令和4年度 春季試験 午後Ⅰ 問3 設問4 (2)

すえさん  
(No.1)
はじめまして。
令和4年度 春季試験 午後Ⅰ 問3 設問4 (2) 「攻撃者はどのようにして他人の銀行口座との紐づけを成功させるか」について質問させてください。

解答例では、「すでに漏洩した口座番号と暗証番号を使う」「だまして聞き出した口座番号と暗証番号を使う」となっていますが、

・名前もわかる必要があるのでは?
・(5回の制限があるとはいえ)ブルートフォースはできないのか?
・リバースブルートフォースはできないのか?

という点が疑問です。
どなたか教えてくださいませんか?
2023.04.11 11:11
pixさん 
SC ダイヤモンドマイスター
(No.2)
質問は「令和4年度 春季試験 午後Ⅰ 問3 『設問2 (1)』」でしょうか。

少し前に類似の質問に対して解答しています。
併せてご参考にしてください。
[1035] 令和4年春午後1問3設問2(1)と設問3(2)
https://www.sc-siken.com/bbs/1035.html


>・名前もわかる必要があるのでは?
P14 表1 [機能:銀行口座との紐づけ]-[概要](2)より
銀行口座との紐づけに必要な情報は「口座番号」「キャッシュカードの
数字4桁の暗証番号」と読み取れます。
銀行口座の所有者の名前は必要ないでしょう。

>・(5回の制限があるとはいえ)ブルートフォースはできないのか?
5回では単なるログインの試行です。ブルートフォース攻撃は
数千回、数万回の試行を行います。

>・リバースブルートフォースはできないのか?
リバースブルートフォース攻撃が検知されてしまう可能性が考えられます。
よって不適切と考えられます。
2023.04.11 11:33
GinSanaさん 
SC ブロンズマイスター
(No.3)
この投稿は投稿者により削除されました。(2023.04.11 12:05)
2023.04.11 12:05
GinSanaさん 
SC ブロンズマイスター
(No.4)
あんまり本筋とは関係ないですが、この問題を見るとなぜか高木浩光の「テレフォンバンキングからのリバースブルートフォースによる暗証番号漏えいについて三井住友銀行に聞いた」を思い出しますね。
悲しい現実的な話をすると、テレフォンバンキングの場合、リバースブルートフォース攻撃は検知対象外みたいですね。2020年でテレフォンバンキングがあるあたりがすごいですけど。いまはもしかしたら対応しているのかもしれませんが、20年前からまっとうに対応してなかったようなやつが今になって対応しているとも思えないというのが、現実はむなしいですな。
takagi-hiromitsu.jp/diary/20200914.html
質問:……。暗証番号は、キャッシュカードの暗証番号と連動しているんですよね?ダイレクトの利用開始をしていない人。
回答:はいそうです。
質問:そうすると、4桁の数字の暗証番号なので、1万通りしかないわけですけど、
回答:はい。
質問:何回も試されたら当てられちゃうんじゃないですか?
回答:あ、そうですね、回数は開示できませんが、一定の回数を超えてお間違えなられると、サービス自体が使えないようにロックがかかるようになっております。
質問:だけど、口座番号の方もプッシュで入力するんですよね?
回答:左様でございます。
(・・・)
質問:通ったり通らなくてもいいんですけど。例えば5963という暗証番号で、順番に口座番号を試していくと、いつか当たるんじゃないですか。
(・・・)
回答:大変お待たせして申し訳ございません。今お聞きいただいたことは上の者に確認させていただいたんですけども、試しに総当りでされて一度で通ってしまうかもしれないというところには、恐れ入ります、私どもで対応は何もできていないということでございます。
2023.04.11 12:06
すえさん  
(No.5)
早速の回答ありがとうございます。
問題番号を間違えてしまいましたが、その問題です。

名前については、表1の3段目で
(1) 銀行には、 ... アカウント情報の氏名が提供される
(3) (1)で提供された情報と (2)で入力された情報が共に正しければ、 ...
とあったので、口座の名義も確認されるような気がしていて、まだよくわかりません。

家計を一にする他人の口座から落とすかもしれないので、口座名義が確認されない可能性があるのは理解しています。
しかしその場合、「共に正しければ」が何を確認しているのかわからなくなります。

(リバース)ブルートフォースについては、確かにおっしゃる通りでした。
確実な攻撃方法のみを答えるのがよい、ということなのですね。
2023.04.11 12:09
GinSanaさん 
SC ブロンズマイスター
(No.6)
この投稿は投稿者により削除されました。(2023.04.11 12:24)
2023.04.11 12:24
GinSanaさん 
SC ブロンズマイスター
(No.7)
(3) (1)で提供された情報と (2)で入力された情報が共に正しければ、 ...
は、それぞれ(1)はQサービス側として、(2)は銀行側として、ただしければ(存在すれば)、の話ですね。口座番号とパスワードがわかったら個人情報を銀行から公開してくれないと、(1)と(2)をぶつけるのはまあ無理です。当然、銀行がそんなことするわけないですよね。
2023.04.11 12:24
すえさん  
(No.8)
なるほど。「共に正しい」は「一致する」ではなく「それぞれが正しい」と取るべきだったのですね。

うーん、ではアカウントに入れた氏名が「正しい」とは何なのか…使用可能文字の確認とか?
まあそこは深追いしても問題とは関係なさそうですね。

次にこの問題を見たときは解けそうです。お二方ともありがとうございます。
2023.04.11 12:35

返信投稿用フォーム

スパム防止のためにスレッド作成日から30日経過したスレッドへの投稿はできません。

その他のスレッド


Pagetop