Ccmmutty logo
Commutty IT
1
3 min read

某決済サービスで学ぶブルートフォース攻撃【Part1】

https://cdn.magicode.io/media/notebox/5077344c-3548-4149-89ff-ef3c8d5263be.jpeg

ことの発端

Pという後払いサービスがあるそうです。電話番号とメールアドレスだけで、会員登録もせずにPという神会社が支払いを月末まで肩代わりしてくれるサービスなんだそうです。 私は基本借金、前借り全否定派なので、そんなサービスに興味もなかったし、存在もしりませんでした。神サービス(皮肉)ですね! 「amazonの決済の時に聞かれるよ」と書いてある記事があり、あーたしかにそんなんあったかも、なんて思ってました。
ある日Pから「認証番号は1234です」というようなSMS(ショートメッセージ)が携帯電話に届きました。そんなサービスに登録した覚えが全くないのでいつもの詐欺迷惑メールだろうと思って電話番号も調べずシカトしたのですが、数週間後、「3月の請求が確定しました」というSMSが。あわてて電話番号をしらべると、Pカスタマーサービスだったのでした。

ブルートフォース攻撃 (推察)

ではどうして私の携帯電話番号が第三者に知れてしまったのでしょうか?これのこたえは簡単です。あてずっぽうで選ばれてしまっただけです。たかだか070/080/090から始まる8桁の番号です。てきとうに当たるまでいれれば10個にいっこくらいは使用中の電話番号にあたるでしょう。あてずっぽうで当たるまで数字をいれていって攻略する方法をブルートフォース(力ずく)攻撃と業界ではいうみたいです。私は業界の人ではないので聞き齧った知識ですが。
さて、メールアドレスは簡単に捨てあどが作れるので、電話番号さえわかってしまえばこっちの物です。後は携帯電話にSMS経由で届く4桁の数字をいれるだけです。これもまたあてずっぽうで新しい3回くらいまではトライできると思います(Pのサービスを使ったことがないのでPが3回かはわからないですが、たいていのサービスでは3回まちがえると新しい番号が携帯に届きます)。なので、2回はバレずに試せます。
認証コードは4桁なので、電話番号がバレてしまえば1万分の1かけること2=1/5000の確率であたります。宝くじの1等が1000万分の1なので2000倍高いですね!まぁ私は今回架空(?)請求被害にあったのですが、まぁ宝くじにあたったような物ですね。

攻撃にかかる時間と予想される儲け (数学)

さて、ここからは数学的推論(フェルミ推定)みたいなおまけです。実際はもっと効率がいいかもしれませんが、P****のサーバーとの通信などもあるので、だいたい1秒に1つ電話番号+二回の承認ができるとしましょう。 前述したように、1回で通る確率が1/50001/5000で、さらに任意の8桁(1億通り)のうち使用状況が大体1000万件程度なので、ためした電話番号が1/10として、3月11日あたりからやっていて、今も続いていると思うので、だいたい攻撃の期間を4週間とすると、認証が通る期待値は
150000(4×7×24×60×60)48\frac{1}{50000}\left(4\times 7 \times 24\times 60\times 60\right) \approx 48
また、1件も当たらない確率は
(1150000)4×7×24×60×6011022\left( 1-\frac{1}{50000}\right)^{4\times 7 \times 24\times 60\times 60} \approx 1-10^{-22}
となります。あれだけがんばってだいたい50件ですね。まぁ実際は名簿やなんかを元にやっていて、並列化でもしてもっと効率はいいでしょうね、でもしょぼい。
私に来た請求が5000円程度だったので、換金率が80%として20万程度の儲けですね。しょっぼおおおおおおおお!!!!!!!

被害にあわないために

被害にあわないために私達ができる事は全くないです。あてずっぽうで電話番号入力されて、しかもしれを担保に借金までされて、最悪ですね。対応策としてはこんなザルサービスを世に出させない事ですが、個人では不可能です。この件に関しては私はP****も加害者側だと思っています。

おわりに

普通、銀行やそれに準ずるサービスの認証コードは数字のみなら6桁以上です(1000万分の1)。さらに、本人確認も徹底している事でしょう。どうしてこんなザルシステムを作ってしまって、しかもそれで良いとおもって世にだしてしまったのか。謎ですね。こんなの標的にしてくださいっていってるような物じゃないですか! これに味をしめてこの件の犯人は、SQLinjectionとかもっと高度なハッキング計画をしてそうな気がしますね。

Discussion

コメントにはログインが必要です。