NTTドコモの個人向け送金・決済サービス「ドコモ口座」(画像はホームページより)
こんにちはミヤザキです!
今回はちょっと真面目な話題に触れてみたいと思います。
最新のものは便利だけども時には恐ろしくなることもあると実感しました
NTTドコモの個人向け送金・決済サービス「ドコモ口座」※1を悪用した、銀行口座の不正出金問題が注目を集めています。NTTドコモは2020年8月8日までに両銀行を含む3金融機関の新規登録を停止。その後、同様の懸念があるとして14金融機関の登録を停止しました。事件の全貌についてはまだ明らかになっていない点も多いです。
※1「ドコモ口座」とはQRコード決済サービス「d払い」に現金チャージをするために使われているほか、ドコモ口座保有者間で残高を送り合ったり、その残高を銀行に出金する機能も備わっています。
悪用された「ネット口座振替受付サービス」
これまでインターネットでの決済はクレジットカードやコンビニで買えるプリペイドカードを用いたものが主流であり、銀行での決済は口座間振込や生計費の入出金が中心でした。クレジットカードの利用金額は銀行から引き落とされるが、これはクレジットカードの入会申込書に押捺した銀行届出印を銀行が照合することで引落口座の登録を行う仕組みになっています。
最近はキャッシュレスやデジタル金融に関わるサービスが銀行と直接接続するケースが増えているのですが、そこで使われているのが「ネット口座振替受付サービス」(以下ネット口振〈こうふり〉)です。クレジットカードの入会であれば、クレジットカード会社のサイトでオンライン申込をした後にネット口振のサイトに遷移し、オンラインバンキングに用いるIDやパスワードを入力して登録が完了します。書面で印影をやりとりせずとも手続きができる点が便利で、「ドコモ口座」を含めて多くのキャッシュレスサービスがネット口振を利用しています。
ところが、今回の事件はこの仕組みが悪用されてしまったのです。何者かがドコモ口座を開設する際、他人の銀行口座を登録し、不正にドコモ口座に送金。その後、出金ないしショッピングで残高を現金化するというやり口です。
銀行は使いづらいオンラインバンキングを放置 安易な認証を導入
もともとネット口振はこれほど脆弱なサービスではありませんでした。登場した当初は手続きの際に口座登録の際にオンラインバンキング用のパスワードや認証カードの情報を入力するようになっていました。この手順を維持していれば、今回の犯行は起きなかったはずなのです。ところがこの仕様では普及が進みませんでした。オンラインバンキングを開設していない人や、開設していても暗証番号や認証カードを忘れた人が多かったことが原因です。
そこで多くの金融機関が「口座番号と暗証番号」や「通帳の最終残高」などを確認するだけ、セキュリティレベルの高いオンラインバンキングの認証情報を使わない方法で口座登録ができるようにしてしまったのです。今回の七十七銀行、中国銀行ともに口座番号と暗証番号のみでネット口振の設定ができる金融機関であったことから、犯罪者に狙われてしまったものと思われる(三井住友銀行など一部の金融機関は今でもオンラインバンキングの認証方式のみを許可しており、安易な認証は導入されていません)。
普及が進まないオンラインバンキングに対して「よりセキュリティレベルの低い入口」を設ける解決策はあってはならないのです。しかし、今回の金融犯罪が成立してしまった原因はこれ以外にもあります。
二段階認証ができないユーザーをどう守るか
今回の金融犯罪の被害者は銀行に固定電話の番号のみを届出していた場合が多かったようです。その被害者が利用している銀行では、セキュリティレベルの低い「口座番号と暗証番号」でネット口振を登録しようとした場合、原則的には携帯電話のSMSや音声通話による二段階認証が行われます。二段階認証はSNSやフリマアプリの登録ではお馴染みの方法で、予め金融機関に届け出た携帯電話に4~6桁の確認番号が届き、その番号を正しく答えられた人だけが先に進めるようにするチェック機構です。被害者は銀行に固定電話しか登録されておらず、このSMS認証のステップが飛ばされてしまったのです。
本来であればSMS認証ができないのであればオンライン登録を停止する、あるいは固定電話への架電など別の方法で本人確認をとるですが、そういった設計にはなっていなかったため、口座番号と暗証番号だけで攻撃が成立してしまいました。
総当たり攻撃と防御が難しい「逆総当たり攻撃」
不正出金犯がいかにして口座番号と暗証番号を入手したかはまだ明らかではありません。被害者によると、電話番号や車のナンバーなど容易に推定されうる番号は使っていなかったようです。では、1から順にすべての数字を試してみる総当たり攻撃の可能性はあるのでしょうか。
一般に銀行では暗証番号を連続して数回間違えると動作がロックし総当たり攻撃を防ぐ仕組みが導入されています(FISCという金融機関向けのセキュリティルールで定められている)。銀行のATMで暗証番号を連続して間違えるとカードが使えなくなるのもこの仕組みが働いているからです。
これはキャッシュカードのように攻撃者がIDを指定できない場合はよいのですが、今回のネット口振のように口座番号が入力できるシステムである場合、同一の暗証番号に対して複数の口座を連続して試す「逆総当たり攻撃」が可能で、これに対する防御は難しいのです。もし逆総当たりで銀行口座を凍結させてしまうと、凍結の仕組み自体を悪用してオンラインバンキングを機能不全に陥れることができてしまうからです。そこでGoogleなどのネット大手ではAIを活用した振る舞い検知で逆総当たり攻撃を防いでいるが、そうした仕組みを地方銀行が導入するのは時間がかかるでしょう。
顧客と共にセキュリティレベルを上げる取り組みを
今回の事件は「オンラインバンキングの認証ではなく安易な認証が用いられた」「SMS認証をバイパスした」という2つの穴を突かれたことで成立した事件という可能性が高そうです。
本来はより簡便であり、かつ高いセキュリティレベルの仕組みを普及させる必要があります。たとえば中国では携帯電話番号が身分証や銀行口座と紐付けられ、強固な個人認証手段となっているほか、口座開設時には窓口でSMS認証を実施することで、その番号が個人の保有であることが確認されています。
また、当該番号を解約した時には携帯電話会社から銀行に自動的に通知される、その後新しい携帯電話番号を届出しないと口座が凍結されるという仕組みがとられています。携帯電話番号をキーにして、比較的手間をかけずにセキュリティ水準を高める仕組みが作られたのです。
中国の手法をそのまま日本にコピーはできないが、簡便かつ安全な手法の普及を怠ってはいけません。スマホアプリや生体認証機能を使ったパスワードの複雑さに頼らない安全かつ使い勝手の良いセキュリティ手法の普及に努めるべきだし、利用者拡大のボトルネックになるからといって安易にセキュリティを妥協するべきではありません。
妥協がどのような結果をもたらすのか、ドコモ口座事件は貴重な教訓をもたらしました。銀行、通信事業者、そして利用者は足並みをそろえて進化していかなければなりません。
さて、いかがでしたでしょうか、今話題となっているドコモ口座事件について自分の見解も交えて記事にしてみました。
今後金融業界がどのように変化していくのか個人的にはとても興味深いです。
