NTTドコモの電子決済サービス「ドコモ口座」を使って、銀行の預金が不正に引き出される被害が続出し、約1800万円もの被害が確認されたという事件が発生しました。この事件はセキュリティ関連の大事件です。
金融関連の不正利用と言えば、過去にはキャッシュレス決済やクレジットカードの不正利用などがあり、不正利用がきっかけでサービス中止となった「7Pay」のことも記憶に新しいと思います。
しかし、今回の事件が今までの事件とは異なる大きな問題点は、被害に会う可能性があるのが、当該サービスの利用者(ドコモ口座のユーザーやドコモ携帯電話の契約者)かどうかは関係なく、ドコモ口座と連携可能な銀行口座を持っていれば、ドコモ口座を利用していない方でも被害にあう可能性があるという点です。
通常、金融機関に口座を作ったり、もしくは自動引き落としなどのサービスを利用する際には、本人確認書類を提出する必要があり、他人の名前で口座を作ったり、他人の口座からお金を引き出すことができないようになっています。
金融機関のATMから口座を操作する時には、キャッシュカードを所有して、暗証番号の入力が必要です。暗証番号も数回間違えるとロックされて口座が凍結されてしまいますし、ATMを操作しているところを防犯カメラで撮影するなどの対策で、セキュリティを確保しています。
一方、オンラインバンキングの場合には、キャッシュカードの代わりに、ワンタイムパスワードなどの認証方法で、口座番号や暗証番号だけでは操作できないようになっています。
しかし、今回問題となったドコモ口座では、適当なメールアドレスと、口座番号と口座名義人名(この2つは、ある程度開示されている情報と言えます)と、何らかの方法で暗証番号が分かれば、本人確認なしで口座が開設できるようになっていました。
この中で秘密情報である暗証番号は4桁の数字なので、組み合わせは最大1万通り。口座ひとつに対しては1万回の暗証番号入力を試すのは、ロックがかかるので不可能だとしても、逆に暗証番号をひとつに固定して、口座情報(名義人名と口座番号)をいくつも試していけば、誰かしらの口座情報と暗証番号の組み合わせが判明し、その口座から出金できるようになる可能性があります。
この暗証番号やパスワードを固定して、複数のID入力を試していく方法を「リバースブルートフォースアタック」と言います。この攻撃方法はセキュリティ業界では、かなり以前より認識されたいる方法で、パスクリ通信でも過去に紹介しています。
> 「リバースブルートフォースアタック」って? (パスクリ通信2019年4月19日号)
また、いまだに生年月日や電話番号、住所の数字を使っている人もいるかもしれません。このような個人情報も含めた口座情報を持っていれば、より成功率は上がるでしょう。
このような攻撃が通用する、本人確認が成立していないシステムと、金融機関の口座が紐づけられるシステムになっていることは、大きな問題です。
認証セキュリティの基本は、「本人だけがシステムを安全に活用できる」ということです。
ドコモ口座でも、口座を開設した人が金融機関からの出金する場合においては、十分なセキュリティ対策が取られていたことと思います。しかし、問題はシステムのセキュリティ以前の口座開設時にあったのです。
インターネット上には、偽の名前を他人の名前を使って会員登録することができるサービスはいくらでもあります。しかし、お金や重要な個人情報が絡むサービスの会員登録であれば、登録時の本人確認が正しく行われ、本人以外が、なりすまして会員登録することを防がなければ、その先のセキュリティをいくら強化しても全く意味がありません。
利用者側の対策としては、大事な資産や情報を扱うサービスで、本人確認がしっかりしていないと感じた場合は利用しない、ということになります。本人確認書類の提出など、確かに手間がかかる作業です。しかし、その手間をかけたからこそ、安心してサービス利用ができると考え、手間を惜しまないようにしましょう。
また、今回の事件では、被害者がフィッシングに騙されたことによって口座情報と暗証番号が流出してしまった可能性も否定できません。くれぐれもフィッシングメール・SMSにはご注意ください。
【パスクリ通信 更新終了のお知らせ】
毎週金曜日更新のパスクリ通信ですが、次回2020年9月25日(金)の記事にて、更新を終了とさせていただくことになりました。
あと1回の更新になりますが、最後までお付き合いください。