新聞で見たんだけど、やっぱりネット銀行って危ないのかな?
今回は、ネット銀行と決済サービス(ドコモ口座)の連携の仕組みを勉強して、個人で注意できることを考えてみましょう。
1. 報道によると…(2020年9月9日)
勝手に銀行のお金がおろされてしまうなんて怖いなあ。「ドコモ口座」をやめた方がいいのかな。
確かに怖いですよね。でも、利用者が「ドコモ口座」をすぐにやめる必要があるかというと、実はそう単純でもありません。「ドコモ口座」を作っていなかった人でも被害にあっているからです。
えっ? 被害者がドコモ口座を使っていたわけではないの?
今回の事件の流れをみてみましょう。
- 犯罪者が勝手に「ドコモ口座」を作った
- そこに被害者の銀行口座を連携させた
- 被害者の銀行口座から不正に出金した
NTTドコモが提供する電子決済サービス「ドコモ口座」を利用して、銀行から不正に現金を引き出す被害が相次いでいる。七十七銀行(宮城県仙台市)は9月7日、同行の顧客に被害があったとしてドコモ口座への新規登録を当面停止すると発表。中国銀行(岡山県岡山市)、大垣共立銀行(岐阜県大垣市)、東邦銀行(福島県福島市)も8日、同様の理由で新規登録の停止を発表した。
「ドコモ口座」で相次ぐ不正出金、なぜ地銀だけが狙われた? 専門家の見解は(2020年09月09日)
この事件のポイントをおさえて、ドコモ口座、地方銀行、利用者のそれぞれで「何を注意すればよいか」考えてみましょう。
2. まず個人でできることは?
個人でできることは次の2つです。
2-1. ドコモ口座からの不正出金の見分け方
まず、ドコモ口座での不正出金の場合は、「ドコモコウザ(ドコモ口座)」「ディーバライ(d払い)」という名義になっています。
もし、見に覚えのない出金があっても焦らず、まずは銀行に相談することが大事です。ドコモや銀行では全額補償すると発表しています。
2-2. 悪い人はどうやって不正アクセスするの?
もう一つは暗証番号の見直しです。
素朴な疑問なんだけど、悪い人はどうやって不正アクセスするの?
不正アクセスのためには、「口座番号」と「暗証番号」のペアを探し当てる必要があります。
総当り攻撃(ブルート・フォース・アタック:brute force attack)
一つは、「総当たり方式」で一つの口座番号に対して、暗証番号をいろいろ試して当てる、という方法です。
4桁の暗証番号は10000通りなので「10000分の1」のくじ引きを繰り返す方法です。これを「総当たり攻撃(ブルート・フォース・アタック:brute force attack)」といいます。
ブルート・フォース・アタック(総当り攻撃)
= brute force(強引な)
+ attack(攻撃)
どこかに保存されているパスワードを盗み出すのではなく、一つ一つ試すという強引な方法でセキュリティを破ろうとする攻撃です。
自分の自転車のカギのダイヤルがわからなくなった時にも一つひとつ変えながら確かめるもんねぇ
とはいえ、自転車のダイヤルロックと違って、銀行口座の場合は何度も暗証番号を間違えるとロックされてしまいます。当たるまで試す、ということはできません。
逆総当り攻撃(リバース・ブルート・フォース・アタック:reverse brute force attack)
犯罪者にとって誰の銀行口座でもよければ、もう一つの方法があります。それは、逆に暗証番号の方を固定して、名簿にあるいろんな口座番号に試して当てる、という方法です。これを「逆総当り攻撃(リバース・ブルート・フォース・アタック:reverse brute force attack)」といいます。
リバース・ブルート・フォース・アタック(逆総当り攻撃)
= reverse(逆)+ brute force(強引な) + attack(攻撃)
「逆総当り攻撃」には名簿が必要です。一般的な「総当り攻撃」とは反対に、パスワードを固定して、順番にアクセスを試みます。たまたまパスワードがあたった人が被害にあってしまいます。
なんか やたら かっこいい名前ですよね……
銀行口座番号の一覧を入手して、例えば「1234」とか「0401」などありそうなパスワードを順番に試してみる、という方法です。こちらは銀行口座が違うので、ロックされにくいという問題があります。
2-3. わかりやすい暗証番号はダメ
今回の事件で利用者側が注意できることは、「わかりやすい暗証番号」を使っていないか、チェックすることです。
犯罪者は、まずありがちな暗証番号から試していきます。逆に言うと、かんたんな暗証番号でなければ、すぐに諦めて別の口座に移ってしまいます。なぜなら、一人の暗証番号をいろいろ試して当てるより、どこかにの不用心な人を探すほうが早いからです。
空き巣が不用心な家を選ぶのと一緒ね
「わかりやすい暗証番号」のベスト3といえば、「0000」、「誕生日」、「1234」ですので、これは絶対に避けましょう。実はこれだけで、かなりの危険を避けられます。
誕生日ってなんでだめなの?
一つは、「自分の誕生日」の危険性です。これは会員登録などで入力することが多いので、名簿などが流出すると、一緒に知られてしまいます。
もう一つは、そもそもの確率です。「4桁の暗証番号は10000通り」と説明しましたが、もし日付を利用している場合は「365通り」に減ってしまいます。
犯罪者にとっては、もし、相手の誕生日を知らないとしても、適当に日付を暗証番号にして先程の「逆総当り攻撃」をしてみるだけで、単純計算で27.4倍(10000÷365)もヒットしやすいのです。
なるほどねー。狙い目になってしまっているのね……
3. ドコモ口座にあった問題点と改善
今回、犯罪者が「ドコモ口座」を選んだのには、理由があります。
それは、「メールアドレスだけ」で利用開始できてしまったからです。
他の決済サービスでは、電話番号が必要なものが多いです。電話番号を得るためには月々の利用料が必要ですし、身元確認もあります。ですので、たくさんのアカウントを作ることはできません。
電話番号と違って「メールアドレス」は費用なしで作成できます。犯罪者が架空のメールアドレスをたくさん作成し、それをもとに「ドコモ口座」をたくさん作ることができてしまったわけです。いわば「ドコモ口座」は「足がかり」になってしまったのです。
今後は、「ドコモ口座」の開設には電話番号などが必要になるように改善されます。
※ドコモに限らず、ほかの多くの決済アプリでも同様の問題があったようです(追記:2020年9月16日)。
4. 地方銀行の問題点と改善
決済サービスはかんたんに銀行口座から入金(チャージ)できるように、銀行と連携する機能があります。その際には、決済サービス側から銀行システムへの確認処理がありますが、問題になった銀行では、確認項目が少なかったという問題点があります。「口座番号」「名義」「4桁の暗証番号」の3点だけを確認に利用していたのです。
ATMで使う「4桁の暗証番号」は、「キャッシュカードを持っている」こととセットだから安全だったわけで、それだけでは本人確認の方法として全然安全ではありません。
他の銀行は、どういう本人確認の工夫をしているの?
確認の方法は銀行によって異なりますが、登録のときに「口座番号」「名義」「4桁の暗証番号」だけでなく、さらに「電話番号」や「確認番号表の入力」や「ワンタイムパスワード」などが必要な銀行もあります。このような銀行では、ここまで大規模な問題になっていません。
4-1. 確認番号表の方式
銀行が確認番号表の方式を採用している場合、利用者には銀行からキャッシュカードとは別にプラスチックカードが送られます。
確認番号表は、ランダムな数字が縦横に並んだ表で、通常 印刷されたカードです。カードを一枚発行するだけなので、少ない費用でセキュリティを導入できます。
例えば、インターネットで銀行サービスを利用するとき、確認番号表の「ア4」「エ1」を入力するように、とマス目を指定して指示されるので、カードをみて「37」「78」と入力します。
データの転送時にこの数字を読み取られてしまっても、この指定されるマス目は毎回変わるので、次には使えません。
もちろん、確認番号表の全体を見られてしまったら困ります。カード面をコピーされたり写真に撮られてしまうと、気づかないうちに悪用される危険性もあります。
4-2. ワンタイムパスワード方式
より強力なセキュリティの保護方法として「ワンタイムパスワード」があります。
ワンタイムパスワード
= one time(1回きりの)
+ password(パスワード)
ワンタイムパスワード方式では、利用者には銀行から小さな機械が送られます。
この小さな機械は「ワンタイムパスワード生成器」といい、ボタンを押すと毎回ランダムな番号列が表示されます。
最近では、専用の機械を作ることのコストもあり、スマートフォンの「ワンタイムパスワード生成アプリ」を採用している銀行もあります。この場合も、アプリをインストールするときの本人確認が厳格かどうかはチェックポイントです。
勝手にアプリを入れられたら困るもんね
使い方は、かんたん。銀行サービスを利用するときに、ワンタイムパスワードの入力を求められたら、「ワンタイムパスワード生成器」のボタンを押して、表示された数字を入力することで、本人確認をします。
この方法のメリットは、その場でパスワードを盗み見られても大丈夫ということです。毎回1分後にはパスワードが変わってしまうからです。けっこうスマートフォンの操作は背後から見えてしまいます。もし犯罪者が、このセキュリティを破るためには、生成器そのものを盗み出さなければいけないわけです。
逆にデメリットは、「ワンタイムパスワード生成器」をなくしたり、その場になかったりすると、利用者本人でも使えません。
4-3. 遠隔での不正アクセスを防ぐためのセキュリティ
このようにワンタイムパスワード生成器や確認番号表は、遠隔操作での不正アクセスを防ぐことができます。
逆にいうと、このようなセキュリティがないと、世界中の犯罪者から攻撃にあってしまうことがあるのです。被害のあった地方銀行ではいったん新規登録を停止して、より安全なセキュリティ対策を加えることにしています。
5. まとめ:セキュリティの問題が重なってしまうと……
今回の問題をまとめると、セキュリティの問題が3つも重なってしまったことがわかります。
この3つの問題点が重なって、とくに見知らぬ人が番号だけを頼りに不正アクセスをしようとするときに、悪用されてしまいました。
特に、4桁の暗証番号というセキュリティの弱い部分が「リバースブルートフォース」の標的になってしまいました。
システムにまつわる部分は個人では改善できませんので、アップデートを待つしかありません。しかし、わかりやすい暗証番号を避けるだけでも被害をかなり食い止めることができます。また、インターネットには良い面もあります。通帳アプリの登録をしておけば不審な出金が即時わかり、対策をすることができます。
何でもかんたんに「ネットと連携」できる時代です。インターネットを使っていない人でも、オンラインバンキングの仕組みをしっかり理解する必要があることに改めて気づかされます。
暗証番号が誕生日になっている場合は変更する
こちらもどうぞ