ドコモ口座を踏み台にした不正利用が発生。ドコモ口座の本人確認の甘さと銀行側の緩いセキュリティが原因か

その他
本サイトはアフィリエイト広告を利用しています。なお本記載は景品表示法改正に伴うASPからの要請に基づく表記であり、依頼された記事などは別途記載を実施しています。

ドコモ口座を踏み台とした不正利用が話題になっていますが、そもそもなんでそんなことになったか自分なりに書いてみます。

なんだか情報が錯綜しているような気がするので、間違い等有りましたらご指摘願います。

そもそも不正利用の内容は?

まずそもそもどのように不正利用されたのかという点ですが、内容としては以下となっています。

1:何らかの方法により口座番号が漏れる

まずは口座番号が漏れて悪意のある人物に渡ったことからです。というか漏れなくても企業や通販などで振込先を記載している人もいるので、どこかからの情報流失ではないかもしれません。

また、口座番号は連番だったりするので、そこから推測することも可能です。

2:口座番号から氏名を取得される

次に口座番号の情報をもとに氏名を取得されます。口座番号から氏名わかるの?と思うかもしれませんが、振り込むとき相手の名前入れなくても出てきますよね。そういうことです。

3:ドコモ口座に口座振替連携されて不正に引き出される

口座番号と氏名がわかれば、後は暗証番号があれば口座振替連携が可能な銀行があり、暗証番号を適当に試して通ってしまえばドコモ口座に連携できます。

連携さえしてしまえば、後は入金してセブン銀行などに払い出ししてしまえば現金が盗み取られるという形に。

ドコモ口座を使ってないから関係ない……というのは大間違い

報道が悪い気もしますが、「ドコモ口座で不正利用」と聞くとドコモ口座に不正アクセスされてという風に考えがちですが、今回の事案はそうではありません。

「正規のドコモ口座アカウント」「不正に入手した口座情報を連携」して「お金を不正に取得する」のが今回の問題です。

そのため、ドコモ口座を使っていなくても、口座を不正に連携されて不正利用される可能性は十分あるので、ドコモ口座なんて使ってないから大丈夫というのは大きな間違いです。

そもそも悪いのはドコモなのか銀行なのか

今回の問題で、あの7pay事件を思い出してドコモが一方的に悪いように言っているのを見ますが、悪いのは双方です。

7iDのパスワード再発行がセキュリティ的に最悪な件:パスワード変更しても無意味な状況(会見後追記)
追記:酷い記者会見と無意味な対策今日の14時に記者会見が行われましたが、もう開いた口が塞がらないどころかため息が出るレベルの酷い記者会見でした。二段階認証をまともに理解していない?チャージと登録を停止...

ドコモ口座側:本人確認が無い

まずドコモ口座側ですが、口座連携=本人確認となっていて、連携された口座が本人のものかの確認をしていませんでした。

SMS認証などすればというのはありますが、それでは本人の特定が出来ないので意味がありません。

やるとすれば本人確認書類のアップロードを求め、そこに記載のある名前と口座の名義が異なれば連携できなくするなどの対策があれば防げた事案です。

銀行側:実質暗証番号だけしかセキュリティ対策がない

先に話した通り、口座番号がわかれば氏名は把握できるため、あとは暗証番号だけで口座振替の登録が出来てしまう状態だった銀行がありました。

みずほ銀行などでは、それ以外にも秘密の質問などを答えないと連携が出来ないため、現状不正利用されてはいないようです。

そもそも暗証番号はキャッシュカードという物理的なカードと共にならセキュリティ対策にはなりますが、それがなければたった4文字の数字ではセキュリティ的には脆弱と言えます。

そのため、暗証番号だけではなく、口座に登録された電話番号への発信&ワンタイムパスワードなどの確認をしていれば防げた事案です。

不正利用が確認された銀行及び利用停止になった銀行は?

現状不正利用が確認及び疑いがあるのは17行の銀行となっています。

また、口座登録を停止しているのは以下の銀行です。

 ・ゆうちょ銀行
 ・イオン銀行
 ・池田泉州銀行
 ・大分銀行
 ・紀陽銀行
 ・滋賀銀行
 ・仙台銀行
 ・第三銀行
 ・但馬銀行
 ・鳥取銀行
 ・北洋銀行
 ・みちのく銀行
 ・伊予銀行
 ・東邦銀行
 ・琉球銀行

自分で出来る対策はあまり無い

今回の問題ですが、自分でなにか対策が出来るかというと、逆にドコモ口座に連携をしてしまう以外は特にありません。

口座連携が甘くない銀行だとしても、ドコモ口座に連携できる銀行を持っている場合は残高や明細の確認をしておきましょう。

コメント