なんか適当に書くブログのようなもの

意味のないことをつらつらと

利便性のためにセキュリティを下げるって、どこぞのセブ〇ペイかな?

2020-09-11 08:02:47 | 日記
結構大騒ぎになってきたドコモ口座事件。

メインで使っているMUFJはドコモ口座対象でないので問題なさそうだが、
三井住友はドコモ口座対象なので、念のため確認したが不正な出金は無かった。

それにしても、銀行のセキュリティって未だに数字4桁とか甘々だな。
今回の犯行手口は未だに判明していないけど、

①振込で受取人口座名義を確認(たぶん無制限に可能)。
②口座番号と名義の一覧を作る。
③②を使って適当な4桁数字でチャレンジ

って手法だと、例えば③が「5回失敗でロック」って運用であっても、
4桁の数字だと1000パターンしかないから、
1000/5=200なので②で200件集めていれば突破出来ちゃうんだよね。

具体的には、
①ドコモ口座対象の銀行の適当な店舗の口座番号0000001の人に振り込むふりをして名義を取得。
②口座番号0000001+①でゲットした名義+暗証番号0000を試す
③口座番号0000001+①でゲットした名義+暗証番号0001を試す
④口座番号0000001+①でゲットした名義+暗証番号0002を試す
⑤口座番号0000001+①でゲットした名義+暗証番号0003を試す
⑥口座番号0000001+①でゲットした名義+暗証番号0004を試す
⑦口座番号0000001がロックされる
⑧ドコモ口座対象の銀行の適当な店舗の口座番号0000002の人に振り込むふりをして名義を取得。
⑨口座番号0000002+⑦でゲットした名義+暗証番号0000を試す
ってやっていけば、たぶんそのうち通る。
暗証番号は0000とかではなく、統計的にもっと使われていそうな番号でチャレンジしたら
精度はもっと上がる。

もちろん人力でやっていたらそこそこ大変だが、全部ネット上で出来るから
プログラムを組めば後は放置出来る。
つか、違法なんでやらないけどたぶん自分でも作れる。

いい加減、4桁数字の暗証番号ってどうにかならんもんなんかねぇ。