鳥のように高いところからの俯瞰はできませんが、ITのことをちょっと違った視線から

乱数パスワード神話は崩れたのか

»

 先月発生した、スパイウェアを使ったネット銀行を舞台とした不正振込み事件。ITproのニュース(日経コンピュータ2005年7月25日号,16ページより)に「国内ネット銀を狙うスパイウエア 自宅パソコンで乱数パスワード使っても被害」という記事があり、続報がないかとしばらく探していたのだがみつからない。

 上記の記事で私が気になっているのは、この件だ。

なぜ衝撃的かというと、同行が「乱数パスワード」の仕組みを導入しているからだ。顧客に「IDカード」と呼ぶ、16個の数を記載したカードを送付しておき、利用のたびに、どの数をパスワードにするかを指定する。毎回パスワードが異なるため、一度や二度、キー入力情報や通信データを盗み見られても、不正振り込みにつながる危険性は低いとされていた。

 これが何らかの方法で破られたから、今回の不正振込みが起こったのだ。いくつかの銀行では、この乱数パスワードを採用している。私もジャパンネットと東京三菱の2行のIDカードを持っている。この乱数表がどのような基準で作成され配られているかはわからないが、もちろん個々人で異なるものが配布されている。たしかに、キーロガーだけで簡単に破られるとも思えない仕組みなのだ。

 IDカードそのものが、出回っているのだろうか? ジャパンネットには、IDカードを紛失したり失効した際に再発行の手続きがある。手続き後4日でIDカードを発送する。この仕組みを使って、取得したパスワードで住所変更し新たなIDカードを手に入れたのだろうか。なんらか登録情報変更手続きをおこなうと、ジャパンネットの場合には登録メールアドレスに通知されるので、そのあたりも書き換えなければ本人が気づく可能性は高い。

 乱数パスワードの仕組み自体にセキュリティホールが存在しないのであれば、クラッキングにはかなり手の込んだ方法が必要そうだ。どなたか、この乱数パスワードのクラック方法について思い当たるところがあるようでしたら、ぜひともご教授いただきたい。

Comment(8)

コメント

通りすがり

乱数パスワードの入力間違いは何回まで許されるのでしょうか?

乱数2つ入力で認証成功と仮定します。また、攻撃者は(ロギング結果から)乱数表のうちの 2 つの値を既知とします。

乱数2つを取り出す組み合わせは
16C2 = 120
通りしかありません。3 連続間違いでアカウントロックだとして、それまでに攻撃者が入力に成功する確率は
1 - (119/120)^3 = 0.02479...
で約 2.5 %、すなわちターゲットが 40 人いれば、1 人はこの乱数が破られてしまう計算になります。

実際、どのぐらいの人がキーロガーによる被害を受けているかは知りませんが、これぐらいの確率であれば「運悪く」パスワードが破られてしまう人がいるかもしれません。乱数表のサイズが、十分ではないと思います。

実際は4つ入力なのでもうちょっと厳しいですね。今回の手口だと、かなりターゲットを絞り込んでスパイウェアを送り込んでいるようではあります。もうちょっと情報収集しないと推測もできないですね。

ひで

ターゲットとなるPCに表示された画像を定期的にハードコピーして、送信しているのでは?
またはリアルタイムで見ているのかも?

とおりすがり

乱数表の認証は個人側の認証でサーバー側の認証までは行いません。
もし乱数表の入力表示が出力されるフィッシングサイトが作られた場合に乱数表の認証ではそのサイトが本物かどうか見抜けないからという事ではないでしょうか。
技術的には2waySSL認証によってサーバーの成りすましも防ぐことができます。
もし乱数表だけの認証である場合はそのサイトが本物かどうかを毎回確かめた方がいいかもしれません。

livedoor アグリゲーションなどの口座一括管理サービスでは、乱数表の数字をすべて入力させます。東京三菱であれば 5×5=25 個の数字を入力させ、確認用にもう一度入力させます。
この入力がすべて記録されれば、悪用される可能性はあるでしょう。

通りすがり

乱数表のどこを入力させるかを促す表示は画像(ファイル名はランダム)だったのでしょうか?
そうでなければ、画面のハードコピーなんて必要なく、ブラウザに表示している復号済みHTMLさえ取得しておけば十分ですね。

ちなみに乱数 4 つなら、運悪く当たる確率は 607 分の 1。でも乱数4つ入力に対したった 3 連続間違いでアカウントロックだときつそうなので、5 連続とするとそれでも 364 分の 1。これぐらいの確率だと、今回は違うかな?

mu

乱数表(カード)自体を抜かれてコピーされたら終わりですよね

コメントを投稿する