リバースブルートフォース攻撃の可能性を検討するべき理由についての整理

ドコモ口座への不正チャージに端を発する銀行口座からの不正チャージ事件（もはやドコモ口座事件と呼ぶべきではない）の被害が増大しています。

ゆうちょ銀行 不正引き出し 被害確認 計136件 2150万円に拡大 2020年9月17日 23時59分

この話で銀行口座の所有者本人であるかの認証が破られた原因はリバースブルートフォースの可能性があると言われていますが、その点について考えていきます。

フィッシング詐欺の可能性を主張するドコモ・銀行・警察

ドコモ口座パニック拡大、他人事ではない「本当に怖い落とし穴」

ドコモや銀行、警察の弁によれば、今回の件はフィッシング詐欺によって銀行の顧客が暗証番号などの情報を抜き取られ、それが利用された可能性があるという声が聞こえてきます。

確かに、フィッシング詐欺による漏洩の可能性はあります。フィッシング詐欺による被害は数万件～１０万件発生しているからです。

地銀偽サイト情報転用か、昨年末大量発覚　ドコモ口座被害　 2020.9.12 16:02
情報セキュリティー会社「トレンドマイクロ」（東京）の調査では、複数のセキュリティーチェックを突破する詐欺の手口も急増。そうした手口の地銀やネット銀行絡みのフィッシング詐欺サイトは、昨年１～９月に３件だったが、１０～１２月には２９件確認された。また、フィッシング対策協議会によると、被害者らからのフィッシング詐欺の報告件数は、昨年は１年間で５万５７８７件だったが、今年はすでに１０万４２３６件に達している（８月末現在）という。

しかし、それは要するに「ユーザー側が気を付けていれば大丈夫だったでしょ？」という責任転嫁の論理です。

他の可能性は完全に排除されているのでしょうか？

フィッシング詐欺の被害も「被害者らからの報告件数」に過ぎないのに、どうしてリバースブルートフォース攻撃などの他の可能性を現時点で排除しているのか不思議でなりません。

リバースブルートフォースが可能な状態を放置している銀行側の落ち度はないのか？

テレフォンバンキングからのリバースブルートフォースによる暗証番号漏えいについて三井住友銀行に聞いた 高木浩光＠自宅（テレワークを除く）の日記

暗証番号等を窃取されるルートは、何も今回の口座振替連携登録の場面に限らず、たとえば三井住友銀行などはテレホンバンキングにおいてリバースブルートフォース攻撃が可能な構造になってやしないか？ということが指摘され、上記記事によれば銀行側もその可能性を認識しています。

確かに、今回の件でリバースブルートフォース攻撃が使われたという確証はまったくありません。

しかし、それはフィッシング詐欺も同様のはずです。

いったいどうやってフィッシング詐欺が原因であると結論づけられるのでしょうか？

因果関係は措いておくべき

そうであれば、銀行側の落ち度である（口座振替の仕組み全体ではドコモもだが）リバースブルートフォースの可能性がある以上、今回の件との因果関係は措いておき、その穴は埋めておかないといけないというのは、金融業者のセキュリティとして当然ではないでしょうか？

特に今回の事件は、被害者が申告して事情を説明してもサービス側が実態把握出来ずにいたせいで被害が拡大した事案です。
（被害を申し出た者の氏名と銀行口座でドコモ口座との口座振替連携が登録されていたが、ドコモ口座の利用者本人であることの確認が取れないことから被害者に対して情報を伝えることができないなどと回答したということも）

こうした経緯からは、被害者側の落ち度が無い情報窃取の可能性を排除してはならないのが道理ではないでしょうか。

この点をどうにかしなければ、２要素認証を導入したとしても、それが銀行ユーザーの間に浸透するのは時間がかかりますから、その間に新たな被害が出てきてしまうのではないでしょうか？

以上