ドコモ口座の不正送金から学ぶサイバー犯罪対策【資産運用】

IT
IT

こんにちは、そーたろー(@sotarowassyoi)です。

 

NTTドコモが提供する「ドコモ口座」という電子マネーサービスを悪用した不正送金事件があったので私なりのサイバー犯罪対策の考え方を紹介します。

 

そーたろー
そーたろー

ここはどんなブログなの?

  • お金、投資、資産運用、副業が中心のブログです。

 

そーたろー

この記事を書いたそーたろーはこんな人です。

  • ITサービス職で20年以上のキャリアがあります。
  • 2008年から資産運用を始め、ネット証券・ネット銀行の安全な使い方に長けています。

 

そーたろー

この記事は次のような人にオススメです

  • ドコモ口座を悪用した不正送金が心配な人

 

スポンサーリンク

この記事の目的

2020年9月に入ってからNTTドコモが提供する「ドコモ口座」を悪用した不正送金が発生しています。

事件の概要と私なりのサイバー犯罪対策を紹介します。

 

ドコモ口座で起きている不正送金

ドコモ口座とは電子マネーサービスです。

  • ドコモ口座は、ネットやアプリ上で送金やお買い物ができるバーチャルなお財布です
  • どなたでも無料で簡単に開設できます!!

ドコモ口座

事件は銀行口座からドコモ口座へのチャージという形で不正送金が発生しています。

今回の不正送金のポイントは以下のとおりです。

  1. ドコモ口座は誰でも開設できる
    • ドコモ口座から出金するには本人確認として銀行口座の登録が必要
  2. 認証の甘い銀行が狙われた?
  3. ドコモ口座に対応する銀行に口座を持っているだけで被害にあう可能性がある
    • ドコモ口座の利用者か否かは関係ない
    • 通信キャリア(ドコモ、au、ソフトバンク)も関係ない
    • 当座貸越ありだと普通預金がゼロでもマイナスになる

特に3が重要で、以下のドコモ口座に対応する銀行に口座を持っているだけで被害にあう可能性があるため大騒ぎになっています。

対応金融機関と登録手順 | ドコモ口座

理論的には攻撃者はターゲットとなる銀行の口座番号さえあれば犯行可能なようです。

なぜならインターネットバンキングかATMを使えば口座番号から口座名義人が逆引きできるため、最悪のケースでは4桁のキャッシュカード暗証番号さえ一致させればお金が引き出せるからです。

なお口座番号などの個人情報はフィッシングによって流出していた可能性も報じられています。

地銀偽サイト情報転用か、昨年末大量発覚 ドコモ口座被害 | Yahoo!ニュース

それから総合口座の当座貸越サービスを使っていると、普通預金がゼロでも被害にあうと残高がマイナスになるようですので注意しましょう。

当座貸越サービスとは定期預金などを担保にして、普通預金がゼロになっても引き出しがあれば自動的に借り入れされる仕組みです。

以下、セキュリティ・インシデントでは定番のpiyologさんのまとめ記事です。

ドコモ口座を悪用した不正送金についてまとめてみた | piyolog

 

ドコモ口座の本人確認について

ドコモ口座は本人確認が不要で開設できます。

ドコモ口座から出金したい場合に限って銀行口座との紐付けが必要で、銀行口座との紐付けが本人確認を兼ねています。

しかし銀行口座との紐付けに関する認証は金融機関側がおのおのの方針で実施します。

今回の主なターゲットとなった一部の地銀の認証システムは4桁の暗証番号だけなので攻撃が容易だったのではないかという憶測を呼んでいます。

このあたりの背景は以下がわかりやすいです。

「ドコモ口座」で相次ぐ不正出金、なぜ地銀だけが狙われた? 専門家の見解は | ITmedia NEWS

こうして全体としては認証が十分に機能しなかった点が原因として疑われています。

 

金融機関側の認証について

本件は地銀が利用している「Web口振受付サービス」がセキュリティ的に不十分であった点が指摘されています。

例えばみずほ銀行の認証を見てみると、

ネット口座振替受付サービス(ご利用ガイド)ステップ1.収納企業からみずほダイレクトに移動し、ログイン方法を選択する | みずほ銀行

以下の二通りが用意されています。

  • ネットバンキングを使った認証
    • みずほダイレクトでのログインとさらに第二パスワードが必要
  • キャッシュカードの暗証番号を使った認証
    • 「キャッシュカード暗証番号」に加えて「生年月日」、「通帳に印字されている最終行の残高」が必要

みずほ銀行の場合はそれなりに厳重になっています。

 

事件の顛末

NTTドコモは9月10日に記者会見を開いて事件について説明しています。

「ドコモ口座」不正預金引き出し、記者会見の一問一答まとめ | ITmedia NEWS

  • 事件はNTTドコモに責任がある
  • ドコモ口座の本人確認が甘かった
  • 金融庁へ報告している
  • 被害額はNTTドコモが全額保証する

今回の事件の原因は以下のように推察できるでしょうか。

  • ドコモ口座の本人確認が甘かった
  • 銀行の認証システムが甘かった
  • 銀行口座利用者のフィッシング対策が甘かった

弱いところが狙われるいつもの構図が見えてきますね。

 

9月15日には金融庁から通達が発せられています。

資金移動業者の決済サービスを通じた銀行口座からの不正出金に関する対応について | 金融庁

事件への注意喚起、金融機関と資金移動業者に対する対応整備を要請しています。

 

9月18日には経済産業省から防止対策に関するガイドラインが出されました。

コード決済(QRコード決済)における不正な銀行口座紐づけの防止対策に関するガイドラインを策定しました | 経済産業省

ガイドラインとしては一般社団法人キャッシュレス推進協議会より以下がリリースされています。

コード決済における不正な銀行口座紐づけの防止対策に関するガイドライン | 一般社団法人キャッシュレス推進協議会

ガイドラインでは以下が定義されています。

  • 4 アカウント作成時
    • (5) 利用者又はモバイルデバイスを一意に特定できる手段での認証
  • 5 銀行口座紐づけ時
    • (2) 金融機関が保有する属性情報との突合

 

スポンサーリンク

【教訓】サイバー犯罪対策をしよう

今回の事件は銀行口座を持っているだけで被害にあう可能性があったため、主体的な対策は取りにくいと感じるかもしれません。

しかし私としては普段からサイバー犯罪の脅威を意識して資産運用に臨んでいれば、こういったトラブルはほぼ避けられると考えています。

なぜなら今回の事件でも防御の弱い部分が突かれており、攻撃者は効率的にお金が手に入るところしか狙わないからです。

私はサイバー犯罪対策として以下のようなことを考えています。

  • 企業やサービスの評価
    • トランザクション認証が使える銀行を選ぶ
    • 企業のセキュリティ・インシデントへの対応、態度を観察する
    • 新しいサービスは実績を見てから検討する
  • 個人の対応
    • 基本的なセキュリティ対策の実施
    • 攻撃者の手口の理解
    • 安全なお金の保管場所の確認

 

企業やサービスの評価

サイバー犯罪に対する企業やサービスのセキュリティ対策には差があります。

例えば他の電子マネーサービスになりますが、PayPayに住信SBIネット銀行を連携させる場合などを見るとしっかりトランザクション認証が利用されています。

銀行口座を登録する | PayPay

同じ視点で先程のみずほ銀行の例を見ると、みずほ銀行ではトランザクション認証が導入されているもののドコモ口座との連携では使われていません。

ですので「それなりに厳重」という表現を使いました。

つまり今回主なターゲットとなった地銀と、住信SBIネット銀行と、みずほ銀行とではセキュリティ対策に差があることがわかります。

すべての金融機関のすべてのサービスを評価することはできませんが、我々利用者としてはできるだけセキュリティ対策に定評のある金融機関を選ぶことが重要です。

今回の手法による不正送金をトランザクション認証が直接的に防ぐことは期待できません。

しかしトランザクション認証を導入している金融機関であれば相応のセキュリティ対策が期待できるため間接的に効果が見込めるはずです。

そういった意味でトランザクション認証が使えるかどうかは、銀行をサイバーセキュリティ面の安全性で選ぶひとつの目安になるでしょう。

ネット銀行の不正送金対策はトランザクション認証が最良【資産運用】
資産運用に不可欠なネット銀行をより安全に使えるトランザクション認証を紹介します。 トランザクション認証は不正送金対策に高い効果があり、不正アクセスによる振込、中間者攻撃を予防することができます。 ...

ちなみにネット銀行であっても、楽天銀行は2020年時点で残念ながらトランザクション認証を提供してません。

 

それからドコモ口座では騒ぎが発覚したあと以下の対応が発表されていますが、既存口座へのチャージは引き続き利用できるため対応に賛否があるようです。

【重要】全ての金融機関における銀行口座登録の申込受付停止について| ドコモ口座からのお知らせ

またドコモ口座は2019年にりそな銀行でも不正送金が発生していたが、今回被害のあった銀行は知らされていなかったと報じられています。

ドコモ、提携銀に通知徹底せず 過去被害対応に不信の声 預金不正流出 | Yahoo!ニュース

NTTドコモの対応は不十分だっと考えられますが、一方で特に地銀の場合は自分たちの認証システムの弱さを棚上げしているのではないかと感じます。

こうした企業の態度や姿勢、対応能力についても利用者側でチェックして今後の付き合い方を考えるべきでしょう。

 

今回の件とは直接関係ありませんが、7payは2019年に攻撃されあっという間にズッコケました。

7payサービス終了に伴うお詫びとお知らせ | セブン‐イレブン・ジャパン

特に電子マネーやポイントシステムはキャンペーンなどで積極的にユーザーの獲得を目指しますが、目先のお得さに釣られないように注意が必要です。

個人的には新しいものにホイホイ飛びつかず、ある程度こなれたサービスを選ぶべきと考えています。

 

個人の対応

基本的なセキュリティ対策については以下をどうぞ。

今すぐできるセキュリティ&不正送金対策13選【資産運用】
資産運用をする上で知っておくべきセキュリティ対策を紹介します。 ネット銀行の不正送金などにも大きな効果が期待できます。 自分の口座資産を守りたい人 お...

攻撃者の手口と対策については以下をどうぞ。

ネット銀行の不正送金手口を解説、誰でもできる対策紹介【資産運用】
ネット銀行で被害が増えている不正送金の手口(偽のログインページ、偽のポップアップ画面、不正アクセス、中間者攻撃)と対策を解説します。 資産運用の観点から、こうした攻撃者の手口を理解しておくことが被害の防止に役立...

普段から安全なお金の保管場所について考えておくとよいでしょう。

【資産運用&お金の保管場所】銀行口座にお金を置くのは安全なの?
使わないお金の安全な保管場所としては個人向け国債か、待機資金の場合は銀行口座よりも証券口座の方が優れているのではないか、という考え方を紹介します。 お金の安全な保管場所に関心...

 

スポンサーリンク

【補足】ご家族の口座も確認しましょう

私の母親が今回の対象となる某地銀とゆうちょ銀行に口座を持っているので連絡しました。

母は事件について知っていましたが、案の定「私はドコモ口座をやってないから大丈夫よ!」と言ってきました。

この事件について多くの人の理解が私の母と同じであろうことは想像に難くありません。

対象の銀行に口座があるだけで被害者になる可能性があることを教えてあげましょうね。

なお余談ですが、確認には取引明細を見る必要があります。

対象銀行のみずほ銀行では、原則すべての口座で取引明細のオンライン化を発表しています。

「みずほe-口座」取引明細オンライン化の注意点【要不正送金対策】
みずほ銀行が取引明細をオンライン化する「みずほ e-口座」サービスを開始したのでネットバンキングの注意点や安全な使い方を紹介します。 これから「みずほe-口座」と「みずほダイレクト」...

つまり個人側の対応をしっかりやっておかないと取引明細を見ただけでお金を抜かれる可能性もあるということです。

もうサイバー犯罪は誰も無関係ではいられませんね。

 

スポンサーリンク

まとめ

今回はドコモ口座を悪用した不正送金事件とサイバー犯罪対策を紹介しました。

  • 企業やサービスの評価
    • トランザクション認証が使える銀行を選ぶ
    • 企業のセキュリティ・インシデントへの対応、態度を観察する
    • 新しいサービスは実績を見てから検討する
  • 個人の対応
    • 基本的なセキュリティ対策の実施
    • 攻撃者の手口の理解
    • 安全なお金の保管場所の確認

我々利用者としてはセキュリティ対策がしっかり整った金融機関やサービスを選んでお付き合いすることが大切になってきています。

ご自身が利用する銀行やサービスを見直すよい機会ではないでしょうか。

\ この記事をシェアする /
\そーたろーをフォローする/
スポンサーリンク
そーたろーの「王国DIYガイド」