こんにちは。『お金に困らない生活(インデックス投資ブログ)』管理人のそーたろー(@sotarowassyoi)です。
ここはどんなブログなの?
- お金、投資、資産運用、副業が中心のブログです。
この記事を書いたそーたろーはこんな人です。
- ITサービス職で20年以上のキャリアがあります。
- 2008年から資産運用を始め、ネット証券・ネット銀行の安全な使い方に長けています。
この記事は次のような人にオススメです
- ドコモ口座を悪用した不正送金が心配な人
この記事の目的
2020年9月に入ってからNTTドコモが提供する「ドコモ口座」を悪用した不正送金が発生しています。
事件の概要と私なりのサイバー犯罪対策を紹介します。
ドコモ口座で起きている不正送金
ドコモ口座とは電子マネーサービスです。
- ドコモ口座は、ネットやアプリ上で送金やお買い物ができるバーチャルなお財布です
- どなたでも無料で簡単に開設できます!!
ドコモ口座
事件は銀行口座からドコモ口座へのチャージという形で不正送金が発生しています。
今回の不正送金のポイントは以下のとおりです。
特に3が重要で、以下のドコモ口座に対応する銀行に口座を持っているだけで被害にあう可能性があるため大騒ぎになっています。
理論的には攻撃者はターゲットとなる銀行の口座番号さえあれば犯行可能なようです。
なぜならインターネットバンキングかATMを使えば口座番号から口座名義人が逆引きできるため、最悪のケースでは4桁のキャッシュカード暗証番号さえ一致させればお金が引き出せるからです。
なお口座番号などの個人情報はフィッシングによって流出していた可能性も報じられています。
地銀偽サイト情報転用か、昨年末大量発覚 ドコモ口座被害 | Yahoo!ニュース
それから総合口座の当座貸越サービスを使っていると、普通預金がゼロでも被害にあうと残高がマイナスになるようですので注意しましょう。
当座貸越サービスとは定期預金などを担保にして、普通預金がゼロになっても引き出しがあれば自動的に借り入れされる仕組みです。
以下、セキュリティ・インシデントでは定番のpiyologさんのまとめ記事です。
ドコモ口座を悪用した不正送金についてまとめてみた | piyolog
ドコモ口座の本人確認について
ドコモ口座は本人確認が不要で開設できます。
ドコモ口座から出金したい場合に限って銀行口座との紐付けが必要で、銀行口座との紐付けが本人確認を兼ねています。
しかし銀行口座との紐付けに関する認証は金融機関側がおのおのの方針で実施します。
今回の主なターゲットとなった一部の地銀の認証システムは4桁の暗証番号だけなので攻撃が容易だったのではないかという憶測を呼んでいます。
このあたりの背景は以下がわかりやすいです。
「ドコモ口座」で相次ぐ不正出金、なぜ地銀だけが狙われた? 専門家の見解は | ITmedia NEWS
こうして全体としては認証が十分に機能しなかった点が原因として疑われています。
金融機関側の認証について
本件は地銀が利用している「Web口振受付サービス」がセキュリティ的に不十分であった点が指摘されています。
例えばみずほ銀行の認証を見てみると、
ネット口座振替受付サービス(ご利用ガイド)ステップ1.収納企業からみずほダイレクトに移動し、ログイン方法を選択する | みずほ銀行
以下の二通りが用意されています。
みずほ銀行の場合はそれなりに厳重になっています。
事件の顛末
NTTドコモは9月10日に記者会見を開いて事件について説明しています。
「ドコモ口座」不正預金引き出し、記者会見の一問一答まとめ | ITmedia NEWS
今回の事件の原因は以下のように推察できるでしょうか。
弱いところが狙われるいつもの構図が見えてきますね。
9月15日には金融庁から通達が発せられています。
資金移動業者の決済サービスを通じた銀行口座からの不正出金に関する対応について | 金融庁
事件への注意喚起、金融機関と資金移動業者に対する対応整備を要請しています。
9月18日には経済産業省から防止対策に関するガイドラインが出されました。
コード決済(QRコード決済)における不正な銀行口座紐づけの防止対策に関するガイドラインを策定しました | 経済産業省
ガイドラインとしては一般社団法人キャッシュレス推進協議会より以下がリリースされています。
コード決済における不正な銀行口座紐づけの防止対策に関するガイドライン | 一般社団法人キャッシュレス推進協議会
ガイドラインでは以下が定義されています。
【教訓】サイバー犯罪対策をしよう
今回の事件は銀行口座を持っているだけで被害にあう可能性があったため、主体的な対策は取りにくいと感じるかもしれません。
しかし私としては普段からサイバー犯罪の脅威を意識して資産運用に臨んでいれば、こういったトラブルはほぼ避けられると考えています。
なぜなら今回の事件でも防御の弱い部分が突かれており、攻撃者は効率的にお金が手に入るところしか狙わないからです。
私はサイバー犯罪対策として以下のようなことを考えています。
- 企業やサービスの評価
- トランザクション認証が使える銀行を選ぶ
- 企業のセキュリティ・インシデントへの対応、態度を観察する
- 新しいサービスは実績を見てから検討する
- 個人の対応
- 基本的なセキュリティ対策の実施
- 攻撃者の手口の理解
- 安全なお金の保管場所の確認
企業やサービスの評価
サイバー犯罪に対する企業やサービスのセキュリティ対策には差があります。
例えば他の電子マネーサービスになりますが、PayPayに住信SBIネット銀行を連携させる場合などを見るとしっかりトランザクション認証が利用されています。
同じ視点で先程のみずほ銀行の例を見ると、みずほ銀行ではトランザクション認証が導入されているもののドコモ口座との連携では使われていません。
ですので「それなりに厳重」という表現を使いました。
つまり今回主なターゲットとなった地銀と、住信SBIネット銀行と、みずほ銀行とではセキュリティ対策に差があることがわかります。
すべての金融機関のすべてのサービスを評価することはできませんが、我々利用者としてはできるだけセキュリティ対策に定評のある金融機関を選ぶことが重要です。
今回の手法による不正送金をトランザクション認証が直接的に防ぐことは期待できません。
しかしトランザクション認証を導入している金融機関であれば相応のセキュリティ対策が期待できるため間接的に効果が見込めるはずです。
そういった意味でトランザクション認証が使えるかどうかは、銀行をサイバーセキュリティ面の安全性で選ぶひとつの目安になるでしょう。
ちなみにネット銀行であっても、楽天銀行は2020年時点で残念ながらトランザクション認証を提供してません。
それからドコモ口座では騒ぎが発覚したあと以下の対応が発表されていますが、既存口座へのチャージは引き続き利用できるため対応に賛否があるようです。
【重要】全ての金融機関における銀行口座登録の申込受付停止について| ドコモ口座からのお知らせ
またドコモ口座は2019年にりそな銀行でも不正送金が発生していたが、今回被害のあった銀行は知らされていなかったと報じられています。
ドコモ、提携銀に通知徹底せず 過去被害対応に不信の声 預金不正流出 | Yahoo!ニュース
NTTドコモの対応は不十分だっと考えられますが、一方で特に地銀の場合は自分たちの認証システムの弱さを棚上げしているのではないかと感じます。
こうした企業の態度や姿勢、対応能力についても利用者側でチェックして今後の付き合い方を考えるべきでしょう。
今回の件とは直接関係ありませんが、7payは2019年に攻撃されあっという間にズッコケました。
7payサービス終了に伴うお詫びとお知らせ | セブン‐イレブン・ジャパン
特に電子マネーやポイントシステムはキャンペーンなどで積極的にユーザーの獲得を目指しますが、目先のお得さに釣られないように注意が必要です。
個人的には新しいものにホイホイ飛びつかず、ある程度こなれたサービスを選ぶべきと考えています。
個人の対応
基本的なセキュリティ対策については以下をどうぞ。
攻撃者の手口と対策については以下をどうぞ。
普段から安全なお金の保管場所について考えておくとよいでしょう。
【補足】ご家族の口座も確認しましょう
私の母親が今回の対象となる某地銀とゆうちょ銀行に口座を持っているので連絡しました。
母は事件について知っていましたが、案の定「私はドコモ口座をやってないから大丈夫よ!」と言ってきました。
この事件について多くの人の理解が私の母と同じであろうことは想像に難くありません。
対象の銀行に口座があるだけで被害者になる可能性があることを教えてあげましょうね。
なお余談ですが、確認には取引明細を見る必要があります。
対象銀行のみずほ銀行では、原則すべての口座で取引明細のオンライン化を発表しています。
つまり個人側の対応をしっかりやっておかないと取引明細を見ただけでお金を抜かれる可能性もあるということです。
もうサイバー犯罪は誰も無関係ではいられませんね。
まとめ
今回はドコモ口座を悪用した不正送金事件とサイバー犯罪対策を紹介しました。
- 企業やサービスの評価
- トランザクション認証が使える銀行を選ぶ
- 企業のセキュリティ・インシデントへの対応、態度を観察する
- 新しいサービスは実績を見てから検討する
- 個人の対応
- 基本的なセキュリティ対策の実施
- 攻撃者の手口の理解
- 安全なお金の保管場所の確認
我々利用者としてはセキュリティ対策がしっかり整った金融機関やサービスを選んでお付き合いすることが大切になってきています。
ご自身が利用する銀行やサービスを見直すよい機会ではないでしょうか。