ネット証券に不正アクセス、手法はブルートフォース
2007年3月15日(木曜日)
ネット証券に不正アクセス、手法はブルートフォース
ジェット証券 (www.jetsnet.co.jp)のサイトに「当社WEBサイトへの不正アクセスに関するお詫び (www.jetsnet.co.jp)」というプレスリリースが出ていますが、この犯人が逮捕されたようですね。
西野容疑者は同証券の会員で、このHPに接続する手間を省くため、自動的に接続できるプログラムを自分で開発。これを悪用して、ほかの会員のIDを少なくとも26人分入手したうえ、うち5人の取引状況などを閲覧していた。「プログラムがうまく作動するか確認したかった」と供述しているという。
以上、YOMIURI ONLINEのネット証券のHPに不正接続、日立製作所SEを逮捕 より
自動的に接続できるプログラムを開発? 何なのでしょう……。
西野容疑者はIDやパスワードを機械的に検索するプログラムを作成していたといい、コンピューターにログインできるか性能を試す実験をしていたという。
以上、asahi.comの日立製作所SEを逮捕 ネット証券に不正アクセス容疑 より
機械的に検索というとブルートフォース?
調べによると、西野容疑者は2006年11月14日、15日の両日、ジェット証券の顧客IDとパスワードを盗み出す目的で、自身が作ったプログラムを使い、同社証券システムのサーバーに、IDとパスワードの組み合わせを総当りで自動入力させた。
以上、ITproのネット証券に不正アクセスの容疑で日立社員を逮捕 より
……ブルートフォースで確定ですね。ジェット証券のサイトを見るとアクセシビリティもユーザビリティもボロボロのようなので、接続するプログラムを作る気持ちは何となく分かる気がしますが、どう考えてもブルートフォース攻撃できるような機能は必要ないでしょうに。
しかし手法がブルートフォースだとすると、プレスリリースのこれは……。
3.再発防止策
当社におきましては法令・規程等に則り、個人情報保護のための安全管理等の施策を行っておりましたが、更に、不正アクセスに対する監視機能及びログイン時におけるセキュリティ強化等を取進めるなど再発防止のため最大限の努力に努めてまいります。
以上、当社WEBサイトへの不正アクセスに関するお詫び より
これ、再発防止策として適切なのですかね。「ログイン時におけるセキュリティ強化等」って何なのでしょう……。
- 「ネット証券に不正アクセス、手法はブルートフォース」へのコメント (2件)
- 前(古い): もじぴったんDS買った
- 次(新しい): ASAHIネットパスワードの罠
