ドコモ口座の不正利用が話題ですが、ドコモ側からも銀行側からも個人情報の流出はないとの見解です。
では個人情報はどこから漏れ出たのか?
不正利用に必要な個人情報は①銀行名義②口座番号③暗証番号の3点が少なくとも必要です。
Twitterではリバースブルートフォース攻撃が有力との見解が上がっていたが、そもそもリバースブルートフォースって何?パスワードスプレーとの違いは?という方が多いと思いますので、詳しく解説していきたいと思います!。
リバースブルートフォースとはそもそも何?
リバースブルートフォースとは予めパスワードを簡単に推測される物を固定し、ユーザーIDを辞書ツールなどを用いてランダムにログインを試みるハッキング手法です。
ブルートフォースアタックという手法もあり、あまり聞きなれませんが名前の由来を理解するとすごく身近に感じます!
ブルートフォースアタックは日本語で(総当たり攻撃や強引な)という意味で解釈され、例えば、恋人の携帯電話の暗証番号を片っ端から入力した経験ってありませんでしょうか?
簡単に言うとこれがブルートフォースアタックですね、予めユーザーIDを固定しパスワードを片っ端から攻める!
しかし、何度かパスワードを間違えるとロックが掛かって操作不能になりますよね?
リバースブルートフォースアタックはリバース(反転)という意味でパスワードを固定しユーザーIDを片っ端から変えて不正ログインをする手法です。
これにより、ログインに失敗した場合であっても、一度のみログインに失敗しただけですので、不正ログイン監視システムにも感知されにくく今回のドコモ口座の不正利用にように被害が大きくなるまで気付かれなかったと思われます。
リバースブルートフォースへの対策方法は?
ドコモ口座側での対策は、普段と異なるIPアドレスからのブロックや携帯端末へのワンタイムパスコードなど考えられますが、私たち個人が出来る対策としては、ユーザーIDとパスワードをより複雑なものにするしか対策方法はなさそうです。
またはCAPTCHAの利用などもありますね、ログイン時に、横断歩道を選択してください、消火栓を選択してください、など出るアレです。
正直面倒くさいと思う事もありますが、こういった事件が起こると複雑なログインの重要性が再確認できますね。
リバースブルートフォースとパスワードスプレーの違いは?
ブルートフォース、リバースブルートフォース、両者は共に、ユーザーID、パスコードのどちらを固定しヒットするまで片っ端に繰り返されます。
一方パスワードスプレーは、IDを固定し、ロックが掛からぬように時間を掛けてパスワードを変更し攻撃する手法です。
どちらも非常に似ているので、混同されがちですが微妙に手法が違います。
とはいえ、どちらも私たちには対策の術は複雑なユーザーIDとパスワードの設定くらいしかなさそうですね。
ちなみに、今回騒動となっているドコモ口座の不正利用にはリバースブルートフォースによって攻撃されたのではないかと推測がたっているようです。
まさかですが、複数サイトで同一ID、パスワードなんてやっていませんよね??
心当たりのある方は今すぐに変更してください!
