MENU
ゆるブログ
雑記ブログとしてリニューアルしました(2021/05/03)
  1. ホーム
  2. ITスキル
  3. ドコモ口座で不正送金被害が発生!犯行手口とNTTドコモが掲げた再発防止策とは?

ドコモ口座で不正送金被害が発生!犯行手口とNTTドコモが掲げた再発防止策とは?

ITスキル
2020.09.11
ドコモ口座で不正送金被害が発生!犯行手口とNTTドコモが掲げた再発防止策とは?

NTTドコモは、電子決済サービス「ドコモ口座」で現金が不正に引き出される被害があったとして会見を開きました。

NTTドコモが謝罪。左から田原務ウォレットビジネス部長、丸山誠治代表取締役副社長、前田義晃常務執行役員マーケティングプラットフォーム部長
itmedia.co.jp

9月10日正午までに確認された被害は、66口座で1800万円。
9月18日時点で全国11の銀行で2764万円まで被害が拡大しています。

「犯行手口は何だったのか?」
「再発防止のためNTTドコモが対応する施策はどのようなものなのか?」

について解説していきます。

攻撃者の犯行手口とは?

「護送中の容疑者X(仮名)」の写真[モデル:大川竜弥]

攻撃者は、以下手順を実行することで不正を行ったとされています。

  1. 地銀口座の個人情報を何らかの方法で入手した
  2. 入手した個人情報を使ってドコモ口座を開設した
  3. ドコモ口座のWeb画面から地銀口座の連携設定を行い、地銀口座から出金した

それぞれについて解説していきます。

地銀口座の個人情報を何らかの方法で入手した

「自分のマイナンバーが気に入りません。好きな番号に変更できませんか?」の写真[モデル:大川竜弥]

今回狙われたのは地銀でした。

これまでに七十七銀行(宮城県仙台市)、中国銀行(岡山県岡山市)、大垣共立銀行(岐阜県大垣市)、東邦銀行(福島県福島市)などが被害にあったと公表しております。

いずれも新規登録の停止を発表しており、NTTドコモの中だけでは済まされない問題に波及しています。

「なぜ地銀口座の個人情報がもれたか?」については、現時点では判明しておりません。

確かなこととしては、地銀口座の口座番号、名義、4桁の暗証番号の3点があればドコモ口座との連携設定が可能なため、この3点が結果的に攻撃者へ漏えいしたことになります。

特に、「暗証番号が4桁しかないのが脆弱ではないか?」という意見が専門家から上がっているようです。

皆さんは、ECサイトやネット銀行など様々なWebサービスを利用していると思いますが、利用するサービスが増えるほどパスワードの管理が煩雑になりますよね。

このような時、無意識のうちにパスワードを統一してしまっていると言うことはないでしょうか。

更に、生年月日など他者に推測されやすい数字で登録していると、攻撃者に比較的容易に推測される可能性があります。

地銀の口座番号がバレなければ攻撃は成立しないのではないだワンか?

IT初心者めるり
IT初心者めるり

暗証番号が仮にバレたとして、そう思う方もいるかもしれません。

しかし、攻撃者は総当たり攻撃(ブルートフォース攻撃)などを利用し、認証を突破した可能性があります。

総当たり攻撃とは、全パターンをしらみつぶしで検証していく古典的な方法です。

口座番号は6桁ほどであることが多いのですが、昨今のコンピュータの演算速度であればそこまで時間もかからなかったと思われます。

被害者名義でドコモ口座を開設した

「給付金の受け取りに使った銀行口座」の写真

攻撃者は、なぜ被害者本人でないにも関わらず被害者名義のドコモ口座を開設できたワンか?

IT初心者めるり
IT初心者めるり

理由は、ドコモ口座開設手続きで本人確認をするしくみが欠落していたためでした。

現行のドコモ口座開設手続きでは、SMSによる2段階の認証を行っております。

しかしこの認証方式では、被害者の名前と、仮登録の連絡先として攻撃者の電話番号やメールアドレス等を設定することで、被害者名義でドコモ口座を開設できる状況となってしまいました。

ドコモ口座から地銀口座への連携設定を行い、地銀口座から出金した

「口座開設したらビットコイン騰がっちゃった」の写真[モデル:大川竜弥]

今回狙われてしまった地銀は、いずれも「Web口振受付サービス」を利用してドコモ口座と連携していたことが分かっています。

「Web口振受付サービス」は、収納企業(決済サービス提供社)と地銀の連携サービスです。

攻撃者は、ドコモ口座の「Web口振受付サービス」のWeb画面にて、予め入手していた地銀口座の個人情報を入力し、地銀口座との連携設定を行ったのです。

連携設定をしてしまえば、地銀口座からの出金は可能な状態に。

攻撃者はここまでの一連の流れで計画を立て、行動に移しました。

NTTドコモの再発防止策「eKYC」とは何か

<a href="https://jpn.nec.com/press/201904/20190424_04.html">NECの本人確認サービス「Digital KYC」</a>から
www.watch.impress.co.jp

NTTドコモは、今回の再発防止策として、従来の2段階の認証に加えて本人確認のため「eKYC」を導入すると発表しています。

「eKYC」とは、メルカリやLINE Payなどで導入されている新しいWebの認証技術です。

メルカリを登録した皆さんは、本人確認書類(運転免許証)を持って顔を同時に撮影したことを覚えてますでしょうか?

「eKYC」はその認証方式です。

登録者に本人確認書類を角度を変えて厚みが分かるようにも撮影させることで、間違いなく本物であることを確認し、偽造したもので認証できないようにしています。

これまでの本人確認では本人確認書類を郵送する方式が一般的でしたが、eKYCでは本人確認をWeb画面で完結できることがメリットと言えます。

NTTドコモはこのeKYCを導入することで、利用者の負担をできる限り少なくしつつ本人確認をきちんと行い、セキュリティを確実に担保しようとしているのですね。

この事件で思うこと

「収納されたかった猫」の写真

今回の事件の根本原因は、ドコモ口座の開設手続きを本人でない人が行うリスクがあることを十分に考慮していなかった点であると思います。

ある方向で十分なセキュリティ対策を行っていても、攻撃者から予期せぬ観点を突かれてセキュリティの事故が発生することがあります。

NTTドコモとしては再発防止に向けてこれから頑張ってくれるところですが、どんなに大きな企業・組織でもセキュリティ対策が万全とは限らないということを私たちは念頭に置かなくてはならないと思いました。

自分は地銀の口座を持っていないから関係ないだワン!

IT初心者めるり
IT初心者めるり

そう考えるのではなく、明日は我が身と思って今一度気を引き締めたほうがいいですね。

他者に推測されやすいパスワードや、使いまわしのパスワードを設定しないといったごく当たり前のことから実践するようにしましょう。

ITスキル
よかったらシェアしてね!

関連記事

目次
閉じる