投稿

9月, 2020の投稿を表示しています

ドコモ口座や銀行口座で何が起こっているのか#3

前回のあらすじ 銀行口座でもドコモ口座との結びつけのときには本人確認はされず、二段階認証がなかった。 また、リバースブルートフォースアタックの疑いもいまだ問題提起されている状態だった。 銀行のシステム利用に関するセキュリティ認識について疑いがあることを述べた。 しかし最後に、利用者側の問題に触れなければならない。 自分や家族の身を守るのは、自身であることを改めて考えたい。 利用者に否があるのかないのか 重要なことは 否はない 。サービスを使う以上、企業側にセキュリティを確保する責任はあるし、今回の事件に関してはドコモ側に否があるのは明らかだった。 ただ、否がないからといって100%被害に遭わないというわけでもない。利用者側の弱点を考える必要がある。 弱い暗証番号は絶対に設定しないこと 4桁の番号、たった1万通りの組合せといえども使われやすい、使われにくい4桁がある。使われやすいほど不正利用に狙われやすいので、そこは避けること。 日付を四桁にした0101~1231の366通り 0000,1111...9999などのゾロ目 1234,2345...などの連番 なんと研究された方がいるので、参考にされたい。この研究元は、RockYouという2009年に大量流出したパスワードをもとにされており、皮肉にも信憑性は高いと言える(語呂合わせなどは欧米的な傾向があると思われるが、それ以外は普遍性があるだろうと推測できる)。 【ドコモ口座】4ケタパスワードの分布と傾向 - Togetter 二要素認証が可能なら必ず利用すること 二要素認証は、2つ以上の要素をもとに認証をする、ということだ。代表的な要素は以下のとおり。 知的要素 所有要素 生体要素 多要素認証とは?二要素認証・二段階認証との違いを解説 | お役立ちブログ | 情報セキュリティ対策に関するお役立ち情報 | 企業の情報セキュリティ対策・ITシステム運用のJBS JBサービス株式会社 JBサービス株式会社 パスワードや暗証番号が知的要素である。それに対し、銀行でよく使われている要素はスマホや乱数表、ワンタイムパスワードトークンなどを利用した所有要素の認証になる。 所有者は基本的に1人なので、その2つが組み合わさればまず本人と確認できる、ということである。 ただし、どれに
コメントを投稿
続きを読む

ドコモ口座や銀行口座で何が起こっているのか#2

前回のあらすじ ドコモ口座では開設時に本人確認をされていなかった。 流動性を扱う資金決済業者が行うには、浅はかな認識であったと言えよう。見事に不正利用者へのバックドアをどうぞと開けてしまったものだ。 だが、真の問題は、そこだけではない。ドアを開けた先にもう1つ今までは問題にならなかった古びた扉があったのだ。 銀行システムという老朽化した小屋がそこにあった。 銀行システムとは 銀行システムとは、なんだろう? 銀行システムは、銀行口座を開いた人の口座が記録されているシステムがある。俗に勘定系システムというシステムである。 そこに、その銀行のすべての口座の記録、そして、振込や引き出しが行われるとそこに書き込みが行われる。 あなたの給料は、ほとんどの場合銀行振込で行われている。それも勘定系システムに書き込まれる。しかし、それだけではない。あなたがATMで振込をするときに、振込先を指定して振込分の金額を入れるだろう。そうして、相手先に振り込まれるのだ。 では、ドコモ口座の場合、銀行口座と連携してあなたは銀行口座の振替のときにいちいち銀行口座を指定するのだろうか? 答えは否である。ドコモ口座と銀行口座を最初の一度結びつけて、あとはドコモに任せる、という手続きがなされる。 このときに使われるシステムが、銀行によって名称が違うが、「口座振替受付サービス」である。 口座振替受付サービスの利便性とリスク、そして脆弱性 口座振替受付サービスの利便性は、利用者が毎回振替するときに振替口座を指定する必要がないことだ。一度登録すれば企業と銀行がしてくれる。そういう仕組だ。 裏を返すと、一度登録さえできてしまえば、ばれない限りいくらでも振替できる、というリスクを持っている。これはこのサービスの利益を享受する以上は絶対に発生する利用者も銀行も企業も許容すべきリスクだ。 それだけに、強いセキュリティが求められる…はずだった。 この「口座振替登録時に脆弱性がある」と言われている。 リバースブルートフォースアタック リバースブルートフォースアタックの疑いが騒がれている。先立って言及しなければならないのは、そういった事実をどの銀行も公表しているわけではないことだ。つまり、現在のところ「ただの推測」の域を出ない。 リバースブルートフォースアタックとはなにか。その前に「
コメントを投稿
続きを読む

ドコモ口座や銀行口座で何が起こっているのか#1

イメージ
「不正利用をした犯人が悪いんです」 責任の分析にそんな綺麗事は聞きたくねえ! ということで、 システムで利益を得ている企業や銀行がセキュリティの問題をほっぽらかしってどうなの? という視点で考えたい。 散々、色々なニュースが出ており、何がどうなっているのか分からない状態なので、整理しよう。 ステークホルダー#1~#3の整理 今回の事件の登場人物を考える。なお、犯人は一人とは限らない。というか、全く関係ないいろいろな人間が試みていると考えた方が自然だろう。 2)ドコモ口座を 開設 2)ドコモ口座を 開設 3a)ドコモ口座と 銀行口座を連携する 3a)ドコモ口座と... 不正利用者 不正利用者 もともと 開設済 もともと 開設済 利用者 利用者 1)口座情報を 不正に入手 1)口座情報を 不正に入手 4a)ドコモ口座にチャージする 4a)ドコモ口座にチャージする 利用者の 銀行口座 利用者の 銀行口座 5)d払いで換金性の 高い商品を購入 5)d払いで換金性の... 3b)連携のとき、 Web口振サービスで認証する 3b)連携のとき、... 不正利用者の ドコモ口座 (メールアドレスのみで開設) 不正利用者のドコモ口座(メールアドレスのみで開設)... ドコモ(企業)の 銀行口座 ドコモ(企業)の 銀行口座 銀行 銀行 « システム » Web口座振替サービス «システム»... 4b)ドコモ口座 に実質的に振替 4b)ドコモ口座... 6)商品を換金する などして現金化 6)商品を換金する... 1.ドコモの脆弱性 1.ドコモの脆弱性 2.銀行の脆弱性 2.銀行の脆弱性 3.利用者の脆弱性 3.利用者の脆弱性 Viewer does not support full SVG 1.1 企業 NTTdocomo(以下ドコモ) ドコモ口座を運営している。 銀行 ドコモ口座対応銀行35行(以下、銀行) 被害者のように思われるが、今回使われたと思われる手口は彼らのシステムに対する脆弱性が大きい。 気に留めておきたいのはセキュリティ上今回の手口の対象とならないようなセキュリティ対策に問題ない銀行もある。 つまり 銀行次第 なのである。 利用者(および被害者になり得る対象) ドコモ口座対応銀行35行を利用する 全口座 の利用者
コメントを投稿
続きを読む