「ドコモ口座」経由で預金が流出
NTTドコモの個人向け決済サービス「ドコモ口座」を経由して地方銀行の口座から預金が第三者によって不正に出金してしまっている問題が発覚した。
何が起きていて、どこが問題なのか考えてみます。
まずは地銀の問題
今回のは地銀とドコモの両方のセキュリティの甘さを突いた犯罪だ。
地銀側の問題は、顧客の銀行口座と暗証番号を第三者が取得できてしまったこと。情報の取得方法は明らかではないが、「リバースブルートフォース攻撃」が使われたと言われている。「リバースブルートフォース攻撃」は、ネットバンキングで暗証番号を固定して複数の口座番号を何度も入力することによって、口座番号と暗証番号の組み合わせを暴く手法だ。
大体のネットバンキングでは、暗証番号を何度か間違えたらロックしてしまうので手当たり次第、暗証番号を試すことはできない。ところが、暗証番号を固定にして口座番号を手当たり次第入力してもロックはされない。別々の顧客からのアクセスだとシステムが判断するからだ。
誰かが保有している銀行口座と暗証番号の組み合わせにヒットするためには膨大なアタックをかけなければいけないが、犯人は複数のIPアドレスを使用して、アクセス元を特定させないようにしていたようだ。
ただ、「リバースプルートフォース攻撃」に無防備なのは地銀だけではなく、一部の都銀でも他の金融機関でも同様だ。
では、どうして地銀が主に狙われたのか。
その理由は「ネット口座振替受付サービス」にある。「ネット口座振替受付サービス」は、クレジットカードなどのキャッシュレスサービスへの振替をネットの申し込みだけで、受け付けるサービスだ。以前は、銀行振替を始めるときは用紙に印鑑を押す必要があり非常に面倒だったが、それを省略してネットだけで申し込めるようにしたのが、このサービスだ。
この時に、SMS認証などの二段階認証を行う仕組みであれば、銀行口座とともに登録してある携帯電話での認証が必要なので、第三者がこのサービスを悪用するのは難しい。電話番号や住所の変更をオンラインだけでできる銀行はないはずだ(地銀とかではあるのかも。あれば致命的なセキュリティホールだけど)。
このサービスを悪用しても、犯人の口座へ振替られなければ、犯人が現金を入手することはできない。他人の口座の振替先に悪用されたのが「ドコモ口座」だ。
「ドコモ口座」の問題
ドコモ口座は、ドコモのdアカウントがあれば誰でも開設できる。dアカウントはドコモが宣伝しているようにドコモ名義の携帯電話を持っていなくても誰でも取得できる。
そこで、犯人は不正に取得した銀行口座の名義でdアカウントを取得し、ドコモ口座を開設したと思われる。その上で、ドコモ口座と地銀を「ネット口座振替受付サービス」で紐づけたと想定できる。紐づける際に印鑑は不要だし、住所などを本人確認の照合の必要がない地銀も多い。
一度紐づけてしまえば、ドコモ口座を使って地銀の口座から預金を送金できてしまう。地銀から見てもドコモから見ても同一顧客が出金・送金を行う通常の商取引に見えてしまう。
どちらが悪い?
ここまで書いた通りの手口で犯人が第三者の口座から不正に出金したとすると、地銀とドコモのどちらが悪いのか。暗証番号と口座番号を自ら漏洩したのでなければ、顧客は何も悪くない。
第一に問題があったのは、口座番号と暗証番号をネットバンキングから取得されてしまった地銀だろう。この組み合わせが分からなければ、今回の犯罪は起こり得ない。不正なアクセスを探知して、アクセスを遮断するなりして犯人の攻撃を止めなければいけない。
もう一つの地銀の問題は「ネット口座振替受付サービス」のセキュリティの甘さだ。「ネット口座振替受付サービス」を承認するかどうかは地銀側にある。振替サービスを行っているのが本人かどうかの確認は地銀側にある。ここでSMS認証など第三者が行いづらい認証を挟めば、不正なサービスの申し込みを受け付けることはなかった。
ドコモにも問題はある。まずは、dアカウントが誰でも作れてしまう問題だ。本人確認をしないので、他人の名前でもdアカウントが作れてしまう。他人のネットバンキングにアクセスできた犯人は口座の顧客名をわかっている。その顧客名でdアカウントとドコモ口座を作れてしまったことがセキュリティの緩い地銀の「ネット口座振替受付サービス」と名前だけ(または生年月日)で認証させてしまったのだ。
双方に問題はあるが、ドコモ口座が不正な手段(システムが許容していない方法)で出金指示をしているわけではない以上、地銀に大きな責があると思う。
デジタルオンリーは気をつけろ
筆者もそうだが、押印などの物理的作業は煩わしく、全ての作業をネットで行いたい人は多いと思う。ところが、今回発覚したようにデジタルだけの作業は不正に利用される危険性も高い。
「ネット口座振替受付サービス」も印影が必要なら、このような犯罪は起こらなかった。口座番号と暗証番号を不正に取得しても、物理的なキャッシュカードか通帳がなければ出金できない。オンラインバンクの送金も暗証番号とは別のカードに記載されている番号かSMS認証、スマホでアプリでの認証が必要な銀行がほとんどだ。
とは言っても、今更色々なサービスに押印して郵送しなければいけないのはしんどい。印鑑に成り代わる「個人」を証明できる有力なツールが必要なのだろう。
それはマイナンバーカードかもしれないし、スマートフォンなのかもしれない。個人を特定するツールとしてスマートフォンを使うなら、携帯電話番号と銀行口座などのサービスを紐付けて管理する厳格なルールが必要だ。
いずれにせよ、デジタルだけで物事を行うにはこういったリスクがあることを改めて肝に銘じした方が良さそうだ。