会見に立ったのはドコモのみで、七十七銀行や中国銀行など、ユーザーに不正出金の被害があった銀行の姿はなかった。
しかし、ネット上では今回の問題が話題になり始めた6日ごろから、銀行側のセキュリティの甘さも指摘されていた。例えば、「リバースブルートフォース」と呼ばれる一種の総当たり攻撃が可能だったのではないかという指摘だ。
被害が確認されている11行の一部では、口座の連携に必要な情報を「口座番号」「名義」「4桁の暗証番号」の3点としていた。このうち名義については、その口座番号に対して振込などを試せば取得できるため、実質的には口座番号と暗証番号の2点で連携できる状況だったとの指摘がある。
通常の総当たり攻撃は口座番号(ID)側を固定し、暗証番号(パスワード)を次々と変えて突破を試みる方法だが、この場合アカウントごとに試行回数に制限をかければ早々には突破されない。一方のリバースブルートフォース攻撃は、暗証番号を固定し、口座番号を次々と変えて突破を試みる方法だ。この場合はアカウントごとに試行回数に制限をかけても意味がない。パスワードが4桁の数字という比較的単純なものだからこそ成り立つ攻撃手法だ。
こうした攻撃が実際にあったのかという質問に対し、ドコモは「銀行側からそのような情報共有は受けていない」と回答。
他にも「被害のあった11行はドコモ口座との連携にCNS(地銀ネットワークサービス)のサービスを利用していたか」という質問も上がったが、「金融機関側の仕組みなので把握していない」(ドコモ)という。地銀ネットワークサービスは、収納企業(決済サービス事業社など)と地方銀行の連携に使う「Web口振受付サービス」を提供する企業だ。これがドコモ口座と銀行の連携に共通で使われていたことが、複数の銀行で被害が出た背景にあったのではないかという旨の質問と思われるが、銀行側が不在のためにこれも会見では明らかにされなかった。
確かに、複数の銀行での不正出金に共通してドコモ口座が使われたという点では、ドコモ口座の本人確認を緩いまま放置していたドコモの責任は大きい。しかし本来は、連携先のサービスのリスク分析をする義務が双方にあるのではないか。
ドコモは「お互いに改善の要望は出し、改善できるところは改善している」とするが、連携先の銀行のセキュリティチェックについて「明らかに問題があるということでなければ基本的に銀行側の仕様に基づく」と話す。逆に今回突かれたドコモ口座の本人確認の甘さについては「不正利用の被害が発生するまでは銀行側から指摘はなかった」とした。
Copyright © ITmedia, Inc. All Rights Reserved.
PICK UP!
- PR -