前提として、友瀬が知っている現状の攻撃方法を書きます。
この前提においての主張なので、ここにずれがあった場合には悪しからず。
- Docomo側でやっていることは、以下。
- 任意のEメールアドレスを使って、Docomo口座を開設。
- このEメールアドレスはまさに任意:Docomo以外のものでもよい。
- このDocomo口座に、既存の(他の、例えば地方銀行やゆうちょなどの)預金口座番号を登録する。
ここではその口座詳細についてはノーチェック。
- ここが報道でよく言われているところ。
『その口座の持ち主でない人でも、指定できてしまう』のが問題だという指摘。
- 上記口座に対する、その口座用の既存暗証番号(数字4桁)を登録する。
- これも今回の攻撃での特徴。暗証番号はわかっていなくてよい:てきとーに入れてしまう。
極端な話をいうと「1/10000のまぐれ当たりでいい、1万の口座に1回ずつやれば、期待値的には1つくらいヒットする」という作戦。
- 実際には「1234」みたいな「やりがち」な暗証番号を試すだろう:1/10000よりもヒット率が上がる。
- 上記で準備完了。
以後、Docomo口座に対する「預金引き出し」を受けると、上記の登録済の「既存預金口座」にアクセスして引き出す。
- 銀行側でやっていることは、以下。
- 上記のDocomo口座からの「預金口座」「暗証番号」情報が妥当なら、引き落としを受け入れる(お金を振り込む)
- 前述の通り、パスワードは「てきとー」なので、多くの場合この引き落としは発生しない。
1/10000 に当たってしまった運の悪いアカウントが、被害を受ける。
- いわゆるブルートフォース:1つの口座に何回も挑戦するタイプとは違うことに注意。
「同じ口座で何度も入力ミス」だと、銀行側も攻撃を疑うこともできる。
しかし今回は「1つの口座には1回しか挑戦しない」ので、受ける側から見ると「入力ミス」と判断せざるを得ない側面がある。
多くの報道では、上記した前提のうち「Docomo側で、本人確認していない」ところを問題視しているように聞こえています。
一理はあって:登録した個人に紐づくのは「メールアドレス」だけで、これはdocomo 以外でもよい。
結果、「フリーアドレスを作って、無数のDocomo口座」を作れてしまう。
この「数」があるからこそ、攻撃の際に必要な「暗証番号のまぐれ当たり」を乗り越えられるわけです。
というわけで、確かにDocomoには非もあるにはあるんですが。
友瀬的には、本質的な問題は「銀行側がDocomoからの要求をうのみにして、チェックが甘い」ことだと思うのです。
現状、多くの銀行がいわゆる「インターネットバンキング」に対応しています。
そしてその場合、いろんな防御手段が使われているはずです。
例えばそもそも「利用者としてログイン」が大前提で、そのパスワードにはいわゆる「英数字と記号」のような複雑なものが求められる。
さらに振込をしようとしたら、「乱数表」や「ワンタイムパスワード」が使われるのが当たり前。
・・・これに比べたら、Docomo口座からのリクエストは、明らかに弱いですよね。
たかだか「数字4桁==10000通り」のパスワードでしか、守られていない。
だから「1万回まわせばパスワードもまぐれ当たりするだろう」が成立するんです。
「銀行はなんで、こんな弱いリクエストに対して支払いを許可しちゃってるの?」という話です。
「複数のアクセス方法で強度に違いがある」というのは、「セキュリティ機能のバイパス」という典型的なダメパターンなんです。
Docomo側で審査しているから、という前提があったのかもしれません。
そのあたり、契約を読んだわけではないからわからないですが。
でも、もしそうだったとしても銀行側に非があるんですよ。
・お客様からお金を預かっているのは銀行側なんです。
考えてみてください。
「銀行Bの友瀬の通帳を持っている」からといって、その相手に対して「銀行Aの友瀬口座からお金を渡す」ことが許されるか、と。
ちなみに・・・「銀行のキャッシュカードのパスワードが数字4桁」というのは事実ですが。
この場合、これでも相応の強度があると考えられるんですね。
4桁ですから、やっぱり1/10000の「運が悪かったアカウント」は攻撃突破されてしまう。
それでもこの方式がある程度頑丈といえるのは、「そのカード自体」を入手するのが難しいから。
今回のDocomo口座を同じような攻撃をしようとしたら、「キャッシュカードを1万枚集める」ことから始めないとならない。
ああ。そういう意味では、今回の攻撃は普通の人にとっては盲点かもしれませんね。
オレオレ詐欺などでもそうなんですが、近年のこの手の犯罪は「特定の誰か」を狙わず、「誰でもいいから1人くらいひっかからないかな」という考えで勝負しているんです。
だから、1回当たりの成功率が低くたってかまわない。
それを多数繰り返すことで、たまに当たればそれで充分、という考え方なんです。
ご意見などがあれば。
端的に言ってしまうと、原作ゲームのストーリーを知っているので。
『凛の大活躍シーンがある』ことを知っていて、それを見たかったからなんです(笑)
あ、ついでといえばついでかもしれませんが、ライダーの活躍シーンも楽しみでした。
ええ、StaynightやUBWでは不遇でしたからね、彼女。
映画自体はよかったんだけどなー。
残念ながら、パンフレットが売り切れてたんだよな〜。
ご意見などがあれば。