徳丸本の中の人 OWASP Japanアドバイザリーボード EGセキュアソリューションズ代表 IPA非常勤職員 脆弱性診断、WAFの販売・導入、セキュリティコンサルティングをやっています。
https://t.co/F0kveu1nJM

今回のドコモ口座の件で、「犯人がリバースブルートフォースアタックを使った」事って確定なんでしょうか?それとも可能性の話でしょうか?
実際にはパスワード自体が流出していて、物理ATMより足のつきにくいネット経由で実行出来るタイミングを伺っていた可能性もあるのではという言説を少し前に見てなるほどと思ったのですが、
徳丸さん的にはリバースブルートフォース攻撃の可能性が一番高いとお考えですか?

2020/09/15 12:46

この件では取材を多く受けまして、記者の方から「ネットでは『リバースブルートフォース攻撃』ではないかと言われていますが…」という質問を頂きましたが、それに対して「可能性の一つとしてはあり得る」と回答しております。現段階で、どの方法がもっとも可能性が高いかは分かりません。

ギフトサポートする

徳丸 浩

コメント

継続サポートするとコメントを閲覧、投稿することができます。

その他の投稿
仮想マシンを運用せずとも、WSL2でセキュリティの学習には十分ですか⁉︎
みそ汁は赤味噌と白味噌のどっちが好みですか?
逆にどんな質問をしてもらいたいですか?
ツイッター上で、「filetype 社外秘」と検索して閲覧している人がいましたが、これ不正アクセスでは無いのでしょうか?
先生はどのように思われますか?
ログインユーザ名を間違っただけでエラーにするサイトはセキュリティ的にどうなのでしょうか。

例えば、りそなダイレクトはユーザ名を間違えただけで次に進めなくなります。これだと、ユーザ名としてありうるアカウントを推測するのが容易だと思い心配です。

Unixのログインのように「ユーザ名、パスワード両方入れた上で判断」させた方が、クラッキング可能なユーザ名の特定機会は減らせるとおもいます。

もっとも、ログインインタフェースを作ってる人の一部は、このような思想を知ってても良さそうなのですが、実際はそうではない理由は何かあるのでしょうか。