叡智の三猿

三猿×情報セキュリティ×はてな で発信します。

成功率0.02%

f:id:slowtrain2013:20200607173147j:plain

成功率0.02%

キャッシュカードやクレジットカード等、4桁の数字による暗証番号は世界で普及しています。これがどのくらい安全かということについて考えます。

数字4桁ですので、暗証番号のパターンはー

10×10×10×10=10000 通りあります。

ATM等でカードを使って現金を引き出す際、暗証番号の間違いは2回まで許される場合が多いようです(カードを発行している会社により規定回数は異なります)。金融系カードはその性格上、管理基準が厳しく、入力間違いの回数は放置しても、ゼロクリアされません(正しい暗証番号が登録されたらゼロクリアされます)。そして、暗証番号が規定回数誤入力された場合、以後のカード取引を禁止することにしています。

ですので、悪意を持った人間が、他人のカードを不正に入手し、ブルートフォース攻撃を仕掛けて、ATMから暗証番号を破ることに成功する確率はー

f:id:slowtrain2013:20200607163204p:plain
暗証番号が見破られる確率
となります。

ブルートフォース攻撃とは、想定される全てのパターンを試してパスワード(暗証番号)を見破ろうとする強引な攻撃方法です。

ちなみに8月2日に放映されたTBSのドラマ半沢直樹では、証券取引等監視委員会が立ち入り検査をする際、クラウド上の隠しファイルを探すのに6桁のパスワードでブルートフォース攻撃を仕掛けました。ん?、、最強のセキュリティ環境を突破するのに必要なパスワードが6桁の英字のみ・・??いろいろと突っ込みどころがあり面白かったです🤗
www.tbs.co.jp

0.02%の成功率というのは、成功する可能性はほぼゼロということです。これは暗証番号の誤入力の規定回数が低いことに起因してます。

推測されやすい暗証番号

しかし、実際はここまで暗証番号は安全ではありません。なぜなら、この成功率は暗証番号を設定するカードの利用者が、全てのパターンを偏りなく登録していることを前提にしているからです。

Lifehackerの記事では、実際に利用者が登録する暗証番号はかなり偏りがあることを紹介し警告をしています。

f:id:slowtrain2013:20200607165820p:plain
利用者がよく使う暗証番号
この表では、よく使われる暗証番号の上位20個で、26.83%もの比率を占めていることになります。

ですので、攻撃者はたとえば、

  • 一回目:1234
  • 二回目:1111

と、暗証番号を入力すると、なんと16.729%の確率で暗証番号を破ることに成功するのです😱

金融システムの導入・運用における業界標準ガイドラインとして位置づけられている「FISC安全対策基準」では「推測されやすい暗証番号を使用している顧客に対しては変更するように、個別具体的に対応することが望ましい。」ことを規定しています。

推測されやすい番号としては、上位20個以外にも以下の例があります。仮に攻撃者が盗んだカードの利用者の誕生日を知っていたら、暗証番号を破る確率は更に上がります。

  • 生年月日
  • 自宅の電話番号
  • 職場の電話番号
  • 自宅の住所
  • 自家用自動車のナンバー

裏の裏の裏の暗証番号

そういえば、学生時代の友だちに「生年月日みたいなよく使われる暗証番号は危ない」ことを話したとき、こう言っていたのを思い出しました。

「俺は裏の裏の裏をかくよ」

「裏をかく」はどういうことかというと、生年月日は見破られやすいから、そういう暗証番号は使わないということのようです。

そして、彼が言っていたのは「裏の裏の裏」です。それは、裏の裏をかいて、生年月日のような安直な暗証番号を登録する奴がいることを悪い奴は想像するだろうから、更に裏をかいて安全な暗証番号を登録するという理屈です。

f:id:slowtrain2013:20200607182157p:plain:w400
裏をかく
要は暗証番号には注意をはらっているということですね・・・。

暗証番号はよく考えて安全な番号を登録しましょう。そして、考え過ぎて、決して「裏の裏」をかかないようにしましょう😓