七十七銀行/ドコモ口座連携攻撃

七十七銀行の口座とNTTドコモの電子マネー決済サービス「ドコモ口座」を連携させて不正な預金引き出しをする被害が発生しているそうです。

どうも、口座番号とキャッシュカードの暗証番号だけで振り込みの登録ができてしまうという話なのですが、これだと暗証番号を変えながら試す攻撃をすると数回の間違いで口座がロックされたとしても、口座番号を変えながら試す攻撃をすると通ってしまうという、よくある攻撃方法の気がします。同じアクセス元からの口座番号を変えながらの攻撃も数回でロックできるような仕組みが必要なのでしょうけど。そもそもキャッシュカードの物理的実体がないところで、口座番号と暗証番号だけの認証は弱すぎますよね。

おそらく、システム担当者が必死にアクセスログを解析して、攻撃の全貌を把握しているところなのでしょう。被害者には瑕疵がないことが想定されるので、おそらくは全額補償になるのでしょうけど、こんなレベルのセキュリティでサービスインするというのは、セキュリティ担当は何をしていたんだという感じですね。

この記事へのコメント