拡大する不正引き出しの手口や問題点 あなたがいまとるべき対策とは?

現在メディアで問題視されている不正引き出し事件は決して他人事ではありません。

今回の事件では、金融機関と連携している電子決済サービスに対し、会員登録時の本人確認や銀行口座紐付け時の認証が不十分であることを悪用して、第三者の口座から不正引き出しが行われました。

これは複数の問題が重なって起こった事件ですが、根本的な原因としては、サービスの企画・開発に問題があったと考えられます。

サービスを企画・開発する際には、サービスの特性にあわせた脅威分析やセキュリティ施策の検討が必要ですが、そもそも何をやったらよいか分からないサービス立ち上げまでに時間がない、などの理由で セキュリティ検討が後回しにされがちです。

今回の事件をきっかけに、事業者の皆様におかれましては、自社サービスのセキュリティ施策を改めて見直す機会としていただければ幸いです。

 

代表取締役 徳丸 浩(とくまる ひろし)

1985年京セラ株式会社に入社後、ソフトウェアの開発、企画に従事。1999年に携帯電話向け認証課金基盤の方式設計を担当したことをきっかけにWebアプリケーションのセキュリティに興味を持つ。2004年同分野を事業化。2008年独立して、Webアプリケーションセキュリティを専門分野とするHASHコンサルティング株式会社(現EGセキュアソリューションズ株式会社)を設立。脆弱性診断やコンサルティング業務のかたわら、ブログや勉強会などを通じてセキュリティの啓蒙活動をおこなっている。

EGセキュアソリューションズ株式会社代表
京セラコミュニケーションシステム株式会社技術顧問
独立行政法人情報処理推進機構(IPA)非常勤研究員
技術士(情報工学部門)

徳丸による解説記事のご紹介

振替サービスを利用していなくても被害にあう恐れがあるのはなぜでしょうか。
以下の記事では、推測される手口や事件の背景、対策等について解説しております。
口座利用者としてはもちろん、オンラインサービスを提供する企業のビジネスリスクとしても必見です。

テレビ

■テレビ東京:WBS(ワールドビジネスサテライト)(9月17日)
なぜ相次ぎ発生 預貯金の不正引き出し
■テレビ東京:WBS(ワールドビジネスサテライト)(9月15日)
ゆうちょ銀 不正被害が拡大 ペイペイ5社でも

▼9月18日  日本テレビ:スッキリ
▼9月10日  日本テレビ:スッキリ
▼9月10日  テレビ朝日:グッド!モーニング
▼9月10日  フジテレビ:直撃LIVEグッデイ
▼9月9日    テレビ東京:WBS(ワールドビジネスサテライト)

メディア掲載

■ITmediaニュース(2020年10月21日)
相次いだ不正送金事件、ログイン認証の抜け穴を熟知か セキュリティ専門家の徳丸氏が解説

■日経クロステック(9月18日)
「ドコモ口座」不正被害に見たもたれ合いの唖然

■通販新聞(9月17日)
NTTドコモ 「ドコモ口座」で不正出金、「本人確認不十分」と謝罪

■東洋経済(9月12日)
「ドコモ口座」不正被害に見たもたれ合いの唖然ドコモと金融機関の両方に責任と甘さがある

■ITmediaニュース(9月9日)
「ドコモ口座」で相次ぐ不正出金、なぜ地銀だけが狙われた? 専門家の見解は

■産経新聞(9月9日)
ドコモ口座不正引き出し、狙われた脆弱性 キャッシュレス推進にも逆風

■ITmediaエンタープライズ(9月9日)
徳丸 浩氏に聞いた「ドコモ口座」問題 今起きていること、今できること

自社のサービスは大丈夫?と不安に思われたら

今回の事件を受けて、弊社では『脅威ベースペネトレーションテスト』をお勧めしています。
攻撃者視点でオンラインサービスに潜む脅威を分析し、想定して攻撃シナリオに沿って実際に攻撃が可能かどうかを検査するサービスです。

脅威ベースペネトレーションテスト

サイバー攻撃の脅威から個人情報やWEBサイトを守るために脆弱性診断をお勧めしています。
EGセキュアソリューションズの脆弱性診断は、様々な検査手法を使い分け、貴社に最適な方法により脆弱性を報告いたします。

ウェブアプリケーション脆弱性診断

また、弊社ではセキュリティ顧問を請け負っております。
「社内にセキュリティ担当者がいるが複雑な内容に対応できない」
「社内に技術的に詳しい担当者がいない」
という場合の相談先としてご提案させていただいております.

セキュリティ顧問

今回の事件は、決して他人事や他社の話ではありません。
自社のオンラインサービスのセキュリティに不安を持たれた方は、
EGセキュアソリューションズにご相談ください。

企業の不正ログイン事件の解説

徳丸が過去に掲載したブログ記事から今回の事件の手口に関連した解説記事をピックアップしました。
今回の事件の手口の可能性が高い攻撃手法は、最新の高度なサイバー攻撃ではなく、以前から存在していたことがわかります。

ーーーーーーーーーーーーーーーーーーーーーーー

■パスワード攻撃に対抗するWebサイト側セキュリティ強化策

不正ログインについての全般的な解説記事。2013年に公開したものですが、今話題のリバースブルートフォース攻撃も解説しています。
また、当時名称のなかったパスワードスプレイ攻撃(この名称が使われるのは2018年以降)の可能性についても言及しています。

https://blog.tokumaru.org/2013/05/how-to-protect-your-website-from-password-attacks.html

ーーーーーーーーーーーーーーーーーーーーーーー

■JALの不正ログイン事件について徳丸さんに聞いてみた

日本航空のサイトに対して不正ログイン攻撃があり40人のマイルがAmazonギフト券数百万円相当と交換された事件についての解説です。
手口の詳細は公表されていませんが、リバースブルートフォース攻撃が疑われています。

https://blog.tokumaru.org/2014/02/jal.html

ーーーーーーーーーーーーーーーーーーーーーーー

■ANAの不正ログイン事件について徳丸さんに聞いてみた

日本航空のサイトに対して不正ログイン攻撃があり、9人のマイレージ総計112万マイルがiTunesギフトコードに勝手に交換された事件についての解説です。
こちらも手口の詳細は公表されていませんが、リバースブルートフォース攻撃が疑われています。
JALの事件の後ということで、手口の詳細と解説について、より踏み込んだ解説をしています。

https://blog.tokumaru.org/2014/03/ana.html

ーーーーーーーーーーーーーーーーーーーーーーー

■GitHubに大規模な不正ログイン試行

ドコモ口座の事件では、「パスワードスプレー攻撃」の可能性も指摘されています。
パスワードスプレーという名称は2018年以降使われていますが、その初期の例と考えられるGitHubへの不正ログイン事件(2013年)について解説しています。

https://blog.tokumaru.org/2013/11/github.html

オンラインサービスのセキュリティに不安を持たれた方は、EGセキュアソリューションズにご相談ください。

弊社からのセミナー開催やセキュリティに関する最新の情報をメールマガジンにて配信しております。
メールマガジンの配信を希望される方はこちらから