アカウント名:
パスワード:
HUAWEIのスマホ撤退ニュースとかぶるようにこの件、次々判明してますね。決済時期を見極めて大量にブルートハックを仕掛け、速攻撤退しているあたり、組織だった犯行ではないかとも言われてます。どこの組織なんでしょうね。国レベルなのかなと。
すごいのきた!
SBI証券 顧客の6つの口座から計9864万円が流出と発表https://www3.nhk.or.jp/news/html/20200916/k10012621171000.html [nhk.or.jp]
手口は全く違うのだが金額がデカい。
ログインパスワードと取引パスワードを破って、偽造で作った銀行口座へ出金という。プロフェッショナルな仕事だ・・
安全圏にいたと思われてた三菱UFJも不正口座作られてる案件
内部犯行を先に疑った方がいい
いや、ブルートハックが初期の推測で、少なくともドコモでは発生していなかったことは確認済みですよね。
また不正出金の時期も昨年8月から数件づつお極めて小規模であることも判明しています。
多くのサービスのなかでドコモが今気が付いたのも偶々で、そちらの方面からの陰謀論は難しいのではないでしょうか…
# 日本の個人情報や金融機関が、組織犯罪により日々危険に曝されている!なら理解できますが
新潟県だかからの不正なリクエスト云々って話はどうなったんじゃろ?
どうやって確認したのだろう?発生して「いる」証明は例を一つ出せば終わりだが、「いない」証明は悪魔の証明になってしまうはず。調査方法はどうやったのかドコモは明らかにしているのだろうか?リバースブルートフォースが、「暗証番号固定」で「口座番号を次々に変える」ものと言われているようなのだが、暗証番号は通常1万通りしかないわけで、別に固定しなくてもいい。毎回別の番号にしても1万回繰り返せば一人くらいは当たる。連続で試すと引っかかるならば、乗っ取ったアカウントを複数用意して時間を置いてばらばらに試す分散攻撃の可能性もある。効率は悪いだろうが「ない」と言い切れるだろうか?根拠はどこにあるのだろう?
個々の口座について、認証失敗の回数をカウントすればいいだけ。
口座を変えながら、暗証番号はランダムに毎回選べば、よく使われる番号でない分効率は落ちるが、口座ごとに1/10000の確率であたりを引くことができる。口座番号は毎回変わるので、各口座の失敗回数は1回。暗証番号も毎回違うので各番号の失敗回数もほぼ1回。(正しくは、10000回の試行で1回も試されない暗証番号が約3700、ちょうど1回試すものも約3700、2回以上試されるものが2600ほど)エラーが増えるために攻撃を受けていることはわかるが、どの番号が狙われているか、どの口座が狙われているのかはわからない。あとは攻撃を行っているIPアドレスを特定できるかどうかだが、これも分散されてしまうと厳しくなるだろう。
暗証番号を何回か間違えたらロックされるだろだから口座番号の方なんだよ
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
身近な人の偉大さは半減する -- あるアレゲ人
タイミング (スコア:0)
HUAWEIのスマホ撤退ニュースとかぶるようにこの件、次々判明してますね。
決済時期を見極めて大量にブルートハックを仕掛け、速攻撤退しているあたり、組織だった犯行ではないかとも言われてます。
どこの組織なんでしょうね。国レベルなのかなと。
Re:タイミング (スコア:1)
すごいのきた!
SBI証券 顧客の6つの口座から計9864万円が流出と発表
https://www3.nhk.or.jp/news/html/20200916/k10012621171000.html [nhk.or.jp]
手口は全く違うのだが金額がデカい。
Re: (スコア:0)
ログインパスワードと取引パスワードを破って、偽造で作った銀行口座へ出金という。
プロフェッショナルな仕事だ・・
Re: (スコア:0)
安全圏にいたと思われてた三菱UFJも不正口座作られてる案件
Re: (スコア:0)
内部犯行を先に疑った方がいい
Re: (スコア:0)
いや、ブルートハックが初期の推測で、少なくともドコモでは発生していなかったことは確認済みですよね。
また不正出金の時期も昨年8月から数件づつお極めて小規模であることも判明しています。
多くのサービスのなかでドコモが今気が付いたのも偶々で、そちらの方面からの陰謀論は難しいのではないでしょうか…
# 日本の個人情報や金融機関が、組織犯罪により日々危険に曝されている!なら理解できますが
Re: (スコア:0)
新潟県だかからの不正なリクエスト云々って話はどうなったんじゃろ?
Re: (スコア:0)
どうやって確認したのだろう?発生して「いる」証明は例を一つ出せば終わりだが、「いない」証明は悪魔の証明になってしまうはず。調査方法はどうやったのかドコモは明らかにしているのだろうか?
リバースブルートフォースが、「暗証番号固定」で「口座番号を次々に変える」ものと言われているようなのだが、暗証番号は通常1万通りしかないわけで、別に固定しなくてもいい。毎回別の番号にしても1万回繰り返せば一人くらいは当たる。連続で試すと引っかかるならば、乗っ取ったアカウントを複数用意して時間を置いてばらばらに試す分散攻撃の可能性もある。効率は悪いだろうが「ない」と言い切れるだろうか?根拠はどこにあるのだろう?
Re: (スコア:0)
個々の口座について、認証失敗の回数をカウントすればいいだけ。
Re: (スコア:0)
口座を変えながら、暗証番号はランダムに毎回選べば、よく使われる番号でない分効率は落ちるが、口座ごとに1/10000の確率であたりを引くことができる。口座番号は毎回変わるので、各口座の失敗回数は1回。暗証番号も毎回違うので各番号の失敗回数もほぼ1回。(正しくは、10000回の試行で1回も試されない暗証番号が約3700、ちょうど1回試すものも約3700、2回以上試されるものが2600ほど)
エラーが増えるために攻撃を受けていることはわかるが、どの番号が狙われているか、どの口座が狙われているのかはわからない。あとは攻撃を行っているIPアドレスを特定できるかどうかだが、これも分散されてしまうと厳しくなるだろう。
Re: (スコア:0)
暗証番号を何回か間違えたらロックされるだろ
だから口座番号の方なんだよ