FC2ブログ

記事一覧

「ドコモ口座」不正被害に見たもたれ合いの唖然(2020年9月12日配信『東洋経済オンライン』)

ドコモと金融機関の両方に責任と甘さがある

キャプチャ2
ドコモ口座で不正出金被害が発生し、35すべての銀行が新規の口座登録を停止している(編集部撮影)

登録をしたこともない電子決済サービスに、いつの間にか自分の銀行預金で万単位の金額がチャージされていた――。

9月初め、NTTドコモの電子決済サービス「ドコモ口座」を使った預金の不正な引き出しが明らかになった。9月11日午前0時時点で被害件数は73件、被害総額は約1990万円に上る。被害が確認されているのは七十七銀行や中国銀行、大垣共立銀行など地方銀行を中心とする計12行だ。

現在ドコモ口座に接続する35のすべての銀行が、新規の口座登録を停止している。また、18の銀行では入金も停止した。今後ドコモは銀行側と協議したうえで被害者に全額を補償する方針だ。

一体何が起こったのか。まず不正利用者は何らかの方法で氏名や口座番号、生年月日、暗証番号を入手した。そして被害者名義でドコモの「dアカウント」を取得し、ドコモ口座を開設。銀行口座の情報を入力して両口座を接続したうえで、預金口座からドコモ口座へ入金し、ドコモのスマホ決済サービス「d払い」でお金を使ったとみられている。

本人確認のプロセスがなかった

不正利用が発生した裏には、3つの問題点があった。

キャプチャ4
Flourish logoInteractive content by Flourish

1つ目はドコモ口座自体が抱えていた問題だ。ドコモ口座はもともとドコモの回線契約者のみを対象としたサービスで、銀行からチャージした金額分を携帯料金の支払いに使ったり、ほかのユーザーに送金したりするのに使われていた。

2018年にd払いのサービスが開始され、銀行口座から入金する手段としてドコモ口座が使われるようになった。その中でd払いをドコモの回線契約者以外にも開放する「キャリアフリー」の戦略を進め、2019年9月末からドコモの回線契約がなくてもドコモ口座が使えるようになった。

ここに落とし穴があった。本人確認の問題だ。ドコモの回線契約者の場合、回線契約の段階で運転免許証などで本人確認が済んでいる。ドコモ口座の開設には回線認証や契約者自身が設定するネットワーク暗証番号が必要だ。だがドコモ以外の通信会社のユーザーの場合は、メールアドレスさえあれば誰でもdアカウントを取得し、ドコモ口座を開設・入金できるようになっており、身分証明書などによる本人確認のプロセスがなかった。

実際、今回の被害者はすべてドコモ以外の通信会社を利用している人だったという。9月10日に記者会見したドコモの丸山誠治副社長は、「われわれのサービスをすべてのお客に開放し、会員基盤を広げるという趣旨の中で、(メールアドレスのみによる口座開設という)簡易な手段を取っていた。ただ本人確認が十分でなかったと反省している」と謝罪した。会社側はドコモ口座の数を開示していないが、直近のドコモ口座へのチャージ件数は1日当たり1万3000件あったという。

キャプチャ3
9月10日のNTTドコモの会見では3人の幹部が説明を行った。左から田原務ウォレットビジネス部長、丸山誠治副社長、常務執行役員の前田義晃マーケティングプラットフォーム本部長(記者撮影)

サイバーセキュリティに詳しいEGセキュアソリューションズの徳丸浩代表は、「サービス開始時にセキュリティ面を作り込んでも、仕様変更に合わせたセキュリティ面の修正をしないことが多く、それがリスクになる」と指摘する。

ドコモは再発防止策として、ドコモ口座に銀行口座を登録する際にこれまでのメールアドレスによる認証だけでなく、携帯番号宛に認証に必要な番号をSMS(ショートメッセージサービス)で送信する二要素認証を「可及的速やかに導入する」(ドコモ)。さらに「eKYC(Electronic Know Your Customer)」と呼ばれる、運転免許証など本人確認書類を撮影し提出するシステムを9月末までに導入する予定だ。

スマホ決済業者間の競争が激しくなる中、ドコモは回線契約者以外への決済サービスの拡大を急いだことが裏目に出た。通信会社系では、KDDIの「au PAY」やソフトバンク系の「PayPay」があるが、いずれもアカウント開設時にSMSによる二要素認証を実施している。さらに口座を連携する際に「自社の基準に照らし、(今回被害を出しているような)認証要素の少ない銀行に関しては、当社側の仕組みでeKYCを通さないと入金できないようにしている」(PayPay広報)という。

不正にチャージされたお金を使えないようにするには、スマホ決済業者がセキュリティ強化でせき止めなければならない。ドコモの場合、それが不十分だった。

二要素認証を”省いた”銀行

2つ目の問題は銀行側にある。銀行口座とドコモ口座をつなぐ際に、セキュリティの弱い方法を用いていた。

被害が確認された12の銀行は、「Web口座振替受付サービス(以下Web口振)」というシステムで口座接続をしていた。接続に必要なのは氏名、口座番号、生年月日、4桁の暗証番号。それらの情報を不正に入手すれば、第三者が勝手に口座接続ができる状態だった。

銀行口座と外部サービスを接続する際にセキュリティを高めるうえで、二要素認証は欠かせない。ドコモ口座との接続でも二要素認証を用いる銀行はあった。

現時点で被害の出ていないみずほ銀行は、自社のインターネットバンキングを経由して、ドコモ口座と接続しており、取引ごとに使い捨ての「ワンタイムパスワード」を発行していた。インターネットバンキングを契約していない顧客には認証の条件として物理的な通帳を求めており、通帳に記帳されている最終残高を入力しなければならない方式を取っている。

簡易的な方法を選択したツケ

つまり、被害のあった12行は簡易的な方法を選択したために狙われた形だが、現実的には「Web口振を使うしかなかった」(地方銀行幹部)という。「決済サービスが増え、すべてに自前で接続するのはコストがかかる」(同)からだ。 そうした地銀では、「メルペイや楽天Edyをはじめ、ほかの決済サービスもWeb口振でつないでいる」(中堅地銀行員)という。

対策として「Web口振を継続しつつ、最終残高の入力など二要素認証を加える検討をしている」(前出の地銀幹部)と言うが、別の地銀関係者からは「すぐに実装するのは難しいかもしれない」という本音も漏れる。その間、接続する決済事業者のセキュリティが甘ければ、同様の手口が使われる可能性も残っている。

3つ目は根本的な問題だ。そもそも「口座番号などの情報がどこから流出したのか」ということが現時点で明らかになっていない。被害のあった七十七銀行や大垣共立銀行は「自社のシステムからの情報漏洩は確認されなかった」と説明する。ドコモ側も「そうした情報は保有していないため、ドコモから流出していない」としている。

当事者意識はどこまであるのか

では、どこから漏れたのか。まず考えられるのが、犯罪者が「リバースブルートフォース攻撃」を仕掛けている可能性だ。これはパスワードや暗証番号を固定したうえで、氏名や口座番号を総当たり的に入力していくことで認証を潜り抜けるものだ。

最後の可能性はフィッシングサイトを通じた情報漏洩だ。メールなどで偽のサイトに誘導し、口座情報などを入力させ、個人情報を入手する。実は、2019年秋頃からインターネットバンキングでの不正送金の被害が急増している。警察庁によれば、被害の多くがフィッシングによるものだという。

つまり、今回の事件はドコモ側、銀行側それぞれのセキュリティに対する甘さが招いたものだ。前出の徳丸氏は「お互いに、相手が(本人確認を)やってくれるだろうという意識が確実にあった」と指摘する。

キャプチャ
NTTドコモの丸山副社長は、銀行側のセキュリティ改善について自主性に委ねる考えを示した(記者撮影)

事件発覚後、両者が危機意識を高めて協力しあう状況にはなっていない。ドコモはWeb口振の利用について「各銀行がそれぞれの事情で決める話」(丸山副社長)としている。銀行側は「われわれは(Web口振の)システムに乗っかっているだけ。セキュリティはある程度(ドコモなどの)決済事業者に依存してしまう」(中堅地銀行員)と言ってのける。

セキュリティ強化を相手に委ねる形でサービスを続けていては、同様の問題が発生しかねない。ひとまずドコモは対応策を示し、ほかの決済事業者の水準に合わせた形だ。今後は地銀を中心とする銀行側の対応姿勢が問われそうだ。




スポンサーサイト



プロフィール

gogotamu2019

Author:gogotamu2019
障害福祉・政治・平和問題の最新ニュース・論説紹介

最新記事

カテゴリ