• ID : 25132
  • 公開日時 : 2020/09/18 00:00
  • 印刷

≪別ルートでの裏取りが大事≫ | 2020年09月18日(金)

≪beat★ナビ≫は、セキュリティーに関するニュースやトレンド情報、
beatの機能紹介など、有益な情報を提供するメールマガジンです。
※本メールは、beat-box責任者様宛に配信しております。
カテゴリー : 

回答

 
━ ≪beat★ナビ≫ ━━━━━━━━━━━━━━━━━━━2020.09.18配信
    別ルートでの裏取りが大事
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 
富士ゼロックス≪beat★ナビ≫担当の加賀です。
 
ドコモ口座と連携可能な銀行に、口座を持っているすべての人が、
被害に遭う可能性がありました。
 
┏┓ CNET Japan
┗□…
     「『ドコモ口座』事件で浮き彫りになった新たな課題
       --ドコモと銀行、双方にあった「隙」とは」
     https://japan.cnet.com/article/35159521/
 
口座情報の具体的な入手方法は、まだ不明とのことですが、
「リバースブルートフォース攻撃」によるものという説もあるようです。
 
"連携できれば誰の口座でも構わない"というところが、
通り魔のようで恐いですね。
 

すでに、この事件に"便乗した"迷惑メールも出回っているようです。
 
 トビラシステムズ株式会社
 「『ドコモ口座』の不正預金引き出しに関する迷惑メールにご注意ください」
 https://tobilaphone.com/news/alert/p757/
 

・‥…━━━━━━━━━━━━━━━━━━━━━━━━━━━━◆◇◇◆
  ◆目次◆
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 
今回は下記3点です。
 
メインコンテンツは、
「ドコモ口座」の問題を取り上げ、
複数の要素で認証することの重要性について
のご案内です。
 
    [1] メインコンテンツ
    [2] Tips
    [3] 編集後記
 

・‥…━━━━━━━━━━━━━━━━━━━━━━━━━━━━◆◇◇◆
  ◆1.メインコンテンツ
      「別ルートでの裏取りが大事」
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 
「ドコモ口座」事件の攻撃者は、下記のような方法で口座情報を入手し、
作成したリストを持っていたのかもしれません。
 
  口座番号:過去の情報漏洩や不正アクセスで
  名前・生年月日:SNS等の公開情報も利用
 
ドコモ口座と連携させるためには「4桁の暗証番号」が必要ですが、
ここで「リバースブルートフォース攻撃」を利用した可能性があります。
 
例えば、暗証番号「1234」を使って、
リストにある口座情報すべてについて、A口座で試す、B口座で試す・・・と、
機械的に試していきます。
 
┏┓ サイバーセキュリティ.com
┗□…
     「リバースブルートフォース攻撃とは?
       仕組みや危険性、対策について徹底解説」
     https://cybersecurity-jp.com/column/40622
 

今回、ドコモ口座と連携可能な全ての銀行で、
被害が確認された訳ではないようです。
 
ワンタイムパスワードなど、口座番号や暗証番号以外の要素も使って、
本人確認する"2要素認証"を実施していた銀行での被害は、
いまのところ無いようです。
 
 
 

今月に入り「Emotet」に関するお問合せが急増してることについては、
公式サイトでのお知らせや、メールでもご案内していました。

 FAQ ID:18968
 「Emotet」かもしれない不審なメールの添付ファイルを開いてしまった。
 どうすればいいですか。

 
最初の頃、Emotetは、メールの件名や本文の日本語が変でしたが、
自然な日本語で、内容も業務上無視できないようなものに"進化"しました。
 
次には、不正なマクロを仕込んだWordの添付ファイルだったものが、
URLのリンクになりました。
 
今度は「パスワード付きzipファイル」に切り替わってきました。
 
┏┓ ITmedia エンタープライズ
┗□…
     「猛威を振るう『Emotet』、いま私たちに何ができるのか」
     https://www.itmedia.co.jp/enterprise/articles/2009/08/news045.html
 

添付されたzipファイルのパスワードが、そのメールの本文に書いてあるので、
セキュリティー的には、全く何の意味もありません。
 
しかし、パスワードで保護されていると、
なんとなく信用できるもののような気がしてしまいます。
 
心理的な盲点をつく巧妙なものになっています。
 
メールは、上司や同僚、取引先を偽装して送られてきます。
初見で怪しいと気づくのはかなり難しくなっています。
 
実際の件名や本文の事例を紹介しているサイトがありますので、
内容を確認しておくと良いと思います。
 
┏┓ sugimuのブログ
┗□…
     「マルウェア『Emotet』の日本語メール集」
     https://sugitamuchi.hatenablog.com/entry/2020/09/05/234826
 
「ばらまきメール回収の会」のメンバーの方のブログです。
 https://xtech.nikkei.com/atcl/nxt/column/18/00138/072700596/
 

・‥…━━━━━━━━━━━━━━━━━━━━━━━━━━━━◆◇◇◆
  ◆2.Tips
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 
パスワードの文字数について、
フィッシング対策協議会の下記報告書によると、
 
 「インターネットサービス利用者に対する
  『認証方法』に関するアンケート調査結果」
   https://www.antiphishing.jp/news/info/20200909.html
 
8文字以下で安全と思っている利用者が 53.2%
半数以上となったとのことです。
 

┏┓ Hive Systems
┗□…
     「Are Your Passwords in the Green?」
     https://www.hivesystems.io/blog/are-your-passwords-in-the-green
 
上記の表は「ブルートフォース攻撃」を使って、総当たりで解析した場合、
パスワードの文字数や文字の種類の数によって、
解読までの時間の目安がまとめられています。
 

8文字では、文字の種類を最大にしても、8時間で解読されてしまいます。
 
報告書にもあるように、最低でも10文字で、
数字と、アルファベットの大文字、小文字、記号を組み合わせた
パスワードにしておくのが良さそうです。
 
パスワード管理に関するTipsは、下記のbeat★ナビでもご紹介しています。
 
ポイントは、「定期変更」よりも、
「複雑化」「サイトごと」です。
 
 
 
━━━━━━━━━━━━━━━━━━━━
 
FAQを少しご紹介。
 
 
━━━━━━━━━━━━━━━━━━━━
・‥…━━━━━━━━━━━━━━━━━━━━━━━━━━━━◆◇◇◆
  ◆3.編集後記
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 
「beat リモートアクセス」をiPhoneやiPadで使っているお客様、
OSのアップデートは、もうしばらくお待ちください!
 
  【ITmedia Mobile】
   「iOS 14」「iPadOS 14」「watchOS 7」が9月17日(日本時間)配信開始
    https://www.itmedia.co.jp/mobile/articles/2009/16/news066.html
 
現在、新しいOS上でのbeat-access LEの動作を、
鋭意検証中です。
 
動作確認が完了しましたら、Web等でお知らせいたします。
 
明確な期日はご案内できませんが、
「iOS 13」「iPadOS 13」のリリース時は、
一ヶ月ほどで正式対応をご案内できました。
 
筆者も人柱となって動作確認していますので、
ご理解とご協力の程、宜しくお願い致します。
 

最後までお読みいただき、ありがとうございました。
次回は2020年10月16日(金)に配信予定です。
(カガ)

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━