「ドコモ口座」不正出金で注目　「リバースブルートフォース攻撃」ってどんなもの？

　七十七銀行、中国銀行、大垣共立銀行の、ドコモの決済サービス「ドコモ口座」を使った不正出金事件を受け（関連記事）、犯人が使ったと考えられる不正ログインのアカウント突破法の1つ「リバースブルートフォース攻撃」が話題になっています。聞きなれない名前ですが、どのような手法なのでしょうか。

　リバースブルートフォース攻撃は、パスワードを固定し、口座番号やユーザーIDをツールなどを使って片端から試していく手法です。

　通常、銀行口座などでは、アカウントにログインする際に複数回パスワードや暗証番号を誤って入力すると、ログインが凍結されます。これは、1つの口座に対し、対応するパスワードなどを片端から試していく「ブルートフォース攻撃」を防ぐための仕組みです。

　リバースブルートフォース攻撃は、ブルートフォース攻撃に対しパスワードを固定するという反対（＝リバース）の操作を行うためこの名がついています。

　パスワードではなく、口座やアカウントをそもそも変えてしまえば、それぞれに対するログインは1回ずつになります。そのため、アカウントが凍結されることもなく、ユーザーが不正ログインに気づきにくい手法と言えます。

　ユーザーがリバースブルートフォース攻撃を防ぐには、英数字を組み合わせた複雑なパスワードを作ることが有効とされていますが、数字のみで構成される銀行口座番号や暗証番号では対策は難しいもの。今回の「ドコモ口座」事件では、サービス側が二要素認証などで認証を強化するなど、根本的な対策が求められるでしょう。