ドコモ口座不正送金事件

1.jpg
地方銀行からドコモ口座へ不正に送金がされる事件が発覚した。
地銀側は情報の漏れは無いという。
では何故不正送金が可能になったのか。

情報が漏れていない以上は総当たりしか考えられない。
総当たりと言ったって暗証番号は4桁の数字なので簡単に突破出来る。
ただ口座名義や口座番号がマッチしていなければならないはずで、ここは敷居が高い。
全く何もない状態からのアタックは成功確率が低すぎ、何らかの情報漏洩があったのではないだろうか。

被害は地銀のみであり今のところ都市銀行には及んでいない。
地銀は地銀ネットワークサービスの提供する口座自動振替サービスを利用していた。

口座名義と口座番号は、暗証番号と違って公開されるものとは言えないまでも、秘匿性の高い情報とは言えない。
従って、何らかの方法で名義と口座番号を集めようと思えば不可能ではない。

ドコモ口座は匿名開設が可能であり、口座名義人の名前でそれを作れば良い。
口座名義と口座番号が既知だとすると、後は総当たりで暗証番号を突破していく。
4桁と言っても0000〜9999まで試す必要はないだろう。
同じ番号の羅列や連番を、セキュリティ上の問題としてダメだと言っている銀行もある。
そうなると、それらを除けば良いのでアタック回数は更に減る。

ここで暗証番号違いの場合のロックや通知が行われていれば、不正送金を防げた可能性もある。
複数回の連続間違いで利用者に通知が行くとか、インターネット上からのアクセスを一時的に禁止するとかだ。
都市銀行やネット銀行でもWeb上からの口座連携(振り替え設定)が可能だが、トークンやスマートフォン認証が必要となる銀行が多い。

何らかのプログラム(JavaScriptなども含む)の仕掛けられたサイトでは、それらがバックグラウンドで動作して、利用者の目に見えない事を行う。
以前に書いたが、楽天の決済ページが「改ざんされている可能性がある」と表示されたことがあった。
楽天に報告したが「ブラウザに表示されたのなら、ブラウザのメーカに問い合わせろ、ウチは関係ない」と回答が来た。
だがその後改善されたところを見ると、何らかの改ざんがあったのかも知れない。
こうした、利用者も開設者も気づかぬうちに情報が抜き取られる可能性もある。

ChromeがGoogleに何かを送出している話などもあった。
まさかブラウザに入力して文字列を持って行っているとも思えないが、そう言う事もあるわけだ。

にほんブログ村 その他趣味ブログ 電子工作へ
にほんブログ村

この記事へのコメント

  • ishii

    Googleはブラウザが記憶している資格情報をチェックしています。
    先週、Googleサイトにログインすると「あなたのパスワードが漏洩しています。パスワードを変更しなさい。」とメッセージが出ました。

    漏洩したと表示されたサイトは、某自動車メーカーのEPCのログイン画面です。
    localhost:9***
    User admin
    PW 12345

    これは漏洩というよりも公開に近い資格情報ですけど、漏洩なのでしょうね。
    2020年09月09日 14:25