総当たり攻撃と
防御が難しい「逆総当たり攻撃」

 不正出金犯がいかにして口座番号と暗証番号を入手したかはまだ明らかではない。被害者によると、電話番号や車のナンバーなど容易に推定されうる番号は使っていなかったという。では、1から順にすべての数字を試してみる総当たり攻撃の可能性はあるのだろうか。

 一般に銀行では暗証番号を連続して数回間違えると動作がロックし総当たり攻撃を防ぐ仕組みが導入されている(FISCという金融機関向けのセキュリティルールで定められている)。銀行のATMで暗証番号を連続して間違えるとカードが使えなくなるのもこの仕組みが働いているからだ。

 これはキャッシュカードのように攻撃者がIDを指定できない場合はよいが、今回のネット口振のように口座番号が入力できるシステムである場合、同一の暗証番号に対して複数の口座を連続して試す「逆総当たり攻撃」が可能で、これに対する防御は難しい。もし逆総当たりで銀行口座を凍結させてしまうと、凍結の仕組み自体を悪用してオンラインバンキングを機能不全に陥れることができてしまうからだ。そこでGoogleなどのネット大手ではAIを活用した振る舞い検知で逆総当たり攻撃を防いでいるが、そうした仕組みを地方銀行が導入するのは時間がかかるだろう。