ブルートフォースアタック
先月、「パスワードクラック」について本コラムを執筆したが、まさにその危険性を示すかのような出来事が発生してしまいました。
NTTドコモが提供する「ドコモ口座」を不正利用し、地銀に口座を持つ人の預金が不正に引き出されるという事件が世間を騒がせています。ドコモのスマホを利用していない人も被害の対象となっており、その被害額は現時点(9/18)で全国の11の銀行で157件、合わせて2760万円になると発表されています。被害者の通帳には「ドコモコウザ」という摘要が印字されているそうです。怖いですね。
被害の経済的な規模だけを見ると少額なこともあって、被害者を全面的に保護し、全額を補償する方向で対応が進んでいますが、この事件は、セキュリティの塊のような金融機関を相手に仕組まれており、サイバー犯罪としてはきわめて大きな事件だと感じています。
今回の不正手口は、次のような手順で行われたものであると予想されています。
①他人名義でドコモ口座を「開設」
②その人の銀行口座からドコモ口座に「チャージ」
③物品購入の際に、ドコモ口座から「支払い」
④購入した物品を「換金」
この一連の不正の中には、いろいろな疑問点が存在しますが、今回は先月からの流れもあって①にスポットライトを当ててみたい。つまり「犯人はどうやって被害者の銀行口座情報を入手したのか?」ということです。
考えられる方法として、偽サイトを作って情報を盗む「フィッシング詐欺」や、過去のスキミング被害データベースをダークウェブサイトから入手したなどが想像されますが、やはり本命は、先月も取り上げた「ブルートフォースアタック」ではないでしょうか。
暗証番号を固定したブルートフォースアタックを行い、これに合致する口座番号を割り出すことは、とても容易です。ご存知の通り、銀行口座の暗証番号は4桁が一般的です。そして銀行口座番号は7桁。先月のコラムで触れた通り、この程度の解析作業であれば、数日あれば容易に言い当てることができるでしょう。
しかも、4桁パスワードは「1111」「2222」「3333」などのぞろ目や「1234」「9876」などの簡単なものを設定している人が、いまだに全体の2割程度いると言われています。言い換えれば、ブルートフォースアタックを行えば、2割程度の銀行口座番号と暗証番号の紐づけなど、それほど労することなく手に入ってしまうということ。あとは、暗証番号を特定できた口座番号に対して、別口座から振り込みを行えば口座名義を特定することは簡単だし、本人確認の甘いドコモ口座と紐付けてしまうことなど、あっという間でしょう。
今すぐにでも4桁、しかも数字のみなどという暗証番号は撤廃し、少なくとも口座の紐付けには二段階認証の採用を考えたほうが良いですね。今回の事件、フィンテックを推し進める金融機関の脇の甘さに警鐘を鳴らしたばかりか、国民一人一人が、自分の大事な資産を預ける先が、本当にこの銀行で良いのかを考える良い機会になったのではないでしょうか?対する銀行の担当者も、半沢直樹のように「バンカーの誇り」をもって対策して頂きたいと思います。
(田中記)
