9月8日、NTTドコモの電子マネーサービス『ドコモ口座』にて不正引き出しが報告され、9月10日にドコモが記者会見を開きました。NTTドコモが手がける「ドコモ口座」は、銀行口座を登録して入金すれば「d払い」で買い物や送金ができるサービスで、この口座を通じて銀行預金の不正な引き出しが相次ぎました。1週間ほどたって報道を追っていくと、ドコモと金融機関の両方に責任と甘さがあることが原因のひとつだと見えてきました。今回は世間を騒がせた「ドコモ口座」不正被害の報道を追って見えてきた、驚くべき原因と問題についてお届けしたいと思います。
「ドコモ口座」不正被害の状況
9月11日までに確認された被害は全国の12の銀行で合わせて1990万円にのぼり、被害の拡大が続いています。また、ドコモ口座と連携している35行のうち18行が、銀行の口座から預金を引き出しドコモ口座にチャージするといった口座間の送金を停止しました。今後ドコモは銀行側と協議したうえで被害者に全額を補償する方針です。
被害の確認されている銀行
これらの銀行に口座をもっていてドコモ口座と連携させていない人は、「ドコモコウザ」や「ディーバライ」から引き落としが行われていないか確認してみた方がいいかもしれません。既に自分でドコモ口座と連携済みの場合は、複数のドコモ口座と連携させることはできないので一応大丈夫だとみられます。自分はドコモユーザーではないので関係ないと思っている方の場合にも、非ドコモユーザーほど今回の被害にあっていますので注意が必要です。
今回被害が集中したのは『Web口振受付サービス』を使ってドコモ口座と連携していた地方銀行が中心となっています。Web口振受付サービスは地銀ネットワークサービス(東京都中央区)が提供する、収納企業(決済サービス提供社)と地方銀行の連携サービスです。ユーザーが自身のドコモ口座へ銀行口座から入金するには、ドコモ口座のWebサイトから銀行口座を登録する必要があります。登録に必要なのは『口座番号』『名義』『4桁の暗証番号』の3点で、なんらかの方法でハッカーにこの情報を抜き取られ不正利用されてしまったとみられています。
どんな手口が使われた?
現時点で口座番号などを盗み出した具体的な手口はまだ明確になっていませんが、「フィッシング」や「リバースブルートフォース」、「パスワードスプレー」といったサイバー攻撃の手法があげられています。実際12日の報道では、昨年既にドコモ口座に関連したフィッシング被害があったことが指摘されています。
フィッシング
地銀偽サイト情報転用か、昨年末大量発覚 ドコモ口座被害
2020年9月12日
NTTドコモの電子マネー決済サービス「ドコモ口座」をめぐる預金の不正引き出しに絡み、昨年、口座番号や暗証番号を盗み取る全国の地銀などの偽サイト(フィッシング詐欺サイト)が大量に見つかっていたことが12日、分かった。今回の不正では、預金者の口座番号といった個人情報を入手した何者かがそれを基に、勝手にドコモ口座を開設して銀行から金を移し替えていた。セキュリティの甘い地銀を狙うため、偽サイトを個人情報の入手に用いた可能性があるとみられ、全国の警察が被害状況の確認を急いでいる。
引用: 産経新聞
フィッシング (Phishing) とは実在する組織を騙って、ユーザネーム、パスワード、アカウントID、ATMの暗証番号、クレジットカード番号といった個人情報を詐取することです。電子メールのリンクから偽サイト (フィッシングサイト) に誘導し、そこで個人情報を入力させる手口が一般的に使われています。前回の記事でも、フィッシングやフィッシングの一部であるスミッシングについてお届けしたばかりです。
DoCoMo等通信キャリア(携帯電話会社)に装い、SMSからフィッシングサイト等に誘導する手口が使われています。2019年は、フィッシングサイトへの誘導に SMS を使う「スミッシング」の報告が増え、スマートフォン利用者が明確なターゲットとなっている状況が明らかになっています。トレンドマイクロの調査によると、スミッシングでフィッシングサイトに誘導されたスマートフォンユーザーは2019年1月から急増し、月間4万人以上が偽の金融機関のWebサイトなどに誘導されています。
リバースブルートフォース攻撃
リバースブルートフォース攻撃とは、不正ログインを目的とするアカウント突破手法のうち、特定のパスワードと、ユーザーIDに使用され得る文字列の組み合わせを用いて総当り的にログインを試みる手法のことです。リバースブルートフォースによる攻撃とされるものは、登録に必要なパスワードは変えずに固定し、口座番号などのIDを変えながらログインを繰り返す攻撃です。パスワードや暗証番号は複数回入力するとアカウントが凍結されるような仕組みとなっていますが、IDの方は何度入力し直しても凍結されることはないケースが実際に今回のケースでもあったとされています。今回の攻撃にリバースブルートフォースが使われたのかは定かではありませんが、もしプログラムを使ってログインを繰り返して、IDを探ることが可能であったならば、フィッシングメールなどを使わずとも、本人がまったく知らないうちにIDとパスワードが勝手に盗みだされてしまうということです。
事件の起こってしまった体制的な原因
成り済ましが可能なドコモ側の本人確認の甘さ
NTTドコモは9月10日、電子決済サービス「ドコモ口座」を通じて現金の不正引き出しが相次いでいることを受け、丸山誠治副社長、前田義晃本部長(常務執行役員 マーケティングプラットフォーム本部)、田原努部長(ウォレットビジネス部)が出席し記者会見を開きました。その中で原因として、「ドコモ回線契約がない方の不十分な本人確認によって発生した問題と認識している」と前田本部長が述べています。続けて「手軽に使っていただきたいという思いでこのようなフローにしていたが、今回のようなお金の絡むサービスについては、本人確認を厳重にするべきだった。認識が甘かったと考えている」と謝罪しました。
現状、ドコモ口座の開設に厳格な本人確認はなく、メールアドレスを用意するだけで登録が済んでしまいます。何らかの手段で預金者の名義や口座番号などを盗み出し、名義人に成り済ましてドコモ口座を開くことが可能です。
銀行のセキュリティシステムへの疑問
一番最初に不正利用の被害を発表した七十七銀行は「自社のシステムから顧客の口座番号やキャッシュカードの暗証番号などの情報が漏えいした事実はない」と発表しています。しかし今回被害の集中した地銀は、大手の銀行に比べて本人確認等のセキュリティのゆるさや、『Web口振受付サービス』の信頼性自体に対する疑問も指摘されています。このサービスへの接続に必要なのは氏名、口座番号、生年月日、4桁の暗証番号のみです。それらの情報を不正に入手すれば、第三者によって勝手に口座接続ができる状態でした。そのため関係者は、口座番号やキャッシュカードの暗証番号の登録で手続きが完了する、つまり二要素認証のない銀行を中心に狙われたと推測しています。
一方現時点で被害の出ていないみずほ銀行は、自社のインターネットバンキングを経由してドコモ口座と接続しており、取引ごとに使い捨ての「ワンタイムパスワード」を発行していました。預金口座のひも付けに必要な本人確認は、銀行によってまちまちです。ドコモ側は銀行のセキュリティは銀行にゆだね、ドコモがその体制に介入はしていなかったと言っていますが、こうした利便性を優先させた各システム間の確認の甘さがつけいられたことは間違いないでしょう。
さいごに
「7pay(セブンペイ)」で大規模な不正利用があった事件は今も記憶が生々しく残るものの、それらの事件の教訓が本当に生かされているのか疑問に思う今回のドコモ不正引き出し事件となりました。「ドコモと銀行双方のセキュリティ管理が甘く、その組み合わせを突かれたのだろう」と話す決済事業者もいますが、原因をみてみると本当に唖然とするようなセキュリティに対してずさんだと言わざる得ない事件でした。こうした不祥事が相次ぐと、キャッシュレス決済への信頼性も低下し、普及に対する痛手となります。今後自社の信頼を守り、安全なサービスを提供する意識が改めて企業に求められていくことになるでしょう。
なお、ゆうちょ銀行はこの件に関し、二要素認証を導入し再発を防ぐと表明しています。詳しくは、下のリンクからご覧いただけます。
