Share this page!

Hiromitsu Takagi Profile picture
Twitter logo
8 Sep, 8 tweets, 3 min read
いや、ですから、氏名は銀行サービス(振込機能)で任意の口座番号で検索できるんですってば。有効な口座番号も同じ方法で特定できる。暗証番号はリバースブルートフォース。
businessinsider.jp/post-219874
「どこかから漏洩した口座番号、キャッシュカードの暗証番号といった一部の情報が悪用され」
これは昨日、ある銀行から他の銀行へ振込をしようとして、任意の口座番号を入れた場合に、存在しない口座である旨が表示された後、5回ほど口座番号を1ずつ増やして再度行ったところ、「振込先口座確認機能が閉鎖中」となった様子。この閉鎖が何日続くのか。例えば24時間で解除されるとすると…
…24時間で解除されるとすると、1日5個試せるとして1年で1825個試せる。100アカウント同時並行で使えば18万個。有効な口座番号の算出方法が事前にわかっていれば、1年かけて18万人分弱(生きてない口座番号もあるので)の氏名・口座番号の組みを取得できる。そのうち、リバースブルートフォースで…
…リバースブルートフォースで任意の暗証番号がヒットする確率が3333分の1なので、54個程度が見つかる。ヒット率はもっと高い(日付とか5963、4649とかに絞れば)と考えられ、ざっくり500分の1程度と推定すると、360個程度が見つかる計算になる。こうしたことは何年もかけて進行することが考えられる。
有効な口座番号の算出方法がわかっている場合、連続して存在する口座への振込を(検索を)行えるだろうから、5回よりもっと多く一度に試せるかもしれない。有効な口座番号のうち存在しない口座の割合が10%だとすると、50人分くらい一度に取得できるのではないか。
古い資料を探したところ、2006年の時点ではこういうのがあった。「振込を行わず…連続して行うと」とあるので、振込を行えば制限なく継続できるということか。今はどうなのか。
これは、2006年に日本銀行金融研究所で開催された主要銀行向け勉強会のプレゼンで使用したスライドから。この頃に問題は周知されたはずだったのだが。
さらに遡ること4年、2002年2月28日の日本銀行金融研究所第4回情報セキュリティシンポジウムで講演した際のスライド「インターネットバンキングに迫り来る現実的脅威」から。
web.archive.org/web/2003042118…

とっくに周知されたいたはずが、いつのまにかなし崩しになっていたようで。金融庁は何やってるの?

• • •

Missing some Tweet in this thread? You can try to force a refresh
 

Keep Current with Hiromitsu Takagi

Hiromitsu Takagi Profile picture

Stay in touch and get notified when new unrolls are available from this author!

Read all threads

This Thread may be Removed Anytime!

PDF

Twitter may remove this content at anytime! Save it as PDF for later use!

Try unrolling a thread yourself!

how to unroll video
  1. Follow @ThreadReaderApp to mention us!

  2. From a Twitter thread mention us with a keyword "unroll"
@threadreaderapp unroll

Practice here first or read more on our help page!

More from @HiromitsuTakagi

Hiromitsu Takagi Profile picture
9 Sep
この指摘が的を射ていると思った。そもそも口座振替って誰にでも振替先となる(自動引き落しさせる)のを認めるものじゃないのでは?公共料金だったりクレジットカードだったり、学会の年会費にも使えたりするが、それなりの組織を介した口座振替依頼書しか受け付けないはず。
ドコモ口座の場合、ドコモという一般に信頼に足る組織を介しての口座振替依頼であるから、許されるかのようだけども、その実態は、任意に作成可能なdアカウントに対して口座振替しているようなもので、いわば任意の個人に対する口座振替のような状態になっていたと言えるのではないか。もっとも……
…それを言えば、クレジットカードの自動引き落としとどこが違うのか同じじゃないのか?とも感じられるが、どこかが違う。クレジットカードの場合は、利用者本人がカード会社の顧客として確立していて(つまり「本人確認」され)、その依頼によって口座振替依頼をするが、ドコモ口座はそうじゃない。
Read 10 tweets
Hiromitsu Takagi Profile picture
22 Apr 18
いや時代とか関係ないんだけど。なんでそう思えるんだ? 医師だって「大量に正当業務行為として」傷害罪相当行為を違法性阻却の下で手術その他を行なっているのに誰も疑問を挟まない。(正当な医療行為から逸脱すれば即座に医師個人に直罰がふりかかる。)
そろそろこの疑問に答えておかねばなるまい。

#ブロッキング0422
「機械による選別的遮断なんだから秘密を侵害していない」との素朴な感覚は、個人情報保護法における保護の法的利益について「人に知られなければ問題ない」とする素朴な感覚と同根。平成15年法以来、安全管理措置のみが法目的であるかのように扱われてきた迷走ぶりと通ずる。
Read 23 tweets

Did Thread Reader help you today?

Support us! We are indie developers!

This site is made by just two indie developers on a laptop doing marketing, support and development! Read more about the story.

Become a Premium Member ($3/month or $30/year) and get exclusive features!

Become Premium

Too expensive? Make a small donation by buying us coffee ($5) or help with server cost ($10)

Donate via Paypal Become our Patreon

Thank you for your support!

Follow Us on Twitter!

Like this author's thread?

Get email notifications when new thread is out from this Author!

Check out other threads from this Author!

Read all threads by @HiromitsuTakagi