ドコモ口座不正、なぜ地銀軒並み狙い撃ち?

   ご機嫌いかがでしょうか。

 視界ゼロのみこばあちゃんです。

おはようございます。

秋を実感させられる朝の訪れの遅さ

草取りも6時スタート、朝の空気のひんやりムードに長袖の登場…

「幸せ」のメロディーに乗せ味わいふかい思い出このパソコンに向かっています。

 ドコモ口座の不正に驚いたニュース速報

地方銀行が軒並み狙い撃ち、中国銀行もターゲットとなりショックです。

ドコモの信頼回復は大変

ユウザーよりもドコモ郵船が信頼を格下げ…

地銀にしては手堅い銀行で利用者も多く、衝撃が禁じえませんでした。

地銀ばかりで被害 なぜ?

今回被害が発生しているのはいずれも地方銀行NTTドコモITmedia NEWSの取材に対し

「被害のあった銀行はいずれも『Web口振受付サービス』を使ってドコモ口座と連携して

いた」と話す。

一方、最初に不正利用の被害を発表した七十七銀行は「自社のシステムから顧客の口座

番号やキャッシュカードの暗証番号などの情報が漏えいした事実はない」という。

不正利用の被害にあった人のネットへの書き込みなどから、ネット上では「リバースブ

ルートフォース」や「パスワードスプレー」と呼ばれる攻撃があったのではないかとい

う臆測が上がっている。

「リバースブルートフォース」とは? 原因について専門家の意見は

Webセキュリティ専門家の徳丸浩さんは「リバースブルートフォースやパスワードスプレ

ーが使われた可能性はある」としながらも、「ドコモ口座側の防御策に問題があった可

能性もある」と話す。

ki_1609376_docomokouza03_w190EGセキュアソリューションズ代表取締役の徳丸浩さん

「リバースブルートフォースはパスワード(ここでは4桁の暗証番号)を固定してID(こ

こでは口座番号)を総当たりする攻撃のことで、パスワードスプレーは数千~数万のIP

アドレスを使っていろいろなIPアドレスから少しずつ攻撃し、攻撃を気付かれにくくす

る手法。これらが使われたかどうかは臆測でしかいえないが、いずれにせよ今回は暗証

番号が4桁という部分が狙われたと考えられる。しかし、4桁の暗証番号を決済アプリと

の連携に使っていても被害を受けていないケースもある」(徳丸さん)

「例えばゆうちょ銀行は、『LINE Pay』や『ゆうちょPay』などとの連携に4桁の暗証番

号を使っている。しかしこれらで被害が発生していないのは、いずれもアプリがスマホ

専用のものだからだと考えられる。『スマホを利用する』ということ自体が一種の認証

であり、防御策になっている」

一方、ドコモ口座はPCからでも利用できる。ログインに2段階認証は必要なものの、口座

開設時に携帯回線をひも付けていなければ登録メールアドレスにセキュリティコードが

送られてくるため、攻撃者自身がドコモ口座を開いた場合はPCのみで操作が完結する。

徳丸さんは「こうした防御策の差で、今回は地方銀行とドコモ口座が狙われたのではな

いか」と分析している。

銀行が取るべき対策としては「アプリとの連携に4桁の暗証番号を使うのをやめ、ネット

バンキングと同等のセキュリティ対策を取れるようにするべきだ」と話した。

ドコモ口座は「なりすまして開設できる状況」

ki_1609376_docomokouza00_w490ドコモ口座のロゴ

ドコモは「他人になりすましてドコモ口座を開設することが可能な状況だった」として

、ドコモ口座にも不備があったことを認めた。

ドコモ口座の開設にはドコモの「dアカウント」が必要となるが、dアカウントはドコモ

の携帯電話などの契約は関係なく、任意のメールアドレスさえあれば作成できる。ドコ

モ口座の開設はこのdアカウントでログインした上で利用規約に同意すれば完了してしま

う。

名前や生年月日などを入力する欄もあるが、運転免許証など本人確認書類による確認ス

テップがないため、でたらめな情報や他人の情報でも登録できてしまう。

ユーザーのドコモ口座から他のドコモ口座に送金したり、銀行口座に出金したりするに

は本人確認が必要としているが、本人確認の方法は「銀行口座の登録」であるため、今

回のように第三者が銀行口座を登録できてしまった場合の防壁としては機能しない。ま

た、本人確認をしなくてもドコモのモバイル決済サービス「d払い」でネットや街の店舗

での支払いに利用できる。

ドコモは、セキュリティ強化などの対応策を急ぎ検討するとしている。

「ドコモ口座」不正被害に見たもたれ合いの唖然 中川 雅博/藤原 宏成

http://toyokeizai.net/articles/-/375171