スポンサーリンク

ドコモ口座事件にみるセキュリティ意識の低さ – part 1

法律時事

久しぶりに時事ネタのエントリーを書く気がします。本件ですが、ドコモも被害の生じている銀行もどっちもHow dare you(よくもそんなことを)って感じです。ニュース等ではとにかくドコモが矢面に立っている感じですが、銀行側も含めて結構な問題があると思います。

まず、事件の前提となったサービスの概要は以下の通りです。

①ドコモ口座開設(口座という名称ですが、電子マネーのアカウントですね)
②ドコモ口座と銀行口座を連携
③銀行口座からドコモ口座にチャージ
④ドコモ口座で商品の購入・送金が可能

このサービスを用いて、本件では以下のようなことが行われたわけです。

犯人がドコモ口座開設
犯人が、犯人のドコモ口座と被害者の銀行口座を連携
犯人が、被害者の銀行口座からドコモ口座にチャージ
犯人がドコモ口座で商品を購入・送金(アマギフに変えたか、それとも受け子用のアカウントに集約して払い出したのか、資金の行方は分かりませんが)

この状況で、どうして①と②のようなことができたのかが問題になっており、そもそも①が無ければこんなことなかったじゃないかということで、ドコモが責められまくっているわけです。まあ、①も②も悪いものの、個人的には②のほうが相当ヤバいんじゃないかと思っています。順に見ていきましょう(長くなったので、権利関係とか補償とか法律的な話は次エントリーに回します)。

 

メールアドレスだけで開設できるドコモ口座のガバガバ感?

事件の発生当時は、誰でもメールアドレスだけでドコモ口座を開設できる状況となっており、犯人にとって、適当なメールアドレスを使ってターゲットであるAさんを名乗りドコモ口座を開設することが容易だったわけです。

「このとき認証メールが送られるよ」という声もありますが、これは「本人であること」の確認ではなくて、「情報を入力した人(本件では犯人)がそのメールアドレスを持っていること」の確認でしかなく、二段階認証でもなんでもありません

このドコモ口座開設に関して本人確認をしておけば、銀行口座と名前等がマッチするドコモ口座を作成できないから、銀行口座と連携もできず、被害は生じなかった、というのがドコモがフルボッコにされている理由だと思います。

これはこれで正しい意見だと思いますが、それだけでは本件の問題の一面しか見ていないというのが私見です(末尾に記載したように、他の電子マネーサービスでも似た問題ありませんか?)。

 

脆弱な認証手続で、顧客の口座を決済サービスに開放する銀行の超ガバガバ感

個人的にはこっちの方がまずいと思っています。細かく確認したわけではありませんが、ネット上の情報等を見ると、被害にあった銀行の一部は、ドコモ口座との連携に際して、「名前」「口座番号」「キャッシュカードの4桁暗証番号」しか要求していなかったようです。

このうち、名前と口座番号は、振込画面から口座番号を適当に入力すれば当該口座番号に対応する氏名も出てきますので、あとは、4桁の暗証番号さえ判明すれば突破できるわけです。

詳細は省きますが、犯人は、よくある暗証番号(例“1234”)を、名前と口座番号を入手した口座に片っ端から入力し、ヒットした口座を、自分の作ったドコモ口座に連携させたと言われています(ただ、これが真実なのか、確実なソース・確信がありません)。

こうしてみると、銀行側の認証手続として、4桁の暗証番号さえ見破れば突破できるという仕組みが果たして妥当だったのか、大きな疑問が生じると思います。

日頃、ATMで4桁の暗証番号で手続ができるのは、物理的なキャッシュカード(通常本人しか持っていないもの)と4桁の暗証番号という二つのハードルを組み合わせているからであって、今回のように、誰でも手に入れることができる情報と4桁の暗証番号でお金を動かすのとは話が違います。要は、銀行側が、ATMよりもガバガバな仕組みで、送金・決済サービスにお金を動かせる仕組みを許容しているわけです。ちなみに、ゆうちょ銀行やイオン銀行は、これに「生年月日」を認証情報として追加で要求しているようです。堅牢とは言えないかもしれませんが、暗証番号だけよりはマシだと思います(入力画面の仕様にもよります)。

 

責任の所在

上記の事実関係を前提にすると、ドコモも銀行もどちらも悪いとは思いますが、ドコモは他人(銀行)を信用し過ぎという一方で、銀行は信用に足らない仕組みで銀行口座という金庫を顧客のために管理していたという感じなので、個人的には銀行のほうがヤバいのではと思っています。銀行の顧客保護(銀行口座管理)は第一に銀行の使命で、第三者に頼っていいものではないと思います。

下手な例えをするなら、犯人がぬるいセキュリティの銀行に侵入して金庫から顧客の財宝を盗み、盗品かどうかまるでチェックしない近隣のドコモ質屋でまんまと換金して姿をくらましたというところでしょうか。感じ方は人次第でしょうが、私としては、財宝を預けていたとすれば、質屋に対して「お前のせいで追跡が困難になった。」というよりは、銀行に対して、「人の財宝預かっておきながら、なんでこんなにヌルい警備で盗まれるんだ」っていう気持ちになります。

 

対世間との関係

本当に総当たり攻撃でやられてしまうようなセキュリティであったとすれば、個人的にはザルなセキュリティで金庫の開け閉めをしている銀行がヤバいと思いますし、補償の話も直接的には銀行の話だと思います。

ところが、世間的にはかなりドコモが悪者になっている、というか矢面にたってますね。まあ、殿様商売の大企業ということで叩きやすいし、地銀叩くよりも盛り上がるというのもあるでしょうし、ドコモのサービスに関して生じた事件ということで仕方ないですが。

それに加えて、銀行がヤバいっていうのは世間的にも聞こえがよろしくなく、個別に○○銀行がヤバいってなると取付騒ぎにもなってしまうので、窓口一本化の意味も含めて、ドコモが対応を引き受けてるのかなあと邪推したりもします。

なお、9月11日時点の報道では、報告された被害は12行73件、総額で約1990万円となっていますが、対象銀行の数を考えると、総当たり攻撃で突破されたんならもっと被害が大きくてもいいんじゃないかと思います。まだ被害全貌が分かっていませんが、誕生日など、追加の情報が必要な銀行でも被害が生じていることからすると、氏名・口座番号を入力した口座への4桁暗証番号による絨毯爆撃ではなく、ハッキング等で個別に情報を入手できている、特定のターゲットを狙った手法である可能性もあるかと思います(誕生日があっても総当たり攻撃が簡単にできるのかどうかが分かるほど、私にセキュリティの知見はありません)。

もし認証情報が抜かれていることが原因であるとすると、本件に関しては、銀行のセキュリティよりも、安全な出口(送金・換金手段)を用意してあげたドコモの問題という側面(情報の抜かれようによっては顧客自身の問題)が大きくなってきますが、いずれにせよ、電子マネー・送金アプリへの口座開放が4桁の暗証番号っていうのはザルなんじゃないかなーというのが、本件で私が一番強く感じた疑問であります。

p.s.

今回、ドコモ口座は本人確認をやっていないということでフルボッコにされていますが、例えばPaypayも、アカウント作成はSMS認証でのみで、本人確認なしで銀行連携できるように見えます。そうであれば、犯行用携帯があれば同様の手口にあう可能性がないか不安になります。また、おサイフケータイの楽天edyも、メールアドレスだけで楽天会員登録してしまえば、それを用いてedyのアカウントを作れて、銀行連携まで持っていけるっぽいので、そうであれば同じ話だと思います(送金機能はないけど)。

まあ、SMS認証用の携帯電話を準備する分ハードルが高くなり、可能性としては低くなるのかも知れません。あとは、被害の拡大を抑える観点からは、1日のチャージ上限をどうしてるかとかも関わってきますね(一定額超えると、法律上本人確認が必須という問題も出てきますが)。実際に被害にあう人にとっては、件数の少なさや金額低いとかあまり関係ないですが。

 

コメント

タイトルとURLをコピーしました