セキュア de GO! #10 認証とリバースブルートフォース攻撃

多要素認証や本人確認を行っていたらここまで大きな問題にならなかったとも言われています。
多要素認証とは2つ以上の要素を組み合わせて実施する認証のことで 要素とは大きく分けて3つあります。

本人だけが知っていること
ID+パスワード、秘密の質問など

本人だけが所持しているもの
キャッシュカード、ICカードなど

本人の特性そのもの
指紋や虹彩、顔認証など

二要素認証とは上記で説明した2つの要素を使った認証のことです。
多要素認証の一部といえます。二段階認証は認証の”段階”を2回行うことで要素の数は問われません。
例えばID・パスワードでログイン後に秘密の質問の答えを入力する認証方式があります。
どれも知識の1要素による認証ですので段階が増えても必ずしも認証が強固になるとは限りません。

今回、犯人の手口は「リバースブルートフォース攻撃」か？といわれています。
ブルートフォース攻撃は特定のIDに対してパスワードの組み合わせを総当たりでログインを試みる攻撃のことです。
パスワード入力を何回か間違えるとアカウントをロックすることで攻撃の対策を施すことができます。
一方、リバースブルートフォース攻撃はその逆でパスワードを固定させてとIDの組み合わせを総当たりでログインを試みる攻撃のことです。
攻撃者は何らかのプログラムを使用してパスワードを入手し、
パスワードを固定してIDの文字列を変化させながらログインを試みます。
例えば4桁数字のパスワードの場合、「0000」から「9999」の1万通りです。
「1234」とか「7777」など覚えやすいパスワードを利用している方がいるかもしれません。
そういったパスワードに狙いを定めてIDを総当たりで変化させてログインを試みる攻撃がリバースブルートフォース攻撃です。

おそらくキャリア側も銀行側もそれぞれのサービスとしては問題なかったのかもしれません。
サービス同士の連携が発生した際にセキュリティホールがあることを誰も気がつかなかった、
意識を向けなかったことが大きなニュースにつながってしまいました。
私たちもセキュリティ意識を高く持ってサービスを提供していきたいと思っております。

• 当ページの人物画像はNIGAOE MAKERで作成しました。