんじゃね?
- 973 :不要不急の名無しさん:2020/09/09(水) 12:41:17 ID:xMqcdXYr0.net
- >>967
口座番号と名義名くらいなら万単位で流出してるだろうし
それならそれを全部登録してそれぞれ1回だけ試行するリバースブルートはやっぱ可能だよね
1万件試せば1件当たるから
それぞれ地銀がバラバラならバレ難くてなお良し
てことで、>>1は可能性十分あると思うよやっぱり
- 974 :不要不急の名無しさん:2020/09/09(水) 12:41:26 ID:5duv+zZL0.net
- >>970
いや、ドコモから連携時にdアカウントの名義を送信する仕様なんかもしれないな。
知らんけど。
- 975 :不要不急の名無しさん:2020/09/09(水) 12:42:38 ID:1VGLsjOq0.net
- >>974
子供のDアカウントに親の口座紐付けるケースもあるだろうな。
- 976 :不要不急の名無しさん:2020/09/09(水) 12:42:54 ID:kwL3BrcC0.net
- 不正アクセスされたのならどこがお漏らししたかなんてすぐわかるだろうし未だにお漏らしかもよくわかってないから口座番号総当たりなんてのも言われるが
名義調べるときのネットからでのアクセスでも変な動きになるし発覚するよね?
- 977 :不要不急の名無しさん:2020/09/09(水) 12:43:06 ID:5duv+zZL0.net
- >>973
まあ、可能性があるかどうかという話なら可能性はあるだろうね。
明日人類が滅亡する可能性もありますし。
- 978 :不要不急の名無しさん:2020/09/09(水) 12:43:10 ID:NebKY8620.net
- これの監督官庁はどこになるんだろ?
金融庁?経産省?
- 979 :不要不急の名無しさん:2020/09/09(水) 12:43:34 ID:xMqcdXYr0.net
- >>977
頑固だねお互いw
- 980 :不要不急の名無しさん:2020/09/09(水) 12:43:40 ID:+wpWsASO0.net
- ライジングホース
- 981 :不要不急の名無しさん:2020/09/09(水) 12:44:09 ID:k45QXIVx0.net
- だから「フリメ由来のドコモ口座」を一時凍結して
チャージと海外送金を停止して
店舗で身分証明の提示と提携銀行の照会をした後出金にすれば
ほぼ問題は解決のはずなんやけどな
なんでやらの?
- 982 :不要不急の名無しさん:2020/09/09(水) 12:45:03 ID:pkTOQeed0.net
- 名前と暗証番号いるのに総当りとか無理だろ
- 983 :不要不急の名無しさん:2020/09/09(水) 12:45:49 ID:k45QXIVx0.net
- >>982
チミはここで何を読んだんや?
- 984 :不要不急の名無しさん:2020/09/09(水) 12:45:55 ID:5duv+zZL0.net
- >>979
だって蓋然性が低いものにこだわる意味がないから。
オッカムの剃刀の言葉の通り。
- 985 :不要不急の名無しさん:2020/09/09(水) 12:46:01 ID:gbOvW24Z0.net
- >>17
むしろアゲインストって感じだよな
- 986 :不要不急の名無しさん:2020/09/09(水) 12:47:02 ID:eL6FFMW60.net
- つまり、スマホができた当時はセキュリティが
むっちゃ甘くてPC手放せんわ、と思ってたけど
いまや、多数派のスマホの方がセキュリティがっちりしてて
PC、何その過去の遺物pgr、って状態になってる、ってこと??
- 987 :不要不急の名無しさん:2020/09/09(水) 12:47:15 ID:xMqcdXYr0.net
- >>984
ワイは素人だけど>>1はセキュリティの専門家の意見だからな
君がセキュリティの専門家なのかは知らんけど
>>1の専門家の可能性はあるって意見にああそうだなと同意しただけよ自分は
- 988 :不要不急の名無しさん:2020/09/09(水) 12:47:29 ID:v3GYlplu0.net
- やっぱ名前と口座番号の組合せが流出してるって事だよね。それが分かればあとは1234の人はお金引き出されちゃうと。
- 989 :不要不急の名無しさん:2020/09/09(水) 12:47:55 ID:1VGLsjOq0.net
- >>981
やったらアカウントの大半凍結になるからじゃね?
- 990 :不要不急の名無しさん:2020/09/09(水) 12:48:42 ID:bVRknd1f0.net
- そもそも4桁のパスワードなんてこんなもんセキュリティの意味ねーじゃん
- 991 :不要不急の名無しさん:2020/09/09(水) 12:48:48 ID:1VGLsjOq0.net
- >>988
それは公開情報。あなたも振り込み画面で誰かの名義を確認できる。
- 992 :不要不急の名無しさん:2020/09/09(水) 12:49:05 ID:ujJ/yhsH0.net
- 厄介やなあ〜
- 993 :不要不急の名無しさん:2020/09/09(水) 12:49:19 ID:DcYhF3L30.net
- あちこちで個人情報のお漏らしをしているから
名前と地域で地銀を当たったのかね?
- 994 :不要不急の名無しさん:2020/09/09(水) 12:50:07.92 ID:QZNQrUD70.net
- もしも犯人がここ見てて
デスノート方式でそれぞれの板でこれ俺の暗証番号www
って言いながら適当な暗証番号書いといて
その番号のアタックが増えればどこの板に犯人がいるかわかる
って手法も使えんかね?
- 995 :不要不急の名無しさん:2020/09/09(水) 12:50:32.15 ID:v3GYlplu0.net
- >>991
なるほどね。じゃあドコモの全面敗訴だねコレ。
- 996 :不要不急の名無しさん:2020/09/09(水) 12:50:39.66 ID:5duv+zZL0.net
- >>987
自分もセキュリティは資格もあるし専門職だよ。セキュリティだけではないけど。
そりゃ徳丸さんの言う通り可能性はあるだろうね。それには同意するよ。
- 997 :不要不急の名無しさん:2020/09/09(水) 12:51:24.80 ID:1VGLsjOq0.net
- >>995
ところが、ドコモは悪くない(規約上)
- 998 :不要不急の名無しさん:2020/09/09(水) 12:51:40.76 ID:9OmIp77T0.net
- つよそう
- 999 :不要不急の名無しさん:2020/09/09(水) 12:51:43.66 ID:/orDuIM/0.net
- 暗証番号以外はそこら中で手に入る
振り込みとかで普通に記入するんだから
- 1000 :不要不急の名無しさん:2020/09/09(水) 12:51:52 ID:2XCfbGeq0.net
- >>978
最近やたらとデジタル化をアピールしている菅の案件でしょ
NTTの幹部は官僚出の天下りがほとんどだから完全に政府の利権絡み
安倍政権は以前、国民年金の管理をなぜか中国の会社に委託して多くの個人情報が漏洩したのも記憶に新しい
サイバーセキュリティ担当大臣の桜田もPC触ったことない人だったし、日本はセキュリティに関しては特に信用が無い
政府は利権のためにそう遠くない先でマイナンバーと結びつけるのが目的 (全口座+ドコモ)
デジタル化の下地が出来てないのにすっ飛ばして先走ろうとするからややこしいことになる
信用金庫かタンス預金が一番安心とか
オレオレ詐欺グループ「いい時代になったわ」
- 1001 :不要不急の名無しさん:2020/09/09(水) 12:53:42 ID:5duv+zZL0.net
- セキュリティ専門家で言えば高木さんも、リバースブルートフォースに言及してたかな?
- 1002 :2ch.net投稿限界:Over 1000 Thread
- 2ch.netからのレス数が1000に到達しました。
総レス数 1002
241 KB
掲示板に戻る
全部
前100
次100
最新50
read.cgi ver.24052200