リバースブルートフォース攻撃について

おはようございます
情報ありがとうございます

今回のドコモ口座の被害が発覚する前に、フィッシングが急増しているとの情報があります

https://www.itmedia.co.jp/news/articles/2009/15/news039.html

https://www.fnn.jp/articles/-/86261

リバースブルートフォース攻撃をしなくとも、暗証番号も含めて個人情報が詐取されていたケースも有るのかなと思っています

おはようございます。
フィッシング→ドコモ口座などの例のように二段、三段のトラップをかけて搾取を行うなどますます手が込んできますね。

紹介していただいた通り、常に最新の情報を入手することや不要なサイトや口座は持たないようにすることですね。あと出来るだけ2要素認証を行えるサイトを使うように心がけてます。

ありがとうございます。
素晴らしい記事を紹介していただきました。
色々と面倒な認証が求められる理由が分かりました。

攻撃する元のアカウント側で複数回の失敗で止めるようにできていなかったのか？というのが疑問です。（大量にアカウントを作っていた場合はダメですが）

dアカウントは、IDとパスワードの入力画面を分けて、IDが入力されると、認証アプリに通知が飛んできて、それを許可しないとパスワードの入力ができないようになっていますが、銀行のシステムもそういう仕組みが必要だと思います。

いずれ銀行にもこういうことが起こる前と考えなかったのか？
根拠のない安心感が一番のセキュリティホールだったのでは。

アッカリ〜ンさん

この試行を行うのが、あくまでも銀行のサイトに遷移してからなので、ドコモ側では、わからないんでしょうね。

この犯人　頭良すぎます。

☝️確かに、仰るとおり。

なるほど、それだとダメですね。IPアドレスでチェックするにしても変えたりするだろうし。

こういうときに、マイナンバーカードに入っている電子証明書を使って識別すればいいんですけどね。

認証の基準は標本数が多すぎても逆に情報を与えることになるので「効果的な標本の利用が重要」と考えます。

OTP(ワンタイムパスワード)も万全ではないですし、生体認証も本来はリモートで利用する機能ではないので。(HIPPAなどの海外発セキュリティ基準を見ても)

個人証明の電子証明書については金融機関側が新規口座開設に個人番号収集を行うので、それと併せて今後は検討されるお話になると思いますが。

ただ、それでなくても「特別給付金の時にスマホで読み取れない」などが多発したので、個人的には「そういう場合はどうするのか？」と思案します。

※意外に非接触式よりも接触式読み取りの方が、マイナンバーカードは
　エラーを起こすこと無く読み取れる、と感じるため。
　PC＋スマートカードリーダーの組み合わせが無難に感じます。

話は変わりますが、マイナポイントは私はパスしました。
嫌な予感がするんで。

NTTだけは信用できないので、うん十年振込にしてます。

まあ、今回はドコモ口座持ってなくても、やられてしまうから、どうしようもないのですが。

さらに話は変わって、PayPayアプリのお知らせに「チャージ停止中の金融機関をご利用のお客様へ」が来ましたね。

アプリからチャージ金融機関が消えてから、お知らせにはキャンペーンの通知ばかりでしたが、チャージを停止したことを真っ先に知らせないといけないと思います。

PayPayは、今のところ花王製品のキャンペーンくらいでしか使わないので特に困ってはいませんが(^^)

IDやパスワードが漏れ、SNS認証なども突破されるとさらに認証を追加とか、ID、パスワード、ワンタイムパスワード以外の要素の追加など個人認証を厚くやかましくしていくしかないのでしょうね。
スマートな生活が遠くなってきている気がします。

スマホカメラを使った認証、オンライン本人確認「eKYC」とかいうのがあるそうです。これなら確実性が上がるかな？またまた突破されるでしょうか。
https://innovation.mufg.jp/detail/id=391

預金口座を信じられなくなった富裕層の皆さんは、土地と不動産を買わないと(^^) 不動産ゴリラの時代だね。