━ ≪beat★ナビ≫ ━━━━━━━━━━━━━━━━━━━2020.09.18配信
別ルートでの裏取りが大事
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
富士ゼロックス≪beat★ナビ≫担当の加賀です。
ドコモ口座と連携可能な銀行に、口座を持っているすべての人が、
被害に遭う可能性がありました。
口座情報の具体的な入手方法は、まだ不明とのことですが、
「リバースブルートフォース攻撃」によるものという説もあるようです。
"連携できれば誰の口座でも構わない"というところが、
通り魔のようで恐いですね。
すでに、この事件に"便乗した"迷惑メールも出回っているようです。
トビラシステムズ株式会社
・‥…━━━━━━━━━━━━━━━━━━━━━━━━━━━━◆◇◇◆
◆目次◆
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
今回は下記3点です。
メインコンテンツは、
「ドコモ口座」の問題を取り上げ、
複数の要素で認証することの重要性について
のご案内です。
[1] メインコンテンツ
[2] Tips
[3] 編集後記
・‥…━━━━━━━━━━━━━━━━━━━━━━━━━━━━◆◇◇◆
◆1.メインコンテンツ
「別ルートでの裏取りが大事」
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
「ドコモ口座」事件の攻撃者は、下記のような方法で口座情報を入手し、
作成したリストを持っていたのかもしれません。
口座番号:過去の情報漏洩や不正アクセスで
名前・生年月日:SNS等の公開情報も利用
ドコモ口座と連携させるためには「4桁の暗証番号」が必要ですが、
ここで「リバースブルートフォース攻撃」を利用した可能性があります。
例えば、暗証番号「1234」を使って、
リストにある口座情報すべてについて、A口座で試す、B口座で試す・・・と、
機械的に試していきます。
今回、ドコモ口座と連携可能な全ての銀行で、
被害が確認された訳ではないようです。
ワンタイムパスワードなど、口座番号や暗証番号以外の要素も使って、
本人確認する"2要素認証"を実施していた銀行での被害は、
いまのところ無いようです。
今月に入り「Emotet」に関するお問合せが急増してることについては、
公式サイトでのお知らせや、メールでもご案内していました。
次には、不正なマクロを仕込んだWordの添付ファイルだったものが、
URLのリンクになりました。
今度は「パスワード付きzipファイル」に切り替わってきました。
添付されたzipファイルのパスワードが、そのメールの本文に書いてあるので、
セキュリティー的には、全く何の意味もありません。
しかし、パスワードで保護されていると、
なんとなく信用できるもののような気がしてしまいます。
心理的な盲点をつく巧妙なものになっています。
メールは、上司や同僚、取引先を偽装して送られてきます。
初見で怪しいと気づくのはかなり難しくなっています。
実際の件名や本文の事例を紹介しているサイトがありますので、
内容を確認しておくと良いと思います。
・‥…━━━━━━━━━━━━━━━━━━━━━━━━━━━━◆◇◇◆
◆2.Tips
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
パスワードの文字数について、
フィッシング対策協議会の下記報告書によると、
8文字以下で安全と思っている利用者が 53.2%
半数以上となったとのことです。
上記の表は「ブルートフォース攻撃」を使って、総当たりで解析した場合、
パスワードの文字数や文字の種類の数によって、
解読までの時間の目安がまとめられています。
8文字では、文字の種類を最大にしても、8時間で解読されてしまいます。
報告書にもあるように、最低でも10文字で、
数字と、アルファベットの大文字、小文字、記号を組み合わせた
パスワードにしておくのが良さそうです。
パスワード管理に関するTipsは、下記のbeat★ナビでもご紹介しています。
ポイントは、「定期変更」よりも、
「複雑化」「サイトごと」です。
━━━━━━━━━━━━━━━━━━━━
FAQを少しご紹介。
━━━━━━━━━━━━━━━━━━━━
・‥…━━━━━━━━━━━━━━━━━━━━━━━━━━━━◆◇◇◆
◆3.編集後記
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
「beat リモートアクセス」をiPhoneやiPadで使っているお客様、
OSのアップデートは、もうしばらくお待ちください!
現在、新しいOS上でのbeat-access LEの動作を、
鋭意検証中です。
動作確認が完了しましたら、Web等でお知らせいたします。
明確な期日はご案内できませんが、
「iOS 13」「iPadOS 13」のリリース時は、
一ヶ月ほどで正式対応をご案内できました。
筆者も人柱となって動作確認していますので、
ご理解とご協力の程、宜しくお願い致します。
最後までお読みいただき、ありがとうございました。
次回は2020年10月16日(金)に配信予定です。
(カガ)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━