日本NTT電子支付服務傳資安漏洞 已18家銀行停止註冊

日本行動通訊龍頭 NTT DoCoMo(9437-JP) 所提供的電子支付服務「DoCoMo 帳戶」(DoCoMo Kouza) 發生不當使用問題，目前雪球越滾越大，截至日本時間週三 (9 日) 下午 1 點半 為止，日本已經有 18 家銀行宣布停止用戶註冊。

有用戶的銀行存款遭到不明人士提領，在目前還不確定銀行系統遭受什麼樣的方式入侵，但是有資安專家指出「逆向蠻力攻擊」(Reverse Brute Force Attack) 是可能的入侵手法。

該項攻擊手法在密碼部分固定不變，不斷的改變使用者 ID 來嘗試登入。一般的安全機制是在密碼部分失敗一定次數後，帳戶就會被系統鎖住，不過在使用者 ID 部分就通常沒有次數限制。

還有用戶也可能被偽裝成銀行 E-Mail 或網頁的「網路釣魚」(Phishing) 方式所騙，在無意之間洩漏了自己的帳號、密碼。還有近來透過簡訊傳送詐騙網路連結的案例也不斷增加。

這次發生問題的多屬地方銀行，在資安方面的把關也似乎不夠嚴謹。有部分銀行只要有銀行帳號、名義，以及 4 位數密碼就能註冊使用。NTT DoCoMo 方面也懷疑，可能有用戶的銀行帳號及金融卡密碼資料外流，而導致相關的問題發生。

而在資安管理方面較為嚴謹的日本大型行庫，截至目前為止還未傳出類似災情。這可能也與一次性密碼 (OTP) 及雙重認證方式的採用有關。

這回實際在銀行帳戶發生不當使用情事的有七十七銀行、中國銀行、大垣共立銀行等 3 家日本當地的地方性銀行，在目前都已經停止新用戶的註冊作業。而其他採取預防性停止措施的行庫有永旺銀行、池田泉州銀行等共 15 家銀行。