2020年09月11日

ドコモ問題の会見の酷さ

ドコモ曰く「自分の暗証番号を決して他に漏らさないことが一番重要。そこさえ注意すれば特に問題はないのかなと」

違う、そこじゃない。
そんな認識だとまた問題起きるぞ。 

やっぱり、経営層(特に、仕様/企画にOKを出す管理者層)が技術を理解してないとセキュリティ問題はなくならないでしょうな…

個人的な意見ですが、今回の技術的問題の背景。(ネットのセキュリティにちょっとでも関心を持っていれば初心者的なことで偉そうに書くのもはばかれのるですが、知らない人も現に多そうなので… ドコモ、お前だ)

1.  ATMの暗証番号が数字4桁なんて弱々(ブルートフォースアタック=総当たり攻撃すればすぐ破れる)
キャッシュカードと暗証番号の2要素認証になってるからかろうじて物理的なATMではそれほど問題にならなかっただけであって、数字4桁なんてパスワードじゃネット上じゃセキュリティは弱々

2. 口座番号、暗証番号が漏れてなくても、オンラインでブルートフォースアタック=総当たり攻撃が可能なら簡単にゲットできる

ちなみに、ブルートフォースアタックができないようにパスワードを何回か間違えるとロックしてそれ以上の試行ができないような対策しているところもあるけど、リバースブルートフォースアタックといって逆にパスワードを固定して口座番号の方を変えて試行していく攻撃方法や、パスワードスプレーといって、異なるたくさんの口座番号にパスワードを入れて、ロックされて時間がかかっても一回に試す口座の数で力技で攻撃する方法などもあるので、うちのところは3回パスワード間違えたらロックがかかって使えなくなるから大丈夫なんて思って安心してたら大間違い。

SMS認証使えば多少はマシだろうけど、最近もつぶれた携帯ショップから横流しされたSMS認証できるSIMを本人確認なしで売ってたとかいうニュースがあったばかりで安心はできないですな。

じゃ、自分はどうしてるかというと、

1. オンラインサービスは有名どころしか使わない
(メガバンクと初期からあるネット銀行とか)
なんとかPayとかいくらお得なキャンペーンやってても入ってません(外出できないから使う機会がないのもあるけど)

2. パスワードはパスワード管理ソフトが生成したそのシステムが許す最大桁数、英数記号入のランダムなパスワード
パスワードファイルはメインマシン1台だけで使って、バックアップはSDカードと自宅のNASに定期的に手動でバックアップ

3. 自分でブックマークしたURLからしかログインしない

4. キャッシュカードは請求月ごと、銀行口座はよく使うものは週1,2回ぐらいは取引明細を確認

5. カードの限度額は1枚以外は最低額にして、最高額のカードは信頼できるところにしか使わない。

6. どうしてもあまり信頼できないところで使うときは少額の預金口座と紐付いてる停止しても影響の無いカードで。
さらに信頼できないところはプリペイドのクレジットカードで。

7. ネット銀行は全部ワンタムパスワード(おかげでワンタイムパスワード機が5個も…)
2要素認証できるネットサービスは2要素認証で(どうでもいいところはパスワードのみだけど)

まぁ、これだけ気を使っててもメインマシンにバックドアしかけられたら危ないし、予想もつかない攻撃方法がでてくるだろうからいつ破られてもおかしくないけど…
posted by one-hand-engineer at 11:11| Comment(0) | 日記 | このブログの読者になる | 更新情報をチェックする
この記事へのコメント
コメントを書く
お名前:

メールアドレス:

ホームページアドレス:

コメント: