テレフォンバンキングがリバースブルートフォース攻撃される可能性について 27
ストーリー by nagazou
むずかしい 部門より
むずかしい 部門より
複数の銀行やサービスで発生している不正引き出し事件だが、セキュリティ研究家の高木浩光氏は、インターネットバンキングの普及でだいぶ影の薄くなっているテレフォンバンキングでも、先の不正引き出し事件同様にリバースブルートフォース攻撃によるハッキングの危険性があると指摘している(高木浩光@自宅(テレワークを除く)の日記)。
同氏はこの問題を指摘するために、三井住友銀行のコールセンターに電話したという。その流れ自体は複雑な上にとても長いので割愛するが、途中で上席担当が出てきた上で、危険性があること自体は認める流れるとなっている。
編集子が個人的に興味深かったのは、三井住友銀行の場合は、インターネットバンキングは継続し、テレフォンバンキングだけを止めるといったこともできるということ。キャッシュカードがICカードに切り替わってる場合は、磁気ストライプ型のキャッシュカードを偽造されても引き出せない基本設定になっていることなどだった。ほかの銀行でもそういうものなのだろうか。
なお高木氏は自衛策として、自分の暗証番号を複数回間違えて口座をロックしてしまう方法をおすすめしている。ネットバンキングやテレフォンバンキングがロックされていても、ATMからの引き出しはできるから問題ないそうだ。
同氏はこの問題を指摘するために、三井住友銀行のコールセンターに電話したという。その流れ自体は複雑な上にとても長いので割愛するが、途中で上席担当が出てきた上で、危険性があること自体は認める流れるとなっている。
編集子が個人的に興味深かったのは、三井住友銀行の場合は、インターネットバンキングは継続し、テレフォンバンキングだけを止めるといったこともできるということ。キャッシュカードがICカードに切り替わってる場合は、磁気ストライプ型のキャッシュカードを偽造されても引き出せない基本設定になっていることなどだった。ほかの銀行でもそういうものなのだろうか。
なお高木氏は自衛策として、自分の暗証番号を複数回間違えて口座をロックしてしまう方法をおすすめしている。ネットバンキングやテレフォンバンキングがロックされていても、ATMからの引き出しはできるから問題ないそうだ。
ざっと要点(みんなソース嫁) (スコア:2, 興味深い)
・テレフォンバンキングはキャッシュカードの暗証番号で残高照会可能(振込は不可)
・テレフォンバンキングは暗証番号間違いでロックが掛かる、が、リバースブルートフォース攻撃可能
・テレフォンバンキングはオプトアウトになっていない
・テレフォンバンキングの利用停止はSMBCダイレクトを開始していないとできない
・口座番号と暗証番号が割れれば磁気ストライプ型の偽造キャッシュカードが作れる
・口座番号と暗証番号が割れてもICチップ型の偽造キャッシュカードは作れない
・キャッシュカードをICカードのみの設定にすれば磁気カードは使用不可
・SMBCダイレクトの初期パスワードはキャッシュカードと共通
・SMBCダイレクトのログインパスワードはキャッシュカードと別のパスワードに設定可能
・SMBCの担当はオプトアウトとオプトインを知らない
>とどたん氏のこの調査によれば、テレフォンバンキングをここ数年で終了した銀行も結構あるようだ。「申込制」のところもあるようで、最初からそうだったのかも気になる。なぜそうなったのだろうか。公表されていない事件が起きているのではないのか。
#強調は筆者による
Re: (スコア:0)
まぁそういううがった見方も可能だろうが、単純に使われてない割にコストがかかってたって話なのかもしれん
やめちゃうのが一番安上がりで最強のセキュリティ対策
暗証番号 (スコア:1)
暗証番号はキャッシュカードという物理媒体とセットで使うべきものであって、それ以外では使ってはいけないと思うんだよな。
落としたキャッシュカードを拾った第三者に使われる事をガードする意味以上の機能を暗証番号に持たせてはいけない。
Re: (スコア:0)
キャッシュカードという所持認証と、暗証番号という知識認証。
もともと銀行は2要素認証だったんだよね。
Re:暗証番号 (スコア:1)
ATMでしか利用できないから3要素認証だよ
#極論すると、ドコモ口座(paypayその他)と銀行口座の連携が、ATMにスマホ繋がないと開始できない仕様であれば、総当たり攻撃はできない
Re: (スコア:0)
3要素になる理由が分からない
Re:暗証番号 (スコア:1)
キャッシュカードと暗証番号だけじゃ預金の移動はできないって意味
この事件におけるPCスマホ・インターネットのポジション
PCスマホ・インターネットは、誰でも・24時間・無制限に使えるが
ATMは、特定の場所・特定の時間・監視カメラあり・占有不可能
暗証番号のロック (スコア:0)
銀行によって違うかもしれん。
Re: (スコア:0)
地元銀行のはネットバンキング緊急停止ボタンあるけど、押したらどうなるかは知らない…
#赤いボタンポチッとな
初めて知った (スコア:0)
テレフォンバンキングを初めて知りました(35歳)
自分より上の世代の方には一般的なサービスだったのでしょうか?
Re: (スコア:0)
50歳ですが、使ったことはありませんでした。60歳以上の人(1995年時点で35歳以上)は使ったかな?
Re: (スコア:0)
一般的じゃない上にアプトアウト式サービスだから懸念されてる
Re:初めて知った (スコア:1)
> アプトアウト式サービス
そんなに急勾配だったとは。
#いや、「アウト」だからむしろ平坦なのかも。
じゃあ明日引き出してもいいかな? (スコア:0)
いいとも!
# いや、ほんとショッキングな事件です。こうなれば暗証番号に関連するサービスを全金融機関がいったん停止し、見直ししないといけないですよね。ただ、停止するとなると一定の混乱もおきると思うので難しいのかもしれませんが。
三井住友銀行のコールセンター (スコア:0)
三井住友銀行のコールセンターって、こんなに回答レベル高いの?
地銀や証券会社に対する自分の経験からすると、サービスや商品に関して何度か折り返し電話待ちになることもある。
ましてイレギュラーな話なら、生返事で「要望として承りました」で終わっちゃう。
Re: (スコア:0)
ドコモ口座が大問題になって真摯に回答するようになったんだろ
三井住友は、ひろみちゅ先生が数年前に指摘したときは生返事(無対応)だったが、今回の問合せでは「上に報告する」と前向きな回答になっている
ゆうちょは、ドコモ口座の初期は適当にあしらってたのが、今は手のひら返して真面目に回答する(という人がツイッターにいる)
アカウントロックは極端な反応じゃないかなあ (スコア:0)
三井住友の口座持ちですが、こういう風に対処すればそれなりに安全かと。
* SMBCダイレクトを開設したら、ログインしてとりあえずパスワードをランダムなものに変更する
* 初期パスワードがキャッシュカードの暗証番号とかぶっていた場合、最寄りのATMに直行してキャッシュカードの暗証番号を変更する
* 帰宅したら以下の手続きをすぐ行う。
- 口座番号ではなく、SMBCダイレクトの顧客番号でしかログインできないように設定する(口座番号への逆総当たり攻撃を阻止)
- ワンタイムパスワード制を申し込み、ログインにもワンタイムパスワードが必要なように設定する
- テレフォンバンキングを止める
SMBCよりもっとヤバい銀行はいくらでもあるんじゃないでしょうか。某行なんてログインパスワードが最大6桁しか許容されないというふざけた仕組みだし……。(解約したくてたまらないけど諸事情から出来ないので、名前は勘弁して下さい。)
ログインにワンタイムパスワード必須化は危険 (スコア:1)
ログインにワンタイムパスワード必須化はかえって危険になるので止めた方が良いです。
インターネット専用の第一暗証(4~8桁の英数字)を上限の8文字のランダムな英数字にすれば、オンラインでのブルートフォースアタックは不可能になるので、それで十分。
何故、ワンタイムパスワードを必須にすると危険かというと、ワンタイムパスワードを入力すると、MITB攻撃をされた場合(マルウェア感染や中継型のフィッシングサイトにログイン情報を入れた場合)に、送金までされてしまう危険があるからです。
普段、送金や特殊な変更手続きのときしかワンタイムパスワードを使わない場合、ログインだけでワンタイムパスワードを要求されたらおかしいと気が付けますが、毎回入力していたらそれが悪用されて割り込んだ第三者に不正送金に使われる恐れがあります。
MITBの場合、ログインと送金で2回分のワンタイムパスワード入力がいりますが、ログイン時に「ワンタイムパスワードが違います。再度入力してください」と偽のエラーを出せば、時間切れ(ワンタイムパスワードは30秒しか有効でない)か入力ミスがあったのだと思って再入力してしまう恐れがあります。
Re:ログインにワンタイムパスワード必須化は危険 (スコア:1)
新しいUA(ブラウザ・アプリ)でログイン→ワンタイムパスワード入力→ログイン成功したらメール通知→ブラウザにセッション(的なもの)保存→以降同一UAからはOTPなし
がスタンダードじゃないですかね。
Re: (スコア:0)
昔はSMBCダイレクトは顧客番号でしかログインできなかったのに、いつのまにか
口座番号でもログインできるようになったんだよな。
余計な事をするな、というかんじ。
MUFGダイレクトも同じ。顧客番号だけだったところが口座番号もOKになった。
Re: (スコア:0)
SMBCダイレクトは口座番号でログインできないようにも設定できますよ。
Re: (スコア:0)
口座番号ログインもテレフォンバンキングも
結局、オプトアウトになってないのが問題。
Re: (スコア:0)
知らない人は危険なまま。
Re: (スコア:0)
15年も前の話をされても、というか釣?
各行のテレパンの操作方法はWEBサイトで確認できるけど、
振込は番号入力で完結する。
Re: (スコア:0)
リンク先も読まずにひろみちゅの話が本当ならとかアホなの?
自動音声残高サービスにリバースブルートフォース->成功したら口座番号と暗証番号の組み合わせゲット!
って話なんだが。出金や振り込みの話などしてない。