ドコモ口座が全35行停止 新規登録、本人確認甘く【日本経済新聞】
<ドコモ口座不正送金続報 情報セキュリティ専門家のコメントに疑問>
情報セキュリティに詳しい専門家が「リバースブルートフォース攻撃」と呼ぶ手法が使われた可能性を指摘・・・確かにそういった手口もあります。
フルートフォース攻撃(アタック)は総攻撃。リバースブルートフォースアタックは逆方向の総攻撃。つまり、IDを固定して暗証番号を総攻撃するのが通常の総攻撃で、暗証番号は4桁なので総攻撃のパターンも簡単なのですが、多くの金融機関事業者は暗証番号を3回間違うとロックする対応を行っているため、この攻撃方法だとすぐにロックされてしまい、利用者本人にも攻撃を受けたことがバレてしまいます。そこで、逆に暗証番号を決めて、IDを総攻撃するのがリバースブルートアタックです。
しかし本件はそういうレベルではないでしょう。警察庁のホームページを見れば、キャッシュレス決済事業者以前に、銀行自身のオンラインバンキングで不正送金が多発していることが分かります。ワンタイムパスワードを使っても不正送金されてしまうのです。これは、IDとパスワードだけでできることではありません。口座名義人本院が精巧なフィッシングサイトを偽サイトと気づかず情報を入力してしまい、リアルタイムで犯人グループに口座アクセスに必要な情報を盗んでいると考えられます。
アナログでは、銀行口座から決済事業者など収納企業の代金を口座振替するためには、口座名義人が銀行印を押印した口座振替依頼書を収納企業経由で提出することで銀行が口座振替の設定をしますが、印影が少しでも合わないとか薄いと口座振替依頼書が返却されて再徴収となるほど厳格な運用をしています。ところがweb口座振替受付サービスでは銀行印の印影確認などはなく、銀行によっては口座番号、口座名義、暗証番号だけで口座振替設定が出来てしまうのです。これが抜本的な問題と考えられます。
なんとなく難しそうな専門的用語が出て来ると、それが本当に原因かどうかを確認する作業が、新しい言葉の意味を学んで説明する作業にすり替わり、それを読んだ読者がまた新しく得た知識をまことしやかに流布してしまい、気づくと問題の本質から大きく乖離している・・・ということがこと決済サービスでは多いように感じられます。加盟店手数料を下げれば普及するかのような報道もその1つ。インターチェンジフィという言葉を知ったコンサルタントや有識者といわれる方々が「欧州ではインターチェンジフィに上限が設定された」と間違った情報をまことしやかに伝えたり(上限が設定されたのはインターチェンジフィではなく、マルチラテラルインターチェンジフィ。国をまたぐ際の追加フィです。)、なぜキャッシュレスを導入しないのかとの小売店アンケートでは考えたこともない店がもっともらしい「手数料が高い」の選択肢に丸をつけただけで手数料を下げても取り扱わなかったり・・・真因を見極めないと効果のある対策には辿り着けません。