産経Westの2月21日記事に、ネットバンキングの不正ログイン事件が載っていました。
www.sankei.com
知人のネット口座から預金30万円を不正に送金した事件。そう書いてしまうと大した事件ではないかも知れません。事実産経の記事もそう大きなものではありませんが、ID/パスワード管理という視点でふと気になりました。
高須賀容疑者らは同様の手口で計150万円を詐取。送金先が休眠口座だったことから金融機関が不審に思い、県警に通報し発覚した。被害男性は職場の机に口座のIDなどを書いたメモを置いていたという。
(産経West記事より引用)
記事では明確に付箋紙と書いている訳ではないのですが、よくある付箋紙にID・パスワードを貼って置いた所を狙われたんだろうな・・・と思いますが、『IDなど』にパスワードが含まれていたかも知れませんが、だとすると記事に書かれると思いますし、まぁ普通はパスワードまでは書かない・・であろうと思います。
ではパスワードはどうやって割り出したのかな?と疑問が出てきます。
犯人(の内1人)は、元同僚という事ですので、普段の会話などを通じたソーシャルエンジニアリングでパスワードにたどり着いた、あるいは容易に類推できるパスワードだったのかと思います。
ID/パスワード管理については、内部からの犯行以外は実は紙媒体は強い管理手法であるとも言われています。IPAの古い記事にも、パスワード管理方法の1つとして紙管理法が載っています。(未だに有効な管理手法だと思います)この紙管理の前提は、使いまわしパスワードではなく、容易に類推できないパスワードである事ではありますが。
■参考:IPA パスワードリスト攻撃による不正ログイン防止に向けた呼びかけ(2014年9月17日)
もう1つ、この事件を見ていて非常に気になったのは、、、恐らく兵庫県内の金融機関でしょうが、IDとパスワードだけでネットバンキングのログインが出来た事でしょうか。(記事にはOTPトークンを盗んだとの記載がありません)乱数表がまだ残っているかは分かりませんが、今はほとんどの金融機関が認証方式をID/パスワードから、ソフトかハードウェアのOTPトークン(2要素)+(パスワード)認証に切り替えたかと思っていたのですが・・・。
更新履歴
