ドコモ謝罪会見が酷かった件について その2(2020/9/16 追記)

ドコモ謝罪会見が(技術的な見地からみて)酷かった件について
ドコモ謝罪 本人確認が不十分 - Yahoo!ニュース
【ドコモ口座 不正引き出し問題】NTTドコモ記者会見 生中継 - 2020/09/10(木) 16:30開始 - ニコニコ生放送

前回の記事で書き忘れたことを少し、

ドコモの謝罪会見で、複数アカウントを利用するのは NGなのではないですか?
という質問に対して、首脳陣が
「Google アカウントは複数アカウントを許可しているのでドコモがDアカウントの量産を許可するのは時代の流れ的に正義だ」
という趣旨の回答をしたことに、違和感を感じています。

そもそも、Googleアカウントは無尽蔵に作成することが許可されているわけではありません。
アカウントが無効です - Google アカウント ヘルプ

- Google のポリシーに違反する行為のために、複数のアカウントを作成または使用しないでください。
-(ボットと呼ばれる)プログラムを使用して、偽のアカウントを作成しないでください。

個人アカウントと仕事用アカウントなど、複数の Google アカウントを使用するユーザーは多くいます。こういった使用は問題ありません。

ツイッターなどでも、同じIPアドレスから大量にアカウント作成しようとしたらBANやブロックされるんですがそんな基本的なことも理解できていない可能性がありそうです。
アカウント作成の制限が緩かったのは、100歩譲って仕方なかったとしましょう。

ドコモ口座 1日に100の不正な口座開設される 不審アクセスも | IT・ネット | NHKニュース

ドコモ口座を通じて預金が引き出された問題。先月下旬以降、多い時には1日、およそ100の不正なドコモ口座が開設されていたことが関係者への取材で分かりました。同じIPアドレスから複数回、不審なアクセスがあったことも分かり、警察当局は今後、本格的に捜査を進めることにしています。

1日100の口座を開設…意外と少ないと思った人はいませんか?
よく考えてみてください。
今回の、総当たり攻撃は、暗証番号が例えば0321に固定にして、口座番号を次々と試す攻撃が行われているわけです。
つまり、成功確率は 平均 0.01% で、1万回の試行に対して、1つの口座を手に入れられる計算になるわけです。つまり、100の口座を開設するためには100万回の試行が行われたと考えられます。
1秒間に10回アクセスを試みる仕組みであれば1日86.4万回の試行が可能

10年前のオンラインゲームから実装されているような、同じIPアドレスからの総当たり攻撃をロックアウトするような基本的なセキュリティ実装がされていなかったどころか、同じIPアドレスから多い日には100万回近いアクセスがあったにもかかわらず、何も対策を講じていなかったわけです。

これは、正直言って無能ではなく、悪意を持って、セキュリティをスカスカに作ったんじゃないかと思えるレベル ・ω・

おまけ:
月当たり、30万円の引き落とし制限があるので、月末に口座の紐づけをして、月末に引き落とし、月頭に引き落としを行って、短期間で60万円落としたという話。頭いいな (((・ω・)))

※ 2020/9/11に書いた記事です

ドコモ口座 不正引き出し 10のIPアドレスから不審なアクセス | 電子決済 不正引き出し問題 | NHKニュース
※ 2020/9/16 追記
紐づけの際、暗証番号をほとんど間違えていなかったという事から、
先に、オンラインバンキングの残高照会サービス経由でリバースブルートフォースを行った可能性が高いのではないかと思っています ・ω・

10のIPアドレスで別口からリバースブルートフォースで一日100万回アクセスを行うと、100程度アカウントが取得できる仕組みですかね?

SMBCダイレクト
例えば…こんなの

おすすめ

7件のフィードバック

  1. ななし より:

    要は「外注なので詳細は不明」と言いたいんじゃ?(憶測ですが)
    間に合わせで作ったけど、テストもいい加減なまま、納期に合わせて造ったけど、たまたま問題が大きくなるまで誰も気づかなかった。
    そのうち直すつもりが、新型コロナやらのどさくさで、それどころじゃなくなとた・・・
    とかかな。

  2. ghost より:

    日本人のITリテラシーは全国民平均すると低すぎるからこういう問題が放置されているわけであって、起こるべくして起きた問題だと言える。
    被害額が1800万円程度で済んで良かったんじゃないのかな。
    IT担当大臣やその他の省庁大臣はその分野のマニア的専門家を起用して、衆参の任期や派閥などとは関係なくしっかり日本のために働ける日本人を選ぶべきだと思うね。

  3. ななし より:

    日本人のITリテラシーの低さ=マスコミから流される情報のレベルの低さ
    人間、自分の興味のある分野以外はテレビ新聞から流される受け身で得られる情報が基準になる。
    多少教育で底上げしようとしても常に進化や変化をし続ける技術に対し教育だけでなんとかできるわけもなく、大人になった後にも常に更新が必要なわけだけども
    それが出来るのはメディア。
    メディアがIT等興味の無い層にも分かるように話題にすることが大切だけど、日本はマスコミが医学や科学音痴だから。。
    今回の被害は、果たして発表された被害だけで収まるのか、隠れた被害はまだまだあるのでは、また既に漏れた口座と番号が悪用され他で使われてる可能性とかも

  4. (^-^) より:

    ブルートフォースではなかったようですけど?
    ドコモ口座 不正引き出し 10のIPアドレスから不審なアクセス
    https://www3.nhk.or.jp/news/html/20200916/k10012620061000.html
    >数分間隔でドコモ口座と銀行とをひもづける手続きが行われ、
    >その際に4けたの暗証番号をほとんど間違えていなかったことから、事前に番号を入手していた可能性が高いということです。

  5. Gar より:

    4桁総当たりだと完全ランダムなら1万分の1っぽいですが
    リバースブルートフォースだと数字の決め方も多人数に分散されるので
    366パターンしかない日付を使う人が相当数いるだろうことを考えると
    きっともう1桁くらいヌルい確率だと思います

  6. Gar より:

    4桁総当たりだと完全ランダムなら1万分の1っぽいですが
    リバースブルートフォースだと数字の決め方も多人数に分散されるので
    366パターンしかない日付を使う人が相当数いるだろうことを考えると
    きっともう1桁くらいヌルい確率だと思います

  7. スパイウェアは嫌い より:

    ドコモの今回の件は、大まかなニュースを流れる時にしか目にしなかったのですが【経緯も対策】も不透明で解りにくかった。
    コメントでも指摘があるように、メディア側の知識が浅く「明確な情報」が報道されていない。(あの報道では、無いに等しいのでは……)
    ワイドショーでは、どのような説明をしたか知りませんが、少なくとも家にいる家族は「あれは何?」って質問されたので似たり寄ったりだったのかも。

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です