2020年9月に発生した、ドコモ口座で不正出金が行われているという問題。これ、はっきり言ってかなり危険だと思います。ドコモユーザーじゃないし、とか、ドコモ口座使ってないしということは関係ないです。
auユーザーでdアカウント(ドコモのアカウント)を持っていないという人でも被害に遭う可能性があります。
- 無制限にアカウントを作ることができるドコモ口座の仕様
- 比較的簡単な方法で本人確認としてドコモ口座との連携が可能な銀行の仕様
の二つの問題が重なったことで生じる問題だと推測しています。
で、問題の種が大きいのは、暗証番号が流出したというわけではなかったとしても、不正出金被害にあう可能性があるということです。
今回の不正出金被害のことを気にしなくていいのは「対象銀行に口座を持っていない人」だけです。
いやいや、結構大変な事件です。報道が少ないのが不思議なくらい。
ドコモ口座は誰でも無制限にアカウントを作ることができる
ドコモ口座は銀行口座のように思われるかもしれませんが、ドコモの電子マネーサービスです。ドコモユーザーだけでなく、dアカウントがあれば利用可能になります。
そしてdアカウントは誰でも簡単に作ることができます。
一人一口座としていますが、dアカウントが無制限に作ることができ、本人確認がこの時点で行われないことで、実質的に無制限に作成可能になるのだと考えられます。
ドコモ口座作成時には二段階認証として「メールアドレス」が必要でしたが、そんなの無限に作れちゃいますからね……。SMS認証も行われていないようです。
比較的簡単な方法で本人確認としてドコモ口座との連携が可能な銀行の仕様
ドコモ口座のような電子マネーへのチャージに銀行口座との紐づけに必要な情報はいくつかあると思いますが、
- 口座番号
- 支店番号
- 暗証番号
この辺りだけで登録できちゃう銀行が危ないのかなと思います。暗証番号って4桁なので1万通りしかありません。複数回間違えるとロックされるとしても、ドコモ口座が無限に作れるという前提があれば試行回数を増やすことでアクセスできちゃうケースもあります。
暗証番号が4桁でも大丈夫というのは、キャッシュカードというような物理カードがあり、それを不正に入手するのが難しく、かつ3回程度でロックされるという組み合わせがあるからこそ、一定のセキュリティを担保できるわけです。そのため、無限アタックができる状況だと4桁の暗証番号は脆弱です。
もちろん、口座番号と暗証番号が流出したという可能性もないわけではありませんが、口座番号を順々にして、適当な暗証番号で1万件アタックすれば1件は登録完了ができてしまうということになります。いわゆる総当たり攻撃(ブルートフォースアタック)と呼ばれるものです。
口座がロックされるに複数回取引するのではなく、口座番号自体を変えて、一つの暗証番号で試していくという方法をとれば1万口座に1件の割合で合致してしまうわけです。このように暗証番号側(パスワード側)への総当たりではなく、口座番号(ログインID)側への総当たりをリバースブルートフォースというそうです。
今回被害に遭った方は、おそらくこうした総当たり攻撃によって運悪く口座番号と暗証番号が一致してしまった方なのではないかと指摘されています。
責任はどこにある?
今回は、ドコモも不正出金された銀行も明確な責任を認めていません。
(ドコモ)
ドコモからのお知らせ : 一部銀行の口座情報を使用したドコモ口座の不正利用について | お知らせ | NTTドコモ
一部の銀行において、ドコモ口座を利用した不正利用が発生しております。
本件は、不正に取得された銀行口座番号やキャッシュカードの暗証番号等を悪用したものであり、当社システムに不正アクセスされ情報を取得されたものではございません。
当社は、これまで不正アクセスに対する二段階認証やアカウントロック等、様々なセキュリティ対策を講じておりますが、お客さまにより安心・安全にご利用頂けるよう、更なる対策強化に努めてまいります。
また、被害に関する調査、対策については、銀行と連携して対応してまいります。
ドコモは今後もお客さまへの一層のサービス向上に取組んでまいりますので、何卒ご理解を賜りますよう、よろしくお願い申し上げます。
(七十七銀行)
(株)NTTドコモが提供する「ドコモ口座」において、不正に盗み出した口座番号やキャッシュカードの暗証番号等のお客さま情報を使用した当行口座の不正利用が発生しました。
現在、警察や関係機関と連携して調査を進めております。被害に遭われたお客さまには心よりお見舞い申し上げます。現時点で、当行のシステムから、お客さまの口座番号やキャッシュカードの暗証番号等のお客さま情報が漏洩した事実はございません。
当行では、お客さまの安全を最優先するため、「ドコモ口座」で当行口座を登録する際に使用している「Web口振受付サービス」の利用を、9月4日より当面の間停止させていただきますので、「ドコモ口座」で当行口座を新規登録することはできません。なお、既に「ドコモ口座」に当行口座を登録済みで、チャージをご利用いただいているお客さまにおかれましては、ドコモ口座へのチャージは、従来どおり、継続してご利用いただけます。
確かに、ドコモは既存ユーザーのドコモ口座に不正アクセスされたわけではないかもしれません。攻撃者は正規にアカウントを作って銀行が定める方法でドコモ口座と銀行口座を連携したわけです。
また、銀行側も口座番号と暗証番号が流出したわけではなく、正しい口座番号と暗証番号が入力されたから本人確認ができたとして出金(チャージ)に応じたというわけです。
不正の手口はそのうち明らかになると思いますが、誰が悪いの?と言われたら総当たり攻撃ができるような仕様にした双方が悪いということになると思います。
無限にドコモ口座というツールを作らせたドコモも悪いし、本人確認のセキュリティレベルが低かった銀行も悪いのでしょう。
ドコモ口座と連携可能な銀行リスト
以下の銀行がドコモ口座と連携可能な銀行です。以上を踏まえると、ドコモ口座を悪用した不正出金は以下のどの銀行でも発生する可能性があります。
毎日新聞(2020年9月8日)によると不正引き出しが確認された銀行は七十七銀行、中国銀行、東邦銀行、滋賀銀行、鳥取銀行の5行で少なくとも確認されているそうです。大垣共立銀行でも疑わしい取引があるとのこと。
- みずほ銀行
- 三井住友銀行
- ゆうちょ銀行
- イオン銀行
- 伊予銀行
- 池田泉州銀行
- 愛媛銀行
- 大分銀行
- 大垣共立銀行
- 紀陽銀行
- 京都銀行
- 滋賀銀行
- 静岡銀行
- 七十七銀行
- 十六銀行
- スルガ銀行
- 仙台銀行
- ソニー銀行
- 但馬銀行
- 第三銀行
- 千葉銀行
- 千葉興業銀行
- 中国銀行
- 東邦銀行
- 鳥取銀行
- 南都銀行
- 西日本シティ銀行
- 八十二銀行
- 肥後銀行
- 百十四銀行
- 広島銀行
- 福岡銀行
- 北洋銀行
- みちのく銀行
- 琉球銀行
ドコモ口座の有無、ドコモの利用有無に関係なく発生する可能性がある金融被害です。
すでに複数の銀行とドコモは口座連携を止めたようですが、上記銀行に口座をお持ちの方は不正な出金がないかを念のため確認してみるべきだと思います。繰り返しになりますが、ドコモ口座の有無、ドコモユーザーであるなしは関係なく被害に遭うリスクがあります。
現状でリスクを回避したいという方は口座から出金するしかないと思います。
今回はドコモ口座が踏み台になっていますが、その他の決済アプリでも同じような問題が起こる可能性があります。
被害を減らすには、銀行側は口座番号+暗証番号という古典的な認証だけでなく、その他の追加的な本人確認を取る必要があるでしょう。している銀行もあります。
少なくとも西日本シティ銀行では私が登録する際には口座開設時に登録した電話番号に認証コードが音声で通知されてきました。
ご利用の銀行がそうした二段階認証に対応しているかどうかも確認すると良いと思います。
七十七銀行(仙台市)、中国銀行(岡山市)、大垣共立銀行(岐阜県大垣市)、イオン銀行(東京都)、池田泉州銀行(大阪市)、大分銀行(大分市)、紀陽銀行(和歌山市)、滋賀銀行(大津市)、仙台銀行(仙台市)、第三銀行(三重県松阪市)、但馬銀行(兵庫県豊岡市)、鳥取銀行(鳥取市)、北洋銀行(札幌市)、みちのく銀行(青森市)、伊予銀行(松山市)、東邦銀行(福島市)、琉球銀行(那覇市)
上記の銀行とドコモは口座連携を止めたとのことです。二段階認証の有無で連携を止めたのかどうかは分かりませんが、不正出金のリスクがあると判断したわけでしょう。
(追記)
すべての銀行との連携が中止されたようです。
ドコモ口座に限らず、決済アプリ側でもこうした無差別なアタックができないような対策が求められます。
ちなみにさ、なんちゃらPayで銀行との口座連携だけで本人確認としてるサービス結構なかった??それも含めたらメチャクチャ怖いんだけど……