　通常の総当たり攻撃は口座番号（ID）側を固定し、暗証番号（パスワード）を次々と変えて突破を試みる方法だが、この場合アカウントごとに試行回数に制限をかければ早々には突破されない。一方のリバースブルートフォース攻撃は、暗証番号を固定し、口座番号を次々と変えて突破を試みる方法だ。この場合はアカウントごとに試行回数に制限をかけても意味がない。パスワードが4桁の数字という比較的単純なものだからこそ成り立つ攻撃手法だ。

　こうした攻撃が実際にあったのかという質問に対し、ドコモは「銀行側からそのような情報共有は受けていない」と回答。

　他にも「被害のあった11行はドコモ口座との連携にCNS（地銀ネットワークサービス）のサービスを利用していたか」という質問も上がったが、「金融機関側の仕組みなので把握していない」（ドコモ）という。地銀ネットワークサービスは、収納企業（決済サービス事業社など）と地方銀行の連携に使う「Web口振受付サービス」を提供する企業だ。これがドコモ口座と銀行の連携に共通で使われていたことが、複数の銀行で被害が出た背景にあったのではないかという旨の質問と思われるが、銀行側が不在のためにこれも会見では明らかにされなかった。

　確かに、複数の銀行での不正出金に共通してドコモ口座が使われたという点では、ドコモ口座の本人確認を緩いまま放置していたドコモの責任は大きい。しかし本来は、連携先のサービスのリスク分析をする義務が双方にあるのではないか。

　ドコモは「お互いに改善の要望は出し、改善できるところは改善している」とするが、連携先の銀行のセキュリティチェックについて「明らかに問題があるということでなければ基本的に銀行側の仕様に基づく」と話す。逆に今回突かれたドコモ口座の本人確認の甘さについては「不正利用の被害が発生するまでは銀行側から指摘はなかった」とした。

「ドコモ口座」不正預金引き出し、記者会見の一問一答まとめ
NTTドコモが提供する電子決済サービス「ドコモ口座」で発生した現金の不正引き出し事件について、同社が記者会見を開催した。質疑応答を一問一答でまとめた。
「ドコモ口座」不正預金引き出し事件、ドコモが謝罪　被害額1800万円の全額補償　「本人確認十分でなかった」
電子決済サービス「ドコモ口座」を通じて現金の不正引き出しが相次いでいることを受け、NTTドコモが都内で記者会見を開き、被害者やサービスの利用者に対し謝罪した。
「ドコモ口座」で相次ぐ不正出金、なぜ地銀だけが狙われた？　専門家の見解は
NTTドコモが提供する電子決済サービス「ドコモ口座」を利用して、銀行から不正に現金を引き出す被害が相次いでいる。顧客に被害があったのはいずれも地方銀行。今回の不正出金はなぜ起きたのか、専門家に見解を聞いた。