ドコモ口座による預金引き出しにはリバースブルートフォースが使われたのか
NTTドコモの電子マネー決済サービス「ドコモ口座」を利用した不正な預金引き出し被害が拡がっている。七十七銀行だけでなく、中国銀、大垣共立銀でも新規登録を中止した。また、これらを加えて14の銀行で口座の新規登録を停止したとドコモは発表した。
今回の不正な預金引き出しには「ドコモ口座」が絡んでいた。こちらは不正引き出し先となる。こちらのからくりには、銀行口座を登録することによって本人確認が済んでしまうことで、不正に入手した銀行口座の情報だけで本人になりすましやすい仕組みとなっていたようである。
そしてもうひとつ不可解な点があった。不正に入手した銀行口座とあるが、いったいどのようにして銀行の口座番号、名義、4ケタの暗証番号を不正に入手できたのか。
これについては「リバースブルートフォース攻撃」を使ったのではないかとの指摘があった。しかし、現実にそのようなことは可能なのか。
被害が出ている銀行は限られており、ドコモ口座との紐付けは可能ながらも出ていない銀行もあった。この違いは何か。ひとつには個人の認証度合いの違いがあったものとみられる。
そこであらためて「リバースブルートフォース」の可能性を考えてみた。リバースブルートフォースによる攻撃とされるものは、登録に必要なパスワードは変えずに固定し、口座番号などのIDを変えながらログインを繰り返す攻撃となる。
以前にオーストラリアでパスワードスプレー攻撃が大量発生したとの記事があった。このパスワードスプレー攻撃は、一般的に用いられることが多い安易なパスワードを使用しつつも、特定のIDに対する連続攻撃を避け、アカウントのロックを避けつつ、ログインを試行する攻撃手法とされ、リバースブルートフォース攻撃の別称である。
パスワードや暗証番号は複数回入力するとアカウントが凍結されるような仕組みとなっているが、IDの方は何度入力し直しても凍結されることはないケースがどうやら存在しているようである。しかし、これを行えば異常なログインと認識されるのではなかろうか。
もう一度、ドコモ口座と銀行口座の紐付けの方法を確認すると、このときに使われるのが、地銀ネットワークサービス株式会社の「Web口振受付サービス」であった。ただし、「Web口振受付サービス」はあくまでドコモ口座と銀行口座のつなぎの役割となり、ドコモ口座に銀行口座を登録する際には、それそれの銀行のサイトに繋がったかたちで行うようである。つまり、そこでの認証手続きはその銀行の仕様によるものとなる。
銀行口座でのネットでの利用時にはネットの登録番号などと暗証番号があれば、入ることは可能となるとみられる。この画面でどのようなセキュリティが働いているのかは各銀行によって異なると思われる。
IDを入力後にパスワードを間違えると数回で入力そのものができなくなる。しかし、リバースブルートフォース攻撃はパスワードを固定した上で、IDをプログラムを使ってログインを繰り返して探ることになる。果たしてこれは銀行サイトの上で可能なのか。サーバーアタックのような格好となるプログラム攻撃を感知して、警戒が発せられることはないのであろうか。
もしも今回、このリバースブルートフォース攻撃によって暗証番号が盗まれるという事態が発生していたのであれば、フィッシングメールなどによって盗まれずとも、知らないうちに暗証番号が抜き取られている可能性が出てしまう。これはこれであらたな脅威となりうる。
いまのところ今回の事件にリバースブルートフォース攻撃が使われたという確証は出ておらず、それが使われた可能性もあるのではという程度である。
10日にNHKは、金融機関などをかたる偽のウェブサイトにアクセスさせ、パスワードなどを盗み取るフィッシング詐欺で不正なサイトに誘導された人が、ことし上半期でおよそ297万人と、過去最大だったことが情報セキュリティ会社の調査で分かったと伝えていた。
今回の暗証番号の不正入手についても、警察などの捜査結果を待つ必要もあるが、フィッシング詐欺による可能性が高いのではなかろうか。