何故楽天モバイルかと言えば、二要素認証がないこと、本人確認をスキップできることが犯人にとってのメリットだったのではないだろうか。
IDとパスワードの繰り返し入力に関しても、保護が働いていないことになる。
同一IPアドレスから多数のID入力やパスワード入力があった場合に、そのIPアドレスやIPアドレス所有者からのアタックに対して保護を行う仕組みがあり、多くのサイトでは導入されている。
こうすることによって機械的なチャレンジから守ることが出来る訳で、逆にそれを許してしまうと総当たり攻撃が可能になる。
総当たり攻撃の保護くらいは出来ているとは思うが、IDを変えながらの入力だとかいくつかのIPアドレスを使いながら一定の時間を空けてのアタックなど、傾向の判定が出来ていなかったのではないのか。
二要素認証に関して楽天は、パスワードを二重にしているから必要ないと言っている。
しかしそのパスワードが漏れれば二重だろうが三重だろうが意味がない。
楽天IDに関しては以前からセキュリティの甘さが言われているが、未だに対策は講じられていない。
本人確認のスキップを楽天は、他のサービスで本人確認しているから必要がないという。
これは従来は認められなかったのだが、献金の威力とでも言えば良いのかな、自民党と仲良しなので口利きでもあったのだろう。
ドコモやauは2回線目の契約でも、新たに本人確認を行う必要がある。
楽天IDを乗っ取る事が出来るのだから、クレジットカード情報も取得できる。
でもそれでは足が付きやすいので手っ取り早く稼ぐより地道に稼ごうと、回線契約の転売にしたのかな。
不正契約だろうが何だろうが、楽天としてみれば純増である。
ソフトバンクはキャリア決済(携帯電話合算払い)に際して、パスワード入力を廃した時期がある。
ソフトバンクは、都度4桁の暗証番号を入力するのは面倒なことであり、利用者の利便性を考えたと主張した。
親の携帯電話を触ってこどもがカネを使ってしまうことも、売上増の一つだと考えたわけだ。
昨年からの楽天ポイント泥棒も、同じようなアタックによる乗っ取りか。
これもクレジットカードの不正利用よりも足が付きにくい訳で、IDを突破できてしまえば何でも出来る。
Business Journalの記事でも、セキュリティが甘いので楽天モバイルが狙われるとされる。
NTTドコモ、ソフトバンク、KDDIなどもeSIMの仕組みを導入しているが、同様の事例は他のキャリアでも起こり得るものなのか。
「起こり得ますが、楽天グループが提供する各種サービスを利用するために楽天IDを持っている人の数が非常に多いため、IDとパスワードがいろんなところから漏れるリスクが高いという面はあるでしょう。また、eSIMの再発行の手続きが他キャリアと比べるとやや簡素である点も原因としてはあるかもしれません」
コメント