私は安易な社会のキャッシュレス化に基本的に反対します『「ドコモ口座」不正利用、新たな犯罪を許す銀行のセキュリティの大問題』澤田 翔 2020.9.10 5:02 ダイヤモンドオンライン。

この手の犯罪は氷山の一角。露見してないケースは山ほどある。強固さを売りにする暗号通貨ですらあの有様。
対面と物理通貨こそ最強のセキュリティ。これは永遠に変わらない。顔を偽造することは困難だからだ。そして履歴が残る(撮影される)。移動の痕跡も残される。それらを飛ばしたオンライン化では従来以上の厳重さは確実に求められる。
※本記事の最後に「中国ではでは・・」と書いてますが甘すぎる。紐付け増やして単純に解決する問題ではない(現在ではその手の紐付けくらいしか対策がないのも問題ですが)。情報は◯◯等の手法で既に抜かれているからだ。◯◯の部分は記さない。ほんとひどいんだ。もちろん端末についてはメーカーにも注意である。
「ドコモ口座」不正利用、新たな犯罪を許す銀行のセキュリティの大問題
澤田 翔
2020.9.10 5:02
ダイヤモンドオンライン
NTTドコモの個人向け送金・決済サービス「ドコモ口座」※1を悪用した、銀行口座の不正出金問題が注目を集めている。NTTドコモは2020年8月8日までに両銀行を含む3金融機関の新規登録を停止。その後、同様の懸念があるとして14金融機関の登録を停止した。事件の全貌についてはまだ明らかになっていない点も多い。
しかし、筆者が被害者に取材して判明した事実から推察すると、今回の事件は「ネット口振」を活用した、新たなタイプの犯罪と言えそうだ。そして、その背景には、銀行がセキュリティ対策をその場しのぎで実装し続けてきたことで、実効性自体が失われていたという、日本全体の問題が透けて見える。(連続起業家、エンジニア、インターネットプラス研究所所長 澤田 翔)
※1「ドコモ口座」とはQRコード決済サービス「d払い」に現金チャージをするために使われているほか、ドコモ口座保有者間で残高を送り合ったり、その残高を銀行に出金する機能も備わっている。
悪用された「ネット口座振替受付サービス」
 これまでインターネットでの決済はクレジットカードやコンビニで買えるプリペイドカードを用いたものが主流であり、銀行での決済は口座間振込や生計費の入出金が中心であった。クレジットカードの利用金額は銀行から引き落とされるが、これはクレジットカードの入会申込書に押捺した銀行届出印を銀行が照合することで引落口座の登録を行う仕組みになっている。
 最近はキャッシュレスやデジタル金融に関わるサービスが銀行と直接接続するケースが増えているが、そこで使われているのが「ネット口座振替受付サービス」(以下ネット口振〈こうふり〉)だ。クレジットカードの入会であれば、クレジットカード会社のサイトでオンライン申込をした後にネット口振のサイトに遷移し、オンラインバンキングに用いるIDやパスワードを入力して登録が完了する。書面で印影をやりとりせずとも手続きができる点が便利で、「ドコモ口座」を含めて多くのキャッシュレスサービスがネット口振を利用している。
 ところが、今回の事件はこの仕組みが悪用されてしまった。何者かがドコモ口座を開設する際、他人の銀行口座を登録し、不正にドコモ口座に送金。その後、出金ないしショッピングで残高を現金化するというやり口である。
銀行は使いづらいオンラインバンキングを放置
安易な認証を導入
 もともとネット口振はこれほど脆弱なサービスではなかった。登場した当初は手続きの際に口座登録の際にオンラインバンキング用のパスワードや認証カードの情報を入力するようになっていた。この手順を維持していれば、今回の犯行は起きなかったはずだ。ところがこの仕様では普及が進まなかった。オンラインバンキングを開設していない人や、開設していても暗証番号や認証カードを忘れた人が多かったことが原因である。
 そこで多くの金融機関が「口座番号と暗証番号」や「通帳の最終残高」などを確認するだけ、セキュリティレベルの高いオンラインバンキングの認証情報を使わない方法で口座登録ができるようにしてしまった。今回の七十七銀行中国銀行ともに口座番号と暗証番号のみでネット口振の設定ができる金融機関であったことから、犯罪者に狙われてしまったものと思われる(三井住友銀行など一部の金融機関は今でもオンラインバンキングの認証方式のみを許可しており、安易な認証は導入されていない)。
 普及が進まないオンラインバンキングに対して「よりセキュリティレベルの低い入口」を設ける解決策はあってはならない。しかし、今回の金融犯罪が成立してしまった原因はこれ以外にもある。
二段階認証ができないユーザーをどう守るか
 今回取材した被害者は銀行に固定電話の番号のみを届出していた。その被害者が利用している銀行では、セキュリティレベルの低い「口座番号と暗証番号」でネット口振を登録しようとした場合、原則的には携帯電話のSMSや音声通話による二段階認証が行われる。二段階認証はSNSやフリマアプリの登録ではお馴染みの方法で、予め金融機関に届け出た携帯電話に4~6桁の確認番号が届き、その番号を正しく答えられた人だけが先に進めるようにするチェック機構だ。被害者は銀行に固定電話しか登録されておらず、このSMS認証のステップが飛ばされてしまった。
 本来であればSMS認証ができないのであればオンライン登録を停止する、あるいは固定電話への架電など別の方法で本人確認をとるべきだが、そういった設計にはなっていなかったため、口座番号と暗証番号だけで攻撃が成立してしまった。
総当たり攻撃と防御が難しい「逆総当たり攻撃」
 不正出金犯がいかにして口座番号と暗証番号を入手したかはまだ明らかではない。被害者によると、電話番号や車のナンバーなど容易に推定されうる番号は使っていなかったという。では、1から順にすべての数字を試してみる総当たり攻撃の可能性はあるのだろうか。
 一般に銀行では暗証番号を連続して数回間違えると動作がロックし総当たり攻撃を防ぐ仕組みが導入されている(FISCという金融機関向けのセキュリティルールで定められている)。銀行のATMで暗証番号を連続して間違えるとカードが使えなくなるのもこの仕組みが働いているからだ。
 これはキャッシュカードのように攻撃者がIDを指定できない場合はよいが、今回のネット口振のように口座番号が入力できるシステムである場合、同一の暗証番号に対して複数の口座を連続して試す「逆総当たり攻撃」が可能で、これに対する防御は難しい。もし逆総当たりで銀行口座を凍結させてしまうと、凍結の仕組み自体を悪用してオンラインバンキングを機能不全に陥れることができてしまうからだ。そこでGoogleなどのネット大手ではAIを活用した振る舞い検知で逆総当たり攻撃を防いでいるが、そうした仕組みを地方銀行が導入するのは時間がかかるだろう。
顧客と共にセキュリティレベルを上げる取り組みを
 今回の事件は「オンラインバンキングの認証ではなく安易な認証が用いられた」「SMS認証をバイパスした」という2つの穴を突かれたことで成立した事件という可能性が高そうだ。
 本来はより簡便であり、かつ高いセキュリティレベルの仕組みを普及させる必要がある。たとえば中国では携帯電話番号が身分証や銀行口座と紐付けられ、強固な個人認証手段となっているほか、口座開設時には窓口でSMS認証を実施することで、その番号が個人の保有であることが確認されている。
 また、当該番号を解約した時には携帯電話会社から銀行に自動的に通知される、その後新しい携帯電話番号を届出しないと口座が凍結されるという仕組みがとられている。携帯電話番号をキーにして、比較的手間をかけずにセキュリティ水準を高める仕組みが作られた。
 中国の手法をそのまま日本にコピーはできないが、簡便かつ安全な手法の普及を怠ってはならない。スマホアプリや生体認証機能を使ったパスワードの複雑さに頼らない安全かつ使い勝手の良いセキュリティ手法の普及に努めるべきだし、利用者拡大のボトルネックになるからといって安易にセキュリティを妥協するべきではない。
 妥協がどのような結果をもたらすのか、ドコモ口座事件は貴重な教訓をもたらした。銀行、通信事業者、そして利用者は足並みをそろえて進化していかなければならない。