-
「ドコモ口座」で相次ぐ不正出金、なぜ地銀だけが狙われた? 専門家の見解は
2020年09月09日 07時00分 公開
[井上輝一,ITmedia]NTTドコモが提供する電子決済サービス「ドコモ口座」を利用して、銀行から不正に現金を引き出す被害が相次いでいる。七十七銀行(宮城県仙台市)は9月7日、同行の顧客に被害があったとしてドコモ口座への新規登録を当面停止すると発表。中国銀行(岡山県岡山市)、大垣共立銀行(岐阜県大垣市)、東邦銀行(福島県福島市)も8日、同様の理由で新規登録の停止を発表した。
地銀ばかりで被害 なぜ?
今回被害が発生しているのはいずれも地方銀行。NTTドコモはITmedia NEWSの取材に対し「被害のあった銀行はいずれも『Web口振受付サービス』を使ってドコモ口座と連携していた」と話す。
Web口振受付サービスは、地銀ネットワークサービス(東京都中央区)が提供する、収納企業(決済サービス提供社)と地方銀行の連携サービス。ユーザーは収納企業のWebサイトを通じて預金口座振替の新規登録などの手続きを行える。ユーザーが自身のドコモ口座へ銀行口座から入金するには、ドコモ口座のWebサイトから銀行口座を登録する必要がある。ドコモは「銀行のWebサイト側での作業ではあるが、いずれの銀行も登録には『口座番号』『名義』『4桁の暗証番号』の3点を利用していた」と明かす。
ドコモは、これらの情報が何らかの理由で第三者に漏れたことが不正利用の一因ではないかとしている。
一方、最初に不正利用の被害を発表した七十七銀行は「自社のシステムから顧客の口座番号やキャッシュカードの暗証番号などの情報が漏えいした事実はない」という。
不正利用の被害にあった人のネットへの書き込みなどから、ネット上では「リバースブルートフォース」や「パスワードスプレー」と呼ばれる攻撃があったのではないかという臆測が上がっている。「リバースブルートフォース」とは? 原因について専門家の意見は
Webセキュリティ専門家の徳丸浩さんは「リバースブルートフォースやパスワードスプレーが使われた可能性はある」としながらも、「ドコモ口座側の防御策に問題があった可能性もある」と話す。
「リバースブルートフォースはパスワード(ここでは4桁の暗証番号)を固定してID(ここでは口座番号)を総当たりする攻撃のことで、パスワードスプレーは数千~数万のIPアドレスを使っていろいろなIPアドレスから少しずつ攻撃し、攻撃を気付かれにくくする手法。これらが使われたかどうかは臆測でしかいえないが、いずれにせよ今回は暗証番号が4桁という部分が狙われたと考えられる。しかし、4桁の暗証番号を決済アプリとの連携に使っていても被害を受けていないケースもある」(徳丸さん)
「例えばゆうちょ銀行は、『LINE Pay』や『ゆうちょPay』などとの連携に4桁の暗証番号を使っている。しかしこれらで被害が発生していないのは、いずれもアプリがスマホ専用のものだからだと考えられる。『スマホを利用する』ということ自体が一種の認証であり、防御策になっている」
一方、ドコモ口座はPCからでも利用できる。ログインに2段階認証は必要なものの、口座開設時に携帯回線をひも付けていなければ登録メールアドレスにセキュリティコードが送られてくるため、攻撃者自身がドコモ口座を開いた場合はPCのみで操作が完結する。
徳丸さんは「こうした防御策の差で、今回は地方銀行とドコモ口座が狙われたのではないか」と分析している。
銀行が取るべき対策としては「アプリとの連携に4桁の暗証番号を使うのをやめ、ネットバンキングと同等のセキュリティ対策を取れるようにするべきだ」と話した。続きはソース
https://www.itmedia.co.jp/news/articles/2009/09/news048.html - 生年月日とか届出電話番号とか聞かれないんですか
- 銀行側があまりにも杜撰
- ドコモロ座
- 可能性って。攻撃されたのならログが残ってんだろ。
- >>5
Web口振受付サービスだな、ログが残ってるのは
Web口振受付サービス側からは何も発表がない - >>5
残ってないなんて言ってないだろ - >>5
IPアドレスをとっかえひっかえしてくるから、本人からのアクセスか攻撃によるアクセスか、ログから判別できないのかもね - >>5
個人情報保護法が厳し過ぎるので、ログに肝心の情報が残って無いと思われ - >>5
可能性があるからログを使うんだろ? - 大手はネットバンク作ってワンタイムパスワード設定してないと使えないんだろ
地銀は利便性重視でガバガバにしすぎ - >>6
イオン銀行はスマホアプリのワンタイムパスワードでやってるが
突破されてるやんけ - 総当たりって言えよ
- >>7
普通の総当たり攻撃とは違うし
暗証番号を固定してひたすら口座番号を試すという攻撃逆総当たり攻撃とか言っても通じないだろう
- >>11
何を固定するにしろ総当たりには違いはない - >>25
BLMに対してAll Lives Matterと叫んでボコられて、BLM否定してないのにと納得いかないひと? - >>42
アホな英語使うなって話だが - ドコモ口座がなくても被害に?
やべーじゃん
- ああ、リバースブルートフォース攻撃か。
俺だったらアンチ・リバースブルートフォース攻撃で撃退するけどダメなん? - 北朝鮮か中国の仕業だ連中ケツに火がついた状態だから
いままで温存しておいた犯罪手口をすべて使いきってくるぞ - 湘南地区の地銀なら1173の暗証番号で攻撃すればちょろい
- >>13
金入ってなさそう - またシナ人だろうな
- 赤の他人が本人騙って勝手に作れて
銀行口座からうつし放題ってwwwwwもはやテロ
仕様考えた馬鹿出てこい - 「リバースブルートフォース攻撃!!」
「リバースブルートフォース攻撃!!」 - 言うほどリバースか?
- これってクレジットカードと紐付けできないの?
ペイパルのコピーと思ってたけど違うのかな?
- まだ四桁とかw
- ただのスクリプトだろ
難しくいうな - 俺リバースブルートフォース耐性レベル5だから大丈夫だわ
- え?ネットでの送金するのに4桁だけてやれてるのか
都市銀だと金銭移動はカード型の暗証つかうよな - デビルリバース
- ゆうちょ銀行の紐つけやばくね?
ドコモ口座の名義、生年月日が表示されて、ゆうちょの口座番号と生年月日しか聞いてこないんだけど。暗証番号すら聞いてこない。
- >>26
資金移動するときに暗証番号必要なのでは? - デジタル庁なら防いでくれるよな
- そもそも暗証番号はどういう経緯で流出してるんだ?
ドコモロだけの問題じゃないよねこれ - >>29
例えば暗証番号を1234と固定して、銀行口座番号をとっかえひっかえして試していく。
なので口座番号と名前さえわかれば当たる可能性があるってこと。 - >>29
暗証番号から適当な口座にアタックするから、流出もクソも無いようだ - >>29
ブルートフォースって0000から9999まで連打するやつじゃなかった? - 被害が甚大なので税金投入します、こうなんだろうな
- >>30
個人に資金が戻ってくるなら税金投入でも文句ねえよ。 - 要するにローラー作戦でヒットした端から抜いてるって事か?
おいおい冗談じゃねーぞ - そもそも、無限にアカウントが増えてたらドコモも不正利用に気づくだろ
- これ、仕様検討段階で誰も本人認証の重要性指摘しなかったって事だよね?その時点で問題っすよドコモさん…
- ドコモロ最悪だな
- 被害にあったやつにはちゃんと賠償しろよ
- 本当にこれが可能だったんなら
被害規模はけっこう大きいのでは - これdocomoとか関係なくてそこの口座持ってるだけでやばいんだろ?
- 専門用語知ってる俺カッケーだろアピールはいいから、はやく他人様のカネを守れよ
- パスワード(ここでは4桁の暗証番号)を固定してID(ここでは口座番号)を総当たりする攻撃
これって口座番号と暗証番号が一致するまで再試行切り返すの?
ロック掛からんか?普通 - >>44
ロックはかからない
口座番号に対して3回間違うとロックされるだけだからね - >>44
口座番号大量に持ってれば一口座あたり一日一回程度のアクセスだから、制限に引っかからない。
IPアドレスもその都度変えるみたいだし。 - >>71
はいファクト実際に自分の口座で何回もやって
ロックされたって結果がネットに上がってたぞ - >>99
短時間で数回間違えたからだろ?
少しは考えろよ - >>44
口座番号基準ならロックもかけられるけど、不特定のipから複数の口座番号に別々に試されたらどうしようもない - >>44
ドコモ口座側がロック→大量のアカウントでやるだろうから新しいアカウントにするだけ
同一IPアドレスをロック→ボットネットとか使って分散させるだけ - 昔はトークンでワンタイムパス発行とかだったのにどんどん簡略化していったらこのザマに
- 普通に金融危機じゃんコレ
- >>1でもそれえらく古典的なやり方じゃん
普通パスワードの入力は三回までとかなってるだろ
三回とも間違えた時の再開には面倒な手順があったり
まあ4桁の数字じゃネットではないに等しいけどね - 被害原因はシステムと管理者だから全補填だよ
廃行出るな - >>51
あー貯金してるやつは問題ないわけか - ワンタイムパスワードを使わない銀行が悪い
- 4ケタの暗証番号なら総当りで1秒かからないからな
- >>53
インテル ペンティアムプロセッサの時代でな - >>73
mmx ペンティアム 200Mhzでもですか? - >>113
もちろん - 生年月日や電話番号要求されるならリバースブルートフォース攻撃される可能性は低い
Web口振受付サービスは口座登録に必要な項目が銀行によって違うので攻撃受けやすい銀行と受けにくい銀行があった - >>1
ビリーザブートキャンプがなんだって? - 暗証番号なんて誕生日にしてるやつが80%やろ
お前らも心当たり有るな? - いまどき4桁の暗証番号って残ってるの?
- ドコモはドコモ携帯からの登録のみにしてればIMEIで不正アクセスの検知と制限をかけれた。
銀行側もパソコンからの紐付け可能にするならワンタイムパスワード使わせれば防げた。
どっちもザル
- よくわからんのだけどドコモ口座っての持ってなければ危険ないんだよね?
- >>62
関係ないよ! - >>62
むしろ持ってて既に紐付けしてあったらセーフ - 文字認証&パスを入力するまでに1分待ち時間置くとか対策できるのにしないアホ
総当りまでの敷居をアホほど高くしないと
- パスワード固定の口座番号総当たり。
つまり一番多いパスワードで固定してんだろうな。
1234とか7777とか。 - とりあえず被害が確認されてる銀行は
ドコモ口座の取引履歴がある人に葉書なり書面送って確認しろよ
気がついていない人かなり居ると思うぞ - きちんと日本語で言えと。
おきて破りの 逆蛮力
- >>1
サービス始まった時点で欠陥システムについて言及しろよ専門家 - 株価は-1.2%で寄った
- 間違いなくRBFAだな
それにPSを絡めた巧妙な手口 - 戻ってきそうに無いな
ドコモは金融で儲けようとすんな
アホなんだから - 日本沈没ゲームが始まっている
防衛出来なきゃおしまいです - 量子コンピューターが普及するようになったら一瞬でパスワードなんか突破されるんだろうな
- 島国はツッコミ不在だからなあ
こういうガラパゴスシステムに穴があっても実際に被害が出るまで誰も気が付かなかい - もう自衛に自分から口座をドコモ口座に登録して防ぐしかないな
もしくは誰かF5でドコモのサーバーを機能停止にしてくれ
気持ち悪くて夜しか眠れん - >>83
夜ちゃんと寝ろよ - なんで攻撃だけ日本語やねん
- >>84
一応アタックともちゃんと呼ぶことはあるけど
日本のセキュリティ的にそういう攻撃だけ漢字になることも多い - わかりやすいパスワードがやられたんだ
定期で変更しろと言われてる - >>87
全く関係ないのでは。
IPアドレス変えながら総当りしてると記事に書いてあるような。 - >>87
一回りするのに数秒だから定期的に変更してもあまり意見なさそう - ドコモの株よりは資金を出された被害者に補填が先だよな。
- エターナルフォースブリザードよりも強いのか?
- ドコモ口座
ドコモロ座 - 容疑者は世界中か、どうすんだこれ
- 要するに分散総当たりだな
北とかなら余裕できる - いつまで数字だけの四桁暗証とかアホやってるの?ジャップ??
- 昨日の段階でねらーのほうが先に見抜いてたね
- いいからドコモ口座はさっさとサ終しろや
- >>101
日本人は、一度決まったことは貫くから
それ無理 - キャッシュカード作ってなくてもアウトって本当?
- >>103
口座引落をネットで登録するには口座によって要件違うな
まあ一つ言えばオンラインバンキングにログインが必要な銀行でも
これおきてるからどっかでパスとか必要な情報が
漏洩した可能性は非常に高い
給付金はまさか・・・と思うが疑いたくないけど調べたほうがいいな - >>1
お前らが昨日から言ってた手口じゃねえか。専門家ってこの分野でも誰でも思いつく当たり前の事しか言わないんだな。 - >>104
単語があると言うことは
よく知られた攻撃手法ということ - >>109
よく知られた攻撃に対策してないドコモと銀行何やってたんだうね? - dアカウントから口座登録する時に、銀行側のログイン画面が出る訳だよな??
銀行側としては、ログインのアラートに対して無頓着過ぎたってのもあるかもな。何れにせよ、
ドコモとしては単純接続をするだけに終始してるからと逃れるって姿勢は気に入らない。 - ATMは数回の暗証番号間違いでロックがかかってたはずだけど、ネットだとIPアドレス変えるとリセットされるのが問題では。
- >>110
一つの口座で何回もパスワード試したんじゃなくて
一つのパスワードで何個もの口座試してるからロックもクソもないって話なんじゃないの? - マイナポイント申請は安全?
- ドコモロ座さっさと止めないと
- 数字だけの暗証番号だけじゃなく漢字やひらがな混在のパスワードの2段階認証にすれば破ることほぼ不可能になるのに
- >>114
外人が困るんでねの - 俺ならリバースブルートフォースではなくポパイフォースと名付ける
- 4桁てザルすぎる
アホなのかドコモは - >>117
アホなのは地銀 - >>121
ドコモと地銀どちらもアホドコモ: 捨てアドで口座が作れる。
地銀: 4桁の暗証番号が判っただけで振替を認める。
- 日本では、一般事業会社の銀行業への参入を認めてるからね。
アメリカとか海外では、認めない国が多いんじゃね?日本は、規制緩和の議論ばかりだからな。
- ああリバースブルートフォースね
2年前に食べたけど結構美味しかったよ - ATM付近に盗撮カメラを仕掛けられて暗証番号などを盗まれた可能性はないのかな?
- >>122
被害範囲広すぎね? - 名義?
名義は、必要なしだったんじゃ - よし
オーロラプラズマ返しで反撃だ - あー逆からだからロックかからんのか
- こういう時こそアナログの書類と印鑑のセットのセキュリティの強さが光るな
- 定期にするか証券口座にぶちこむかしか予防策ないっぽい
- 銀行によってパスワード桁数違うの?
それなら銀行側の落ち度になるだろうけど - >>133
同じだよ。キャッシュカードの4桁の暗証番号 - バオー・リバース・ブルート・フォース・フェノメノン!
- 皇帝「無限のパワー(フォース)を食らえ!」
【ドコモ口座】専門家「リバースブルートフォース攻撃された可能性」 被害の銀行、登録に口座番号、名義、4桁暗証番号の3点利用
ニュー速+
コメント一覧