パスワードを忘れた? アカウント作成
14341724 story
情報漏洩

テレフォンバンキングがリバースブルートフォース攻撃される可能性について 27

ストーリー by nagazou
むずかしい 部門より
複数の銀行やサービスで発生している不正引き出し事件だが、セキュリティ研究家の高木浩光氏は、インターネットバンキングの普及でだいぶ影の薄くなっているテレフォンバンキングでも、先の不正引き出し事件同様にリバースブルートフォース攻撃によるハッキングの危険性があると指摘している(高木浩光@自宅(テレワークを除く)の日記)。

同氏はこの問題を指摘するために、三井住友銀行のコールセンターに電話したという。その流れ自体は複雑な上にとても長いので割愛するが、途中で上席担当が出てきた上で、危険性があること自体は認める流れるとなっている。

編集子が個人的に興味深かったのは、三井住友銀行の場合は、インターネットバンキングは継続し、テレフォンバンキングだけを止めるといったこともできるということ。キャッシュカードがICカードに切り替わってる場合は、磁気ストライプ型のキャッシュカードを偽造されても引き出せない基本設定になっていることなどだった。ほかの銀行でもそういうものなのだろうか。

なお高木氏は自衛策として、自分の暗証番号を複数回間違えて口座をロックしてしまう方法をおすすめしている。ネットバンキングやテレフォンバンキングがロックされていても、ATMからの引き出しはできるから問題ないそうだ。
  • by Anonymous Coward on 2020年09月18日 14時07分 (#3891424)

    ・テレフォンバンキングはキャッシュカードの暗証番号で残高照会可能(振込は不可)
    ・テレフォンバンキングは暗証番号間違いでロックが掛かる、が、リバースブルートフォース攻撃可能
    ・テレフォンバンキングはオプトアウトになっていない
    ・テレフォンバンキングの利用停止はSMBCダイレクトを開始していないとできない
    ・口座番号と暗証番号が割れれば磁気ストライプ型の偽造キャッシュカードが作れる
    ・口座番号と暗証番号が割れてもICチップ型の偽造キャッシュカードは作れない
    ・キャッシュカードをICカードのみの設定にすれば磁気カードは使用不可
    ・SMBCダイレクトの初期パスワードはキャッシュカードと共通
    ・SMBCダイレクトのログインパスワードはキャッシュカードと別のパスワードに設定可能
    ・SMBCの担当はオプトアウトとオプトインを知らない

    >とどたん氏のこの調査によれば、テレフォンバンキングをここ数年で終了した銀行も結構あるようだ。「申込制」のところもあるようで、最初からそうだったのかも気になる。なぜそうなったのだろうか。公表されていない事件が起きているのではないのか。

    #強調は筆者による

    ここに返信
    • by Anonymous Coward

      まぁそういううがった見方も可能だろうが、単純に使われてない割にコストがかかってたって話なのかもしれん
      やめちゃうのが一番安上がりで最強のセキュリティ対策

  • by Anonymous Coward on 2020年09月18日 13時16分 (#3891388)

    暗証番号はキャッシュカードという物理媒体とセットで使うべきものであって、それ以外では使ってはいけないと思うんだよな。
    落としたキャッシュカードを拾った第三者に使われる事をガードする意味以上の機能を暗証番号に持たせてはいけない。

    ここに返信
    • by Anonymous Coward

      キャッシュカードという所持認証と、暗証番号という知識認証。

      もともと銀行は2要素認証だったんだよね。

      • by Anonymous Coward on 2020年09月18日 14時16分 (#3891434)

        ATMでしか利用できないから3要素認証だよ

        #極論すると、ドコモ口座(paypayその他)と銀行口座の連携が、ATMにスマホ繋がないと開始できない仕様であれば、総当たり攻撃はできない

        • by Anonymous Coward

          3要素になる理由が分からない

          • by Anonymous Coward on 2020年09月18日 15時26分 (#3891497)

            キャッシュカードと暗証番号だけじゃ預金の移動はできないって意味
            この事件におけるPCスマホ・インターネットのポジション

            PCスマホ・インターネットは、誰でも・24時間・無制限に使えるが
            ATMは、特定の場所・特定の時間・監視カメラあり・占有不可能

  • by Anonymous Coward on 2020年09月18日 13時43分 (#3891406)

    ネットバンキングやテレフォンバンキングがロックされていても、ATMからの引き出しはできるから問題ないそうだ。

    銀行によって違うかもしれん。

    ここに返信
    • by Anonymous Coward

      地元銀行のはネットバンキング緊急停止ボタンあるけど、押したらどうなるかは知らない…
      #赤いボタンポチッとな

  • by Anonymous Coward on 2020年09月18日 13時47分 (#3891411)

    テレフォンバンキングを初めて知りました(35歳)
    自分より上の世代の方には一般的なサービスだったのでしょうか?

    ここに返信
    • by Anonymous Coward

      50歳ですが、使ったことはありませんでした。60歳以上の人(1995年時点で35歳以上)は使ったかな?

    • by Anonymous Coward

      一般的じゃない上にアプトアウト式サービスだから懸念されてる

  • by Anonymous Coward on 2020年09月18日 13時56分 (#3891418)

    いいとも!
    # いや、ほんとショッキングな事件です。こうなれば暗証番号に関連するサービスを全金融機関がいったん停止し、見直ししないといけないですよね。ただ、停止するとなると一定の混乱もおきると思うので難しいのかもしれませんが。

    ここに返信
  • by Anonymous Coward on 2020年09月18日 14時12分 (#3891428)

    三井住友銀行のコールセンターって、こんなに回答レベル高いの?

    地銀や証券会社に対する自分の経験からすると、サービスや商品に関して何度か折り返し電話待ちになることもある。
    ましてイレギュラーな話なら、生返事で「要望として承りました」で終わっちゃう。

    ここに返信
    • by Anonymous Coward

      ドコモ口座が大問題になって真摯に回答するようになったんだろ
      三井住友は、ひろみちゅ先生が数年前に指摘したときは生返事(無対応)だったが、今回の問合せでは「上に報告する」と前向きな回答になっている
      ゆうちょは、ドコモ口座の初期は適当にあしらってたのが、今は手のひら返して真面目に回答する(という人がツイッターにいる)

  • by Anonymous Coward on 2020年09月18日 15時09分 (#3891479)

    三井住友の口座持ちですが、こういう風に対処すればそれなりに安全かと。

    * SMBCダイレクトを開設したら、ログインしてとりあえずパスワードをランダムなものに変更する
    * 初期パスワードがキャッシュカードの暗証番号とかぶっていた場合、最寄りのATMに直行してキャッシュカードの暗証番号を変更する
    * 帰宅したら以下の手続きをすぐ行う。
       - 口座番号ではなく、SMBCダイレクトの顧客番号でしかログインできないように設定する(口座番号への逆総当たり攻撃を阻止)
     - ワンタイムパスワード制を申し込み、ログインにもワンタイムパスワードが必要なように設定する
     - テレフォンバンキングを止める

    SMBCよりもっとヤバい銀行はいくらでもあるんじゃないでしょうか。某行なんてログインパスワードが最大6桁しか許容されないというふざけた仕組みだし……。(解約したくてたまらないけど諸事情から出来ないので、名前は勘弁して下さい。)

    ここに返信
    • by Anonymous Coward on 2020年09月18日 19時30分 (#3891684)

      ログインにワンタイムパスワード必須化はかえって危険になるので止めた方が良いです。
      インターネット専用の第一暗証(4~8桁の英数字)を上限の8文字のランダムな英数字にすれば、オンラインでのブルートフォースアタックは不可能になるので、それで十分。

      何故、ワンタイムパスワードを必須にすると危険かというと、ワンタイムパスワードを入力すると、MITB攻撃をされた場合(マルウェア感染や中継型のフィッシングサイトにログイン情報を入れた場合)に、送金までされてしまう危険があるからです。

      普段、送金や特殊な変更手続きのときしかワンタイムパスワードを使わない場合、ログインだけでワンタイムパスワードを要求されたらおかしいと気が付けますが、毎回入力していたらそれが悪用されて割り込んだ第三者に不正送金に使われる恐れがあります。
      MITBの場合、ログインと送金で2回分のワンタイムパスワード入力がいりますが、ログイン時に「ワンタイムパスワードが違います。再度入力してください」と偽のエラーを出せば、時間切れ(ワンタイムパスワードは30秒しか有効でない)か入力ミスがあったのだと思って再入力してしまう恐れがあります。

    • by Anonymous Coward

      昔はSMBCダイレクトは顧客番号でしかログインできなかったのに、いつのまにか
      口座番号でもログインできるようになったんだよな。
      余計な事をするな、というかんじ。
      MUFGダイレクトも同じ。顧客番号だけだったところが口座番号もOKになった。

      • by Anonymous Coward

        SMBCダイレクトは口座番号でログインできないようにも設定できますよ。

        • by Anonymous Coward

          口座番号ログインもテレフォンバンキングも
          結局、オプトアウトになってないのが問題。

        • by Anonymous Coward

          知らない人は危険なまま。

typodupeerror

アレゲは一日にしてならず -- アレゲ見習い

読み込み中...