PR/BLOG

広報・ブログ

セキュア de GO! #10 認証とリバースブルートフォース攻撃

はじめに

リーダー橋本氏

こんにちは、技術開発推進部の橋本です。
セキュア de GO! 第10回は、認証とリバースブルートフォース攻撃を紹介いたします。
オンライン口座を不正に利用し他人の銀行口座からお金を引き出す事件が相次ぎ世の中を騒がせていますね。
ここでは事件の詳細は割愛しセキュリティキーワードのみ紹介していきたいと思います。

多要素認証

多要素認証や本人確認を行っていたらここまで大きな問題にならなかったとも言われています。
多要素認証とは2つ以上の要素を組み合わせて実施する認証のことで 要素とは大きく分けて3つあります。

知識要素

本人だけが知っていること
ID+パスワード、秘密の質問など

所有要素

本人だけが所持しているもの
キャッシュカード、ICカードなど

生体要素

本人の特性そのもの
指紋や虹彩、顔認証など

多要素認証・二要素認証・二段階認証の違い

二要素認証とは上記で説明した2つの要素を使った認証のことです。
多要素認証の一部といえます。二段階認証は認証の”段階”を2回行うことで要素の数は問われません。
例えばID・パスワードでログイン後に秘密の質問の答えを入力する認証方式があります。
どれも知識の1要素による認証ですので段階が増えても必ずしも認証が強固になるとは限りません。

リバースブルートフォース攻撃

今回、犯人の手口は「リバースブルートフォース攻撃」か?といわれています。
ブルートフォース攻撃は特定のIDに対してパスワードの組み合わせを総当たりでログインを試みる攻撃のことです。
パスワード入力を何回か間違えるとアカウントをロックすることで攻撃の対策を施すことができます。
一方、リバースブルートフォース攻撃はその逆でパスワードを固定させてとIDの組み合わせを総当たりでログインを試みる攻撃のことです。
攻撃者は何らかのプログラムを使用してパスワードを入手し、
パスワードを固定してIDの文字列を変化させながらログインを試みます。
例えば4桁数字のパスワードの場合、「0000」から「9999」の1万通りです。
「1234」とか「7777」など覚えやすいパスワードを利用している方がいるかもしれません。
そういったパスワードに狙いを定めてIDを総当たりで変化させてログインを試みる攻撃がリバースブルートフォース攻撃です。

おわりに

リーダー橋本氏

おそらくキャリア側も銀行側もそれぞれのサービスとしては問題なかったのかもしれません。
サービス同士の連携が発生した際にセキュリティホールがあることを誰も気がつかなかった、
意識を向けなかったことが大きなニュースにつながってしまいました。
私たちもセキュリティ意識を高く持ってサービスを提供していきたいと思っております。

一覧に戻る
ゆりちゃん

技術開発推進部ゆりちゃんからのお願い顔マークを押して、技術ブログの
感想をお聞かせください^^