アカウント名:
パスワード:
ドコモ「暗証番号を漏らさないようにしていただければ問題ない」 [twitter.com]
浩光先生によれば、記者会見でこういう発言があったようなんですが、リバースブルートフォースなら暗証番号は何の意味もないんですが、ドコモの中の人はまだわかっていないという事? それとも、今回の事件はピンポイントに暗証番号が漏れた人が狙われたと掴んでいる???
被害件数は66件で約1,800万円とのことでどっちの可能性もあり得る気はするけど、前者なら大問題なわけだが果たして?
PayPayの件でもいまだにCVVブルートフォースだとデマを言い続けてるやつがいるが、結局CVVもセットで漏れてたものが悪用されただけだったので、今回もアクセスログをちゃんと漁った結果である可能性はある。
この事例は口座番号と暗証番号をどこからどうやって入手したのかはあんまり考える意味がない話だよね。口座番号と暗証番号だけならATMの前で割と簡単に入手できちゃうような情報。だけど、それだけでは口座の金に手を付けるのは困難だった。
ドコモ口座はそういう情報だけで、月に30万と少額ではあるけど金を抜き取ることを可能にしちゃったツールだったというのが問題の焦点だと思う。会見でそういうところ突っ込む人いなかったのがなんか残念な気分。
Tor - Wikipedia [wikipedia.org]アクセスログってw
今回はパスワード固定で口座番号を総当たりできる事が厄介なんだよ
「パスワード固定で口座番号を総当たり」する作業が行われているか確認すればいいだろTor経由なら絞れるから更に調査しやすい
ドコモが調べようがないなNTTデータはちゃんと調査してるんだろうか
別に暗証番号固定しなくてもいいんじゃない?よく使われる暗証番号ではなくなる分多少効率は落ちるけど、暗証番号は10000通り程度なわけで、そっからランダムに選んでも10000回やれば一つくらい当たるんでは?IPアドレスはボットを使うなりしてばらけさせれば、全体的にエラーが増えているから狙われていることはわかっても、防ぐことは難しいんじゃないかな??
同じ口座で暗証番号を何回もリトライするとロックや監視に引っ掛かる可能性があるだからリバースブルートフォースなんだよ
確かにリバースブルートフォースアタックだというのは推測に過ぎないが、「暗証番号が漏れていた」って情報はどこからも出ていないのだが?
ログを漁ればリバースブルートフォースが行われたか確認できるのだから、行われていなければ残る可能性は「暗証番号が漏れていた」しかなくなる。
全部確認した上で行われてなかったのか、全部の確認なんてしてない(できない)のか現時点では不明なのでは?行われてないって確定してるの?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
Stay hungry, Stay foolish. -- Steven Paul Jobs
ドコモ「暗証番号を漏らさないようにしていただければ問題ない」 (スコア:0)
ドコモ「暗証番号を漏らさないようにしていただければ問題ない」 [twitter.com]
浩光先生によれば、記者会見でこういう発言があったようなんですが、リバースブルートフォースなら暗証番号は何の意味もないんですが、ドコモの中の人はまだわかっていないという事? それとも、今回の事件はピンポイントに暗証番号が漏れた人が狙われたと掴んでいる???
被害件数は66件で約1,800万円とのことでどっちの可能性もあり得る気はするけど、前者なら大問題なわけだが果たして?
Re:ドコモ「暗証番号を漏らさないようにしていただければ問題ない」 (スコア:0)
PayPayの件でもいまだにCVVブルートフォースだとデマを言い続けてるやつがいるが、結局CVVもセットで漏れてたものが悪用されただけだったので、今回もアクセスログをちゃんと漁った結果である可能性はある。
Re: (スコア:0)
この事例は口座番号と暗証番号をどこからどうやって入手したのかはあんまり考える意味がない話だよね。
口座番号と暗証番号だけならATMの前で割と簡単に入手できちゃうような情報。
だけど、それだけでは口座の金に手を付けるのは困難だった。
ドコモ口座はそういう情報だけで、月に30万と少額ではあるけど金を抜き取ることを可能にしちゃったツールだったというのが問題の焦点だと思う。
会見でそういうところ突っ込む人いなかったのがなんか残念な気分。
Re: (スコア:0)
Tor - Wikipedia [wikipedia.org]
アクセスログってw
今回はパスワード固定で口座番号を総当たりできる事が厄介なんだよ
Re: (スコア:0)
「パスワード固定で口座番号を総当たり」する作業が行われているか確認すればいいだろ
Tor経由なら絞れるから更に調査しやすい
Re: (スコア:0)
ドコモが調べようがないな
NTTデータはちゃんと調査してるんだろうか
Re: (スコア:0)
別に暗証番号固定しなくてもいいんじゃない?よく使われる暗証番号ではなくなる分多少効率は落ちるけど、暗証番号は10000通り程度なわけで、そっからランダムに選んでも10000回やれば一つくらい当たるんでは?
IPアドレスはボットを使うなりしてばらけさせれば、全体的にエラーが増えているから狙われていることはわかっても、防ぐことは難しいんじゃないかな??
Re: (スコア:0)
同じ口座で暗証番号を何回もリトライするとロックや監視に引っ掛かる可能性がある
だからリバースブルートフォースなんだよ
Re: (スコア:0)
PayPayの件でもいまだにCVVブルートフォースだとデマを言い続けてるやつがいるが、結局CVVもセットで漏れてたものが悪用されただけだったので、今回もアクセスログをちゃんと漁った結果である可能性はある。
確かにリバースブルートフォースアタックだというのは推測に過ぎないが、
「暗証番号が漏れていた」って情報はどこからも出ていないのだが?
Re: (スコア:0)
ログを漁ればリバースブルートフォースが行われたか確認できるのだから、行われていなければ残る可能性は「暗証番号が漏れていた」しかなくなる。
Re: (スコア:0)
全部確認した上で行われてなかったのか、全部の確認なんてしてない(できない)のか現時点では不明なのでは?
行われてないって確定してるの?