駒鳥です。
ドコモ口座が攻撃され、地銀を中心に不正な引き落としが相次いでいることが明らかになっています。
この事件はかなりの被害規模になりそうです。
しかし、これをきっかけに、IT業界のセキュリティに対する意識もさらに高まりそうです。
ドコモ口座の脆弱性、根本の問題
まず、今回のドコモ口座の不正引き出し事件、システムとしてどの部分が脆弱性で、根本の問題だったのか。
少しだけエンジニア視点で考えてみます。
ドコモ口座を経由して、主に地銀から不正な引き出しが行われていた事件。
いくつかの記事を読んでいるんだけど、システム的な本当の問題点がどこにあるのかちょっと見えてこない。ドコモ口座の不正引き出し、17行で連携中断 被害総額不明(朝日新聞デジタル)#Yahooニュースhttps://t.co/mBcc4fwA5w
— 駒鳥@リテラシーエンジニア (@5er1n) September 9, 2020
ニュースからだとなかなか読み取れません。
事前に口座番号と暗証番号が漏れている?
ドコモが発表したお知らせを読んでみましょう。
本件は、不正に取得された銀行口座番号やキャッシュカードの暗証番号等を悪用したものであり、当社システムに不正アクセスされ情報を取得されたものではございません。
今回の不正引き出し事件以前に、口座番号とキャッシュカードの暗証番号がすでに漏れていて、それが悪用された、というように読めます。
実際にそうなのだとしたら、ドコモ口座以前の大問題であるように感じます。
しかし、もともと口座番号とキャッシュカードの暗証番号の組み合わせが大量に漏れている、しかも複数の地銀で漏れている、という状況はちょっと考えづらいように思います。
(そうであってほしくないというのもあるけど。)
リバースブルートフォース攻撃が行われた?
実態は、以下の記事にあるようなものなのではないでしょうか。
ただ、今回の事例は暗証番号の不正取得ではなく、ひとつの固定した暗証番号(例えば「0000」など)をさまざまな口座でログインできないか試していくリバースブルートフォース攻撃が行われたのではないかとみられています。
リバースブルートフォース攻撃というのは、パスワードを固定し、対応するID、ここでは口座番号を、辞書ツールなどを利用して片っ端から当てはめていく攻撃のことです。
ドコモ口座の脆弱性とは
実際のところドコモ口座の脆弱性とは何だったのか。
ドコモ口座側は、口座と本人情報の連携の段階で、本人確認を厳格化する、と言っています。
つまり、リバースブルートフォース攻撃によって口座番号と暗証番号の組み合わせが判明した時点で、その操作を行ったユーザーが、口座の持ち主であると確定させる仕様であったこと自体が、ドコモ口座の脆弱性であったと言えそうです。
連携先の銀行によっては2段階認証を採用していたため、口座と暗証番号が特定できても、本人と認められなかったパターンもあるようですね。
9月10日、ドコモは記者会見を開き、謝罪しました。
キャッシュレス、電子マネーが増える中、不正取引も拡大している
ドコモ口座の件に限らず、キャッシュレス・電子マネー普及に流れに沿うように、システムの脆弱性を狙った攻撃が成功する例が増えています。
政府がキャッシュレス決済の普及を推し進める中、「身に覚えのない請求があった」「代行業者が返金対応しない」といったトラブルの相談は増え続けている。
消費者庁によると、スマホ決済や電子マネーに関する相談は昨年、過去最多の3491件に上った。
セキュリティエンジニアの価値はますます高まっている
キャッシュレスは、今後もどんどん加速していくでしょう。
それにあわせて、より堅牢なセキュリティ能力を持ったサービスを作ることの重要性が日々高まっています。
これはつまり、セキュリティ部門に対して専門性の高いエンジニアの市場価値も高まっている、今後更に高まっていくということだと思います。
今回のドコモ口座のような事件につながる危険性もあるため、責任も非常に大きくなっていますが、その分価値もある仕事となっていくでしょう。
また、専門のエンジニア、とまで行かずとも、エンジニアであればセキュリティに対する意識を高め、日々の業務で活かせるように基礎を勉強しておくとよいのかもしれませんね。
それでは。
