秋吉 健のArcaic Singularity:問題の本質は銀行側にあった。ドコモ口座不正利用事件で発覚した企業のセキュリティー意識の低さを考える【コラム】
 |
| ドコモ口座不正利用事件について考えてみた! |
日本中を震撼させる大事件が9月8日に発覚しました。既報通り、NTTドコモが運営するオンライン金融サービス「ドコモ口座」を利用し、一部の銀行において悪意ある第3者による不正利用が行われたというものです。テレビや新聞などでも大きく報じられ、NTTドコモが9月10日に記者会見も開いており、事件の概要を知らない人はいないでしょう。
ニュースの見出しなどでも「ドコモ口座で不正利用」という文字が連日飛び交っていますが、その実態は思うほど簡単なものではなく、精査するほどにNTTドコモだけの問題ではないことが分かります。むしろドコモ口座は「氷山の一角」で悪用されたにすぎず、問題の根本を正さない限り第2第3の不正利用事件がいつ起きてもおかしくない状況であることが明るみになりました。
事件の本質と真相を探る
■単純ななりすましによる犯行手順
はじめに事件の概要と現在の状況です。NTTドコモの発表によると、今回の不正利用が最初に銀行より報告されたのは9月3日。翌9月4日には同社マネージメント層も認知するところとなり、その後、状況の調査や銀行との情報共有もあり、9月8日に情報の公開となりました。
その後の調査によって実際には8月から不正利用が行われていたことも判明し、9月10日0時の時点でドコモ口座の新規登録を停止。同日12時の時点での不正利用は66件、総額約1,600万円の被害が確認されたことを記者会見で報告しました。
さらに9月11日0時の時点では被害件数73件、総額約1,990万円に上っていることが明らかにされ、NTTドコモでは9月12日9時よりドコモ口座を利用した不正利用における専用窓口を開設し、通帳の明細にて心当たりのない「ドコモコウザ」や「デイーバライ」からの引き落としがある場合に連絡するよう案内しています。
受付開始日時:2020年9月12日(土曜)午前9時
受付時間:午前9時〜午後8時
専用フリーダイヤル:0120-885-360
※一部のIP電話からは接続できない場合があります。
一方、NTTドコモでは被害への対応について銀行と連携して全額補償することが決定しています(補償時期は未定)。またNTTドコモにおける今後の対策としてドコモ口座開設の際にSMS認証およびオンライン本人確認(eKYC)による本人確認を必須とすることを発表しています。
今回行われた不正利用の手口は以下の通りです。
【1】悪意ある第三者が何らかの方法によって、被害者の口座番号(ID)、暗証番号(パスワード)、生年月日などを入手
【2】悪意ある第三者が被害者の名義を使い、ドコモ口座を開設
【3】開設したドコモ口座と盗み出した銀行口座情報を紐付け、ドコモ口座へチャージ(入金)
【4】ドコモ口座とd払いを連携し、商品を購入するなどして現金化
一見複雑そうに見えますが、実際は非常に単純でオーソドックスな“なりすまし”による不正利用です。
被害者の銀行口座情報などの入手には事前に漏洩していたリストを利用したか、リバースブルートフォースと呼ばれる「パスワードを固定しIDを総当りにしてアカウントを特定する犯罪手段」などが用いられた可能性がありますが、現在はまだ確定されていません。
今回の犯罪に使われた銀行は11行で(10日時点)、NTTドコモは9月11日0時時点でドコモ口座での全提携銀行における銀行口座登録および銀行口座変更を停止しています。さらに18行においてチャージ機能の停止を行っています。
チャージが停止された銀行は以下の通りです。
・ゆうちょ銀行
・イオン銀行
・伊予銀行
・大分銀行
・大垣共立銀行
・紀陽銀行
・滋賀銀行
・七十七銀行
・仙台銀行
・第三銀行
・千葉銀行
・千葉興業銀行
・中国銀行
・東邦銀行
・鳥取銀行
・北洋銀行
・みちのく銀行
・琉球銀行
■性急なキャリアフリー戦略が悲劇を招いた
では、なぜこのような不正利用が行われてしまったのでしょうか。原因は大きく2つ挙げられます。1つはドコモ口座による本人確認の甘さです。
ドコモ口座のサービスが開始されたのは2011年。当時はまだNTTドコモのユーザーのみが利用できるサービスであり、2019年9月までその状況は継続されていました。
自社のユーザーのみの利用であったことから、本人確認の手段として同社で契約しているスマートフォン(スマホ)などの携帯端末の契約情報を用いていたため、比較的強固で確実なセキュリティーが保たれていました。
ところが、2019年10月にドコモ口座は決済・送金サービス「d払い」における残高として利用することに合わせ、NTTドコモの携帯電話契約者以外でも利用できるサービスとして開放され、それ以降は任意のメールアドレスさえあれば誰でも開設可能(アカウント取得可能)な状態となっていました。
悪意のある第3者はこの安易な開設方法に目をつけたのです。
被害者の名前を騙ってドコモ口座を開設することが非常に簡単に行える状態だった
なぜNTTドコモは携帯電話契約による本人確認という強固なセキュリティーを放棄し、いわゆる「捨てアド」でも簡単にアカウントを作れてしまうような仕様へと変更してしまったのでしょうか。その答えは同社の「キャリアフリー戦略」にあります。
NTTドコモは2017年度からの新中期戦略2020として「beyond宣言」を策定し、自社の携帯電話利用者以外にもサービスを開放してより多くの顧客を集め、自社経済圏を拡大していく戦略を展開しました。
通信回線契約で顧客を囲い込むだけでは収益力の増強が難しくなる中、2018年頃からは総務省による値下げや市場開放への圧力が強くなるなど複数の要因も絡み、回線契約以外の収益の柱を早急に確立する必要に迫られたのです。
こうして同社は通信回線契約に縛られない「キャリアフリー」によるサービス展開戦略を半ば強引に推し進めていくことになりましたが、ドコモ口座の開設方法の変更は、そういった強引且つ性急な戦略による「見過ごされたセキュリティーホール」であったと考えられます。
一応これまでも2段階認証は行われていたが、その認証に用いるメールアドレスが任意の「捨てアド」で可能だったため、セキュリティーとして機能していなかった
■低すぎる銀行のセキュリティー意識
そして何よりも重大で深刻な問題だと考えられるのが、銀行側のセキュリティー意識の低さです。
今回の事件ではドコモ口座が犯罪に用いられたことからNTTドコモ側の問題ばかりが追求されがちですが、実はドコモ口座はセキュリティーの「内堀」でしかありません。
そもそもは銀行口座情報を不正入手されてしまった銀行側の問題であり、銀行がネット口振などでワンタイムパスワードや生体認証などを用いていれば防げた事件です。
銀行のセキュリティーは「外堀」であり、今回犯罪に利用されてしまった銀行はいずれもセキュリティーが甘く、もともと外堀が埋められた(もしくはそもそも外堀が存在していなかった)状態であったと考えられます。
しかし、それでも現在まで不正利用が非常に少なかった理由は、2019年9月までドコモ口座の開設に携帯電話契約による本人確認が必要であったためであり、NTTドコモのセキュリティーシステムによってかろうじて犯罪が防がれていた状態だったのです。
それが2019年10月のドコモ口座開設における規約変更によって内堀まで埋まってしまい、簡単に攻め入られる状態になっていたというのが、今回の不正利用の真相です。
NTTドコモがチャージ機能の利用停止を全行に適用せず、18行に限定した理由はそこにあります。このリストにある銀行は「セキュリティーが甘い」(外堀として機能しない)と烙印を押されたのです。
【2020年9月14日19時 追記】
9月14日現在、NTTドコモがチャージを停止している銀行数は26行に増加しています。セキュリティー上問題のある銀行に加え、銀行側からの要請によってチャージを停止している銀行もあると見られ、今後さらに増える可能性もあります。
詳細はNTTドコモのドコモ口座公式サイトをご確認下さい。
【重要】銀行口座登録の申込受付停止および一部銀行のチャージ停止について
逆に言えば、リストにない銀行であれば十分なセキュリティーが確保されていると考えて良い
この事実は非常に重大な意味を持ちます。それは「これらのセキュリティーの甘い銀行は、口座を持っているだけで常にリスクがある」ということです。
そのリスクはドコモ口座を持っているかどうかに関わりません。これらのセキュリティーの甘い銀行に口座を持っているだけで、ドコモ口座のような外部サービスから容易に金を盗まれる可能性があることを示唆しているのです。
「口座はあるけどお金はほとんど入っていないから大丈夫」と考えている人も要注意です。銀行によっては預金残高が不足していても振込が可能な「自動貸越」(※)サービスなどを行っており、このサービスを利用している場合、不正利用によってマイナス残高(つまり借金)となる可能性があります。
※銀行によっては「当座貸越」、「貯金担保自動貸付け」などとも呼称する
ゆうちょ銀行による貯金担保自動貸付けの紹介。平時であればいざという時に頼りになるサービスだが、セキュリティーが甘いままでは犯罪を助長しかねない
この時点で、私たち消費者ができる自衛手段はたった1つしかありません。これらの銀行を利用しない(口座を作らない、口座を解約する)ことです。
9月11日現在、今回の事件に関連したセキュリティー強化について具体的な方策を示した銀行は、NTTドコモがチャージを停止した銀行の中では七十七銀行の1行のみです。また具体的なセキュリティー対策を行うまでオンラインでの口座振替を全面的に停止するといった対策を打ち出した銀行もありません。
「内堀」もしくは「最後の砦」としてのドコモ口座は、SMSおよびeKYCによる本人確認というセキュリティー強化を発表し、「9月中には実装する」と早期の対応を掲げたのに対し、銀行側の対応の遅さと判断の鈍さが大きな問題です。
現時点で最も早く不正利用が発覚した七十七銀行では、セキュリティー強化策としてこれまでの認証方式に加えて同行に届け出た電話番号に対して架電(ワンタイムパスワードの通知)する「IVR認証」を9月中旬まで導入するとしていますが、このまま多くの銀行が「セキュリティー強化に努めます」というパフォーマンスのみで何も行わなかった場合、第2第3の不正利用事件が起こる可能性は十分にあります。
中国銀行によるお知らせ。具体的なセキュリティー対策も提示せず「万全を期す所存」(赤枠内)と言われても、何を信用しろと言うのか。さらに他の多くの銀行は補償についてさえ案内していない
■企業の慢心と意識の低さが犯罪を助長する
今回の事件において、NTTドコモに大きな非があったことは間違いありません。自社のキャリアフリー戦略を急ぐがあまりにドコモ口座開設のセキュリティーホールに気が付かずそのまま運用してしまったことは大きな間違いでした。
同社によれば、これまで第3者機関によるセキュリティーチェックも定期的に行っていたとのことですが、それが事実ならば第3者機関のチェックも正しく機能していなかったということになります。
セキュリティー意識から管理実態まですべてにおいて杜撰さが垣間見られ、収益拡大を優先した同社の責任は非常に重いと考えます。
一方で、すぐに原因を特定し、必要なセキュリティー対策を打ち出した上で早期の実装に取り組む姿勢を見せている点は一定の評価をすべきでしょう。
いまだにサービス自体を停止せずに運用している点については評価が分かれるところですが、今回の犯罪自体が何週間もかけて行うようなものではなく、足がつかないうちに素早く行われる類のものであることから、不正利用があった特定の銀行に対しての水際対策のみで十分に対応可能な範囲であると筆者は考えます。
とはいえ、サービスの利用者数や利用頻度を考えても、サービスを全停止した場合の損害補償やユーザー対応にかかるコストを鑑みるに、「現在すでに被害に遭っているユーザーへの補償対応で済ませたほうが良い」という、NTTドコモと銀行の各社による打算的な思惑もあったものと思われます。
利益と事業拡大を優先したツケは非常に大きかった
繰り返しとなりますが、今後最大の問題となるのは銀行側の対応だと思われます。事後対応および補償についてはNTTドコモとの協議によって進められますが、事前の対策がまったく不透明です。事故の補償はするが事故の原因は対策しない(精神論としては誠心誠意努力します)、では困ります。
オンライン金融サービスの不正利用事件と言えば、2019年7月に発生した、セブン&アイ・ホールディングスのオンライン決済サービス「7pay」の不正利用事件を思い出しますが、この事件について筆者がコラムを書いた際、「犯罪のターゲットはユーザーではなくセキュリティー意識の薄い企業である」と、まとめました。
【過去記事】秋吉 健のArcaic Singularity:7payを襲った大規模不正利用事件!何がいけなかったのか?スマホ時代のオンライン決済の安全性と犯罪者心理について考える【コラム】
今回の不正利用でも狙われたのは「セキュリティー意識の薄い企業」であり、それは銀行とNTTドコモでした。NTTドコモは即座に反省して対策を打ち出しましたが、銀行はどうでしょうか。
たとえ被害額が最大で数十万円程度であったとしても、お金はお金です。庶民にとっては貴重なお金であり、1円であっても盗まれて良いものではありません。それが盗まれないことを信用するからこそ銀行に預け、銀行のサービスを利用するのです。
通信会社であれ、銀行であれ、信用に値するセキュリティー意識とセキュリティーシステム程度は持っていただきたいものです。
セキュリティー意識とセキュリティー技術の低い企業に、自分のお金は預けたくない
記事執筆:秋吉 健
■関連リンク
・エスマックス(S-MAX)
・エスマックス(S-MAX) smaxjp on Twitter
・S-MAX - Facebookページ
・連載「秋吉 健のArcaic Singularity」記事一覧 - S-MAX
・ドコモからのお知らせ : ドコモ口座を利用した不正利用についてのお問い合わせ窓口設置について | お知らせ | NTTドコモ
・<重要>「ドコモ口座」を利用した当行口座の不正利用への対応について | 緊急掲載情報 | 七十七銀行