ドコモ口座による預金引き出しにはリバースブルートフォースが使われたのか（久保田博幸） - エキスパート - Yahoo!ニュース

NTTドコモの電子マネー決済サービス「ドコモ口座」を利用した不正な預金引き出し被害が拡がっている。七十七銀行だけでなく、中国銀、大垣共立銀でも新規登録を中止した。また、これらを加えて14の銀行で口座の新規登録を停止したとドコモは発表した。 今回の不正な預金引き出しには「ドコモ口座」が絡んでいた。こちらは不正引き出し先となる。こちらのからくりには、銀行口座を登録することによって本人確認が済んでしまうことで、不正に入手した銀行口座の情報だけで本人になりすましやすい仕組みとなっていたようである。 そしてもうひとつ不可解な点があった。不正に入手した銀行口座とあるが、いったいどのようにして銀行の口座番号、名義、4ケタの暗証番号を不正に入手できたのか。 これについては「リバースブルートフォース攻撃」を使ったのではないかとの指摘があった。しかし、現実にそのようなことは可能なのか。 被害が出ている銀行は限

[megazalrock]

広告記事に「広告」ってつけろって話があったけど、こういう検証してない想像だけの話には「想像」ってつけといて欲しい。

[hobbiel55]

この人、ITは素人なのかな? 入力された暗証番号をそのままログ等に残すことは基本的にしないので、特定の暗証番号が様々なIDで試されていることを検知するのは難しいのです。

[satoshi_cs12]

金融アナリストが情報セキュリティを想像で語るな

[luege_traum]

少なくとも今回の七十七銀行のネットバンクではワンタイムパスワードが必要だから、暗証番号だけじゃ無理なんだが？ドコモ口座のようなWeb口振経由のバックドアが必要。そしてWeb口振に異変検知があるとも思えない。雑

[triggerhappysundaymorning]

この記事は「リバースブルートフォース使った」って仮説の独り歩きに水を差してる記事だから意味有と思.カードと対で使うべき暗証番号をweb決済のパスワードとして使わせてるのが酷い.PINをwebに保存してる様なもんよね.

[addwisteria]

逆総当たり法かどうかは確認できてない(というか地銀CNS,各銀行サイトに遷移してからなのでドコモからは検知不可)けど、フィッシングであれば利用者の過失が生じてきてしまうので、より発言に留意すべきなんだが……。

[paradisemaker]

記事に中身無さすぎて笑ったw

[atauky]

"いまのところ今回の事件にリバースブルートフォース攻撃が使われたという確証は出ておらず、それが使われた可能性もあるのではという程度"

[doko]

他に被害を再現できる手法がないのであればそうなんだろうし、そうであることを否定することに何の価値があるのかよくわからん

[mkusunok]

CNSのログを調べれば一発で分かることだが、フィッシング詐欺なり、公開情報や収納企業からのデータ漏洩の可能性もある。リバースブルートフォースの可能性はそれほど高くないにしても、フィッシング詐欺とは限らず

[NOV1975]

金融アナリストという肩書で無理に書く記事じゃない。犯人は男性の可能性が高い、程度の記事。

[estragon]

内容がなさすぎるのもアレだけど、怯えるのは結論として「フィッシング詐欺による可能性が高いのではなかろうか」って書いてるところ。憶測書いてて何で最後に結論じみたこと書いちゃうの。せめてオチなしにしとけよ

[furseal]

よくこの中中身で書こうと思ったな。

[chankin]

レトロゲームがらみでいい加減なことを書く人もそうだけど、Yahooニュースの個人記事のライターはちゃんと審査してほしい

[tattyu]

理解が浅くて草。連携に4桁の暗証番号のみの銀行が狙われた、d口座はメアドがあれば簡単に作れた（他のpayサービスは簡単には作れない）の2点からほぼパスワードスプレーだろう。他にあるなら教えて欲しい。

[ichiken7]

なんにもわかってないやないか！

[UhoNiceGuy]

インターネットと従来の銀行行ってのATM操作の危険性の違いわかってない人多すぎだね。ブルフォーがリバースブルートフォースになると何が恐ろしくなるかわかってない記事

[toshiyam]

文章構成力なさすぎ

[momizikeiko]

全部想像だけで語らず、複数の想定を持って検証した後に記事にして？

[saiyu99sp]

知らない言葉を使って無価値な記事書くなよ。無知なのバレバレだぞ。

[houyhnhm]

雑。ドコモ側はネット口振受付GWサービスを利用しているはずで、そちらはNTTデータの収納機関向けサービスになり、そっち側でWebの入り口を構築していると思われ。Web口振受付サービスの絵にも補足で書かれている。

[mohno]

今のところ「リバースブルートフォース攻撃」と確かめられたわけではない、はずだけれど、それこそフィッシングとは思いにくい。数が多い。

[ponpon_qonqon]

間違い記事。フィッシングで暗証番号等情報を取得した口座を対象に攻撃したのなら地銀に被害が偏っていることの統計的説明がつかない。地銀の多くはNTTデータ請負でシステムが似通うため今回の手法が通用した @ushikuma

[Lat]

七十七銀行のワンタイムパスワードはこれからやるなので、やられたのは銀行側かな？一般的なアカウントに対してパスワードの試行は、昔みたいにわかりやすく一斉に来ないよ。

[iinalabkojocho]

読む意味はない。 そして、金融系の人なのにこの口座振替のリスクについて検証していない。 被害者がフィッシングにあったかも？って書いてあること。そりゃあんた金融機関に忖度しすぎ。わざわざ地銀を狙うか？

[kazuya53]

考えてみたけどよくわかりませんでしたなんて頭の悪い記事をよく発表できるなぁ。そもそも同一IPから短時間に連続試行する前提とかありえんし。専門外なんだから余計な事書かなくていいよ。

[misomico]

時間かけて口座リストが作られてるとしたら、ドコモ口座以外でも使用される可能性あるな

[spark7]

どの程度でロックがかかるか実験してみればいいのに。ポリスメン来ちゃうかもだけど。

[NetPenguin]

何を言っているのかよく分からない……🤔 "IDの方は何度入力し直しても凍結されることはないケースがどうやら存在しているようである。しかし、これを行えば異常なログインと認識されるのではなかろうか"

[kuzumimizuku]

ドコモ口座の場合は不明だけど、他の某決済系で試したところ、被害が確認された銀行は多分全部暗証番号だけでいける(生年月日が必要と報道されているゆうちょも不要。地銀系は一部のみ確認)ので可能性は高いと思う。

[osakan]

このコメント欄で書けそうな内容をよくぞここまで。

[nobu1989]

使われたかも重要だがとりあえず、「使えるのか？」が知りたいところ。【ドコモの件に対してリバースブルートフォース攻撃は機能するのか】。リバースブルートフォース攻撃も使えたらダブルでダメじゃんっていう