パスワードを忘れた? アカウント作成

金融庁、不正預金引き出し問題で本人確認が不十分ならサービスを停止するよう要請」記事へのコメント

  • by Anonymous Coward

    HUAWEIのスマホ撤退ニュースとかぶるようにこの件、次々判明してますね。
    決済時期を見極めて大量にブルートハックを仕掛け、速攻撤退しているあたり、組織だった犯行ではないかとも言われてます。
    どこの組織なんでしょうね。国レベルなのかなと。

    • by Anonymous Coward

      いや、ブルートハックが初期の推測で、少なくともドコモでは発生していなかったことは確認済みですよね。

      また不正出金の時期も昨年8月から数件づつお極めて小規模であることも判明しています。

      多くのサービスのなかでドコモが今気が付いたのも偶々で、そちらの方面からの陰謀論は難しいのではないでしょうか…

      # 日本の個人情報や金融機関が、組織犯罪により日々危険に曝されている!なら理解できますが

      • by Anonymous Coward

        どうやって確認したのだろう?発生して「いる」証明は例を一つ出せば終わりだが、「いない」証明は悪魔の証明になってしまうはず。調査方法はどうやったのかドコモは明らかにしているのだろうか?
        リバースブルートフォースが、「暗証番号固定」で「口座番号を次々に変える」ものと言われているようなのだが、暗証番号は通常1万通りしかないわけで、別に固定しなくてもいい。毎回別の番号にしても1万回繰り返せば一人くらいは当たる。連続で試すと引っかかるならば、乗っ取ったアカウントを複数用意して時間を置いてばらばらに試す分散攻撃の可能性もある。効率は悪いだろうが「ない」と言い切れるだろうか?根拠はどこにあるのだろう?

        • by Anonymous Coward on 2020年09月16日 21時24分 (#3890366)

          個々の口座について、認証失敗の回数をカウントすればいいだけ。

          • by Anonymous Coward

            口座を変えながら、暗証番号はランダムに毎回選べば、よく使われる番号でない分効率は落ちるが、口座ごとに1/10000の確率であたりを引くことができる。口座番号は毎回変わるので、各口座の失敗回数は1回。暗証番号も毎回違うので各番号の失敗回数もほぼ1回。(正しくは、10000回の試行で1回も試されない暗証番号が約3700、ちょうど1回試すものも約3700、2回以上試されるものが2600ほど)
            エラーが増えるために攻撃を受けていることはわかるが、どの番号が狙われているか、どの口座が狙われているのかはわからない。あとは攻撃を行っているIPアドレスを特定できるかどうかだが、これも分散されてしまうと厳しくなるだろう。

人生の大半の問題はスルー力で解決する -- スルー力研究専門家

処理中...