皆さん こんにちは♪
9月も下旬になり 日中の気温も急に下がり始めました
すごしやすい気温ではありますが朝昼晩の温度差が
激しい季節です
今年はコロナ禍で大変な年ではありますが
体調管理にはお気を付けください
さて今月に入り【ドコモ口座不正利用】のニュースやそれに絡んだ
キャッシュレス不正のニュースを耳にしますね
事件の内容はすでにテレビや新聞などの報道機関で皆さんも
ご存じかと思われますのでこの場では割愛いたしますが
その不正利用に至るまでどのような手口であったのかを
想像してみます
ネットで調べる限りの情報では【ブルートフォース攻撃】と
【リバースブルートフォース攻撃】ではないかと考えられます
【ブルートフォース攻撃】とは
ブルートフォースという言葉の意味は = 「強引な」とか「力づく」
というような意味があります
この言葉の意味の通り 考えられうるユーザーアカウントと
パスワードのすべてのパターンを試していくというやり方です
例えば
4桁の数字の暗証番号があるとして 0000~9999までの
1万通りを入力することで かならずどれかに該当しますよね
要するに1万回試せば必ず該当するということです
何らかの方法でユーザーアカウントを入手すれば1万回試せば
ログインが可能になるということです
しかしながらこの方法はあまり現実的ではありません
パスワードの解析は実行フィルで自動に行えるとしても
最近の各大手のサイトはパスワードを何回か間違えれば
ログインできなくなっています
(もしくは時間をおいてからログインができるようになる)
そこで今回考えられるのは【リバースブルートフォース攻撃】という
ものです
これはパスワードではなく ユーザーアカウントに総当たりを
しかけるというものです
前述のように1万通りのパスワードがあったとして
あるサイトのユーザーアカウントの保有者が100万人であった
場合 理論上100人は同じパスワードを使用していることに
なります
特にに数字4桁だけの場合 (1234)や(7777)など
わかりやすいパスワードを利用している方もいらっしゃると
思います
そこである特定のパスワードに狙いを定めてユーザーアカウントを
総当たりするのが【リバースブルートフォース攻撃】です
【リバースブルートフォース攻撃】の場合はユーザーアカウント側を
変更していくので『何回かパスワードを間違えたらログインできな
くなる』というサイト側のセキュリティは通用しなくなってしまいます
今回の【ドコモ口座】の不正利用に関しては連携する金融機関の
キャッシュカードの暗証番号を利用するためこの【リバースブルート
フォース攻撃】を使ったのではないかと考えられます
基本的に【リバースブルートフォース攻撃】は特定のパスワードで
総当たりするので(1234)や(7777)というようなパスワードを
ご利用の方は直ちに変更することをお勧め致します
また以前のブログでもご案内しましたが ユーザーアカウントが
メールアドレスの場合 その情報が流出しているかどうかを
調べる海外のサイトがあります
そちらも参考にしてください
2020年6月23日 【パスワードのチェックをしましょう】 リンク
参考サイト