日記/2020-09-22 のバックアップ差分(No.1)

お名前:


  • 追加された行はこの色です。
  • 削除された行はこの色です。
#author("2020-09-22T21:52:50+09:00","-","-")
**雑記:誰が金庫のカギを握っていたか。 [#k7b1f5db]


報道がだいぶ落ち着いたので。

この9月のトピックとして、「Docomo口座のメカニズムを使った、預金の不正引き出し」というのがあります。~
報道はいろいろあるのですが、全体的に「Docomoが悪い」論調が強く。~
なんとなく友瀬の感覚とは異なるので、それに関するメモ的な話。

もちろんDocomoと各金融機関との責任分担の契約次第ではあるのですが。~
本質的には「金を払った金融機関のほうが悪いんじゃないの?」というのが友瀬の感覚。

#region(→続きを読む。)



前提として、友瀬が知っている現状の攻撃方法を書きます。~
この前提においての主張なので、ここにずれがあった場合には悪しからず。
-Docomo側でやっていることは、以下。
--任意のEメールアドレスを使って、Docomo口座を開設。~
---このEメールアドレスはまさに任意:Docomo以外のものでもよい。
--このDocomo口座に、既存の(他の、例えば地方銀行やゆうちょなどの)預金口座番号を登録する。~
ここではその口座詳細についてはノーチェック。
---ここが報道でよく言われているところ。~
『その口座の持ち主でない人でも、指定できてしまう』のが問題だという指摘。
--上記口座に対する、その口座用の既存暗証番号(数字4桁)を登録する。
---これも今回の攻撃での特徴。暗証番号はわかっていなくてよい:てきとーに入れてしまう。~
極端な話をいうと「1/10000のまぐれ当たりでいい、1万の口座に1回ずつやれば、期待値的には1つくらいヒットする」という作戦。~
---実際には「1234」みたいな「やりがち」な暗証番号を試すだろう:1/10000よりもヒット率が上がる。
--上記で準備完了。~
以後、Docomo口座に対する「預金引き出し」を受けると、上記の登録済の「既存預金口座」にアクセスして引き出す。
-銀行側でやっていることは、以下。
--上記のDocomo口座からの「預金口座」「暗証番号」情報が妥当なら、引き落としを受け入れる(お金を振り込む)
---前述の通り、パスワードは「てきとー」なので、多くの場合この引き落としは発生しない。~
1/10000 に当たってしまった運の悪いアカウントが、被害を受ける。
---いわゆるブルートフォース:1つの口座に何回も挑戦するタイプとは違うことに注意。~
「同じ口座で何度も入力ミス」だと、銀行側も攻撃を疑うこともできる。~
しかし今回は「1つの口座には1回しか挑戦しない」ので、受ける側から見ると「入力ミス」と判断せざるを得ない側面がある。


多くの報道では、上記した前提のうち「Docomo側で、本人確認していない」ところを問題視しているように聞こえています。~
一理はあって:登録した個人に紐づくのは「メールアドレス」だけで、これはdocomo 以外でもよい。~
結果、「フリーアドレスを作って、無数のDocomo口座」を作れてしまう。~
この「数」があるからこそ、攻撃の際に必要な「暗証番号のまぐれ当たり」を乗り越えられるわけです。


というわけで、確かにDocomoには非もあるにはあるんですが。
友瀬的には、本質的な問題は「銀行側がDocomoからの要求をうのみにして、チェックが甘い」ことだと思うのです。~

現状、多くの銀行がいわゆる「インターネットバンキング」に対応しています。~
そしてその場合、いろんな防御手段が使われているはずです。~
例えばそもそも「利用者としてログイン」が大前提で、そのパスワードにはいわゆる「英数字と記号」のような複雑なものが求められる。~
さらに振込をしようとしたら、「乱数表」や「ワンタイムパスワード」が使われるのが当たり前。~

・・・これに比べたら、Docomo口座からのリクエストは、明らかに弱いですよね。~
たかだか「数字4桁==10000通り」のパスワードでしか、守られていない。~
だから「1万回まわせばパスワードもまぐれ当たりするだろう」が成立するんです。~
「銀行はなんで、こんな弱いリクエストに対して支払いを許可しちゃってるの?」という話です。

「複数のアクセス方法で強度に違いがある」というのは、「セキュリティ機能のバイパス」という典型的なダメパターンなんです。

Docomo側で審査しているから、という前提があったのかもしれません。
そのあたり、契約を読んだわけではないからわからないですが。~
でも、もしそうだったとしても銀行側に非があるんですよ。~
・お客様からお金を預かっているのは銀行側なんです。~

考えてみてください。~
「銀行Bの友瀬の通帳を持っている」からといって、その相手に対して「銀行Aの友瀬口座からお金を渡す」ことが許されるか、と。~

----
ちなみに・・・「銀行のキャッシュカードのパスワードが数字4桁」というのは事実ですが。~
この場合、これでも相応の強度があると考えられるんですね。~
4桁ですから、やっぱり1/10000の「運が悪かったアカウント」は攻撃突破されてしまう。~
なぜならば、「そのカード自体」を入手するのが難しいから。~
今回のDocomo口座を同じような攻撃をしようとしたら、「キャッシュカードを1万枚集める」ことから始めないとならない。~
----
ご意見などがあれば。
#comment2(below)

#endregion

お名前: