ドコモ口座の不正出金とセキュリティ 9/9
こんばんは
多くの人に有益な情報を発信することを意識したいと思います。
今回はこの記事について取り上げさせていただきます。
増加する電子決済
近年、電子決済の利用が急増しています。新型コロナウイルスの普及により、接触を減らすことのできる電子決済はさらに注目されています。会計のお金のやり取りをノンストレスで行えます。
日本ではいまだに現金での取引が多いですが、中国の国においては電子決済やバーコード決済は当たり前に普及しています。新しい店の形態としてキャッシュレスオンリーは増えていくでしょう。
しかし、電子決済はセキュリティの心配があります。いきなり自分のお金の講座が使われているかもしれないと考えるのは恐怖です。現在、それに関連する問題が発生しているようです。
ドコモ口座の不正出金
記事の中では、ドコモ口座が不正出金されていたことに対し、なぜ地銀がねらわれてしまったのか、セキュリティにどういった問題があったのかが考察されえています。
被害にあった人はインターネット口座振替受付サービスを利用しており、ドコモ口座からの登録においてセキュリティに問題があったと述べられています。
記事を読んで
私が気になったのは、記事の中で紹介されている承認システムを突破する手法です。相手側の攻撃の手法を知ることができれば対策やセキュリティの硬化性を知ることができるでしょう。
私のイメージではハッカーみたいな人がシステム自体に侵入してお金を奪ってしまうものなのかと思っていましたが、記事で紹介されている手法はもっとシンプルでした。
ブルートフォース攻撃
リバースブルートフォース攻撃というものの前に、ブルートフォース攻撃というものがあります。これはいわゆる、当てずっぽうていうやつです。自転車のキーチェーンを当てるのと大差ありません。
多くの承認機能はユーザーIDとパスワードを入力するモノです。ブルートフォース攻撃はそのユーザーIDを固定し、パスワードを変えて入力します。4桁のパスワードだと、一万通り試せばあたってしまいます。
その他の攻撃
しかし、承認機能には当てずっぽうをふせぐため、数回間違えるとログインを拒絶するモノが多くあります。そのため、パスワードを固定しユーザーIDの方で当てずっぽうを行うのがリバースブルートフォース攻撃なのです。
パスワードスプレー攻撃は、上記のような攻撃を相手に察知されないように時間をかけて行うようです。そのほかにも流出したパスワードなどを用いたパスワードリスト攻撃などがあります。
セキュリティの穴を見抜く視点
ドコモ口座のセキュリティは部分的に見ればよく用いられているセキュリティだったようですが、それの組み合わせにおいて漏れが出てしまったという風に感じ取れます。
不正利用する側の視点を取り入れることによって、セキュリティの穴が見えてくることがあるのでしょう。電子決済全体のセキュリティのせいにする前にそれぞれのサービスのセキュリティを調べるのも重要かもしれません。