No175 ドコモ口座事件、ドコモと銀行は何を間違ったのか？

2020/9/3にドコモ口座と呼ばれるサービスで不正利用が見つかり
大きなニュースになっています。

今回は事故が発生した経緯から考えられる攻撃方法や利用者側で
取るべき対応について解説をします。

1. ドコモ口座の不正利用って？

ドコモ口座というのはNTTドコモが実施しているキャッシュレス
サービスです。
金融機関などからドコモ口座にチャージしておけば、いろんなお店
やサービスの支払いがキャッシュレスで行えるというものです。

この仕組みを悪用して他人の銀行口座から自分が作ったドコモ口座
にチャージさせるという不正利用が見つかったのです。

被害は8月末から9月初旬にかけて発生したようです。
9/11現在の報道では73件で1990万円の被害が発生したとのことです。

2. 何がおきたのか？

もともと、ドコモ口座というのはドコモ携帯を使っている人向けの
「ドコモケータイ送金」というドコモ携帯利用者間で送金を手軽に
行えるためのサービスだったようです。
その後「ドコモ口座」に名を変えお店での支払い機能などが追加
されました。当初はやはりドコモ携帯利用者に向けたサービスでした。

その後、利用者の増加を狙いドコモ携帯利用者以外も申し込める
ようになったのですが、この時に本人確認なしでドコモ口座が開設
できるようになりました。
本事件が発生した大きな要因はここにありました。

具体的には以下の手順でドコモ口座を経由して銀行口座から現金を
盗み取ったようです。

１）何らかの方法で銀行口座番号・氏名・暗証番号を入手する。
２）入手した氏名の名義でドコモ口座を作成する。この時に上記の
　　口座番号、暗証番号を入力する。
３）作成したドコモ口座に銀行からチャージを行う。
４）ドコモ口座を利用してコンビニなどで換金性の高い商品を購入

3. NTTドコモ側の何が問題なのか？

最大の問題はドコモ口座を開設するときに本人確認なしで開設でき
た点でしょう。

本人確認というのは公的な書類（免許証や健康保険証）を提示する
ことで申請者がその本人に間違いないことを確認することです。
例えば、銀行の口座開設をする時も携帯電話の契約をするときも
必ず本人確認が行われます。

昔は簡単に取得ができましたが、不正入手した口座や携帯電話の
犯罪利用が相次いだため、現在では厳しく本人確認を行うように
なった経緯があります。

ところが、ドコモ口座の開設には全く本人確認の仕組みがなく、
簡単に他人を騙るアカウントが作れてしまうのです。
この点は明らかにNTTドコモ側の認識不足だといえます。
また、運用を始めてから毎年のようにセキュリティ監査を行った
そうですが、その指摘ができなかったセキュリティ監査会社も大い
に反省すべきだと思います。

4. 銀行側には問題はなかったのか？

今回の事件ではもう一つ大きな問題がありました。

それは銀行との連携方法です。
ドコモ口座に連携させるチャージ用口座は連携している35の銀行
のいずれかを指定できるのですが、すべてインターネット上で申請
できます。
ネット申請自体はよいのですが、問題はこの時の本人確認方法です。
多くの銀行では上述の口座番号・氏名・暗証番号の３つだったの
です。
これは大問題です。

ドコモ口座では「入金」といってますが、この実態は口座振替です。
口座振替というのは、本人からの申し出によって銀行が請求者に
支払いを行う仕組みで、公共料金の自動引き落としによく用い
られる決済方法です。

通常の申請では本人が届出印を押印した書面を提出します。
本人の届出印が必要ですから、誰かが勝手に申請することはでき
ません。

ドコモ口座ではこれがインターネット上でできるわけですが、印鑑
の代わりに４桁の暗証番号で認証してしまったのです。
違う人の届出印が同じなんてことはまずありえません。ですが暗証
番号は１万通りしかありませんから、一万人に一人が同じ番号です。
印鑑代わりになると考える方がどうかしています。

こんなものを拠り所とした口座振替の申請を認めた銀行側も
決して褒められたものではありません。

ちなみにATMは、キャッシュカード＋暗証番号の両方がないとダメ
な仕組みですから、暗証番号だけで認証をしているわけではありま
せん。

5. 犯人はどうやって口座名や暗証番号を知りえたのか？

上述のように今回の被害は口座番号・氏名・暗証番号の３つ
が知られた場合に発生します。

自分の口座番号・氏名・暗証番号を他人に伝えるのが危険なことは
誰でもわかっていますから、そう簡単には漏らしたりしません。

では、犯人はどうやってこれを入手したのでしょうか？
この実態は今後の警察の捜査を待つことになりますが、現状でも
いくつかの方法がありそうです。

まず、口座番号と氏名のセットは入手できるでしょうか？
実はこれは誰でも簡単に得ることができます。

※これを意図的にやると不正アクセス禁止法に抵触しますから絶対
　に実施しないでください。

ATMで振り込み手続きをする場合を思い浮かべてください。
途中で振込先の口座番号を入力する画面があります。

そこに知らない番号を入力したらどうでしょう？
きっと、あなたの知らない誰かの口座番号と名義人の氏名が表示
されることでしょう。

そう、口座番号と氏名は秘密情報でもなんでもない開示可能な情報
に過ぎないのです。
ATMで多数の口座番号と氏名のセットを得るのは非現実的ですが、
ネットバンキングのサービスを使えば簡単です。

何も人が操作する必要はないのです。ネットバンキングで振り込み
をやるかのように見せかけて、延々と口座番号と氏名のペアを取得
して、あげくの果てにキャンセルするプログラムを書けばよいの
です。後はプログラムが飽きることなく口座番号と氏名のペアを
いくらでも見つけてくれます。

※何度も書きますが、ホントにやるのは絶対NGです。確実に不正アク
　セス禁止法違反です。やったら必ず捕まるというわけではないです
　が、捕まらなければ万引きやっていいのか？というのと同じです。

でも、これだけでは肝心の暗証番号がわかりません。
暗証番号を不正に知る方法があるのでしょうか？

6. 暗証番号を探す逆転の発想

これも実態は今後の捜査を待つことになりますが、数人の有識者が
リバースブルートフォースと呼ばれる攻撃が行われたのではないか？
と指摘されています。

まず、ブルートフォース攻撃ですが、これは考えられる組み合わせを
全て試すという力づくの攻撃をいいます。
例えば暗証番号であれば００００から９９９９の１万通りを全て試し
て、正解を見つけようということです。

ですから、システムを作るときはこんな力づくの攻撃を受けても正解
がばれないように作ります。

よく使われるのは、アカウントロックという技法です。
これは、例えば３回連続して暗証番号を間違うと以降は正しい番号
でもログインできない（これをアカウントロックといいます）ように
するものです。これなら、多くの暗証番号を試せませんから、不正な
ログインを防げるというわけです。

世のほとんどのサービスでブルートフォース攻撃対策は実施されて
います。

この制約を乗り越えようとするのが「リバース」ブルートフォース
攻撃になります。

これはまさしく「リバース（逆転）」の発想です。

上述の通り、ブルートフォースは次のような攻撃を仕掛けます。

　口座番号　　　暗証番号
　0000001　　　　0000
　0000001　　　　0001
　0000001　　　　0002
　　：
　　：

同じ口座番号に対して、違う暗証番号を試すわけですが上述の
通り、一定回数試すとアカウントロックされてしまいます。

一方リバースブルートフォースは次のような攻撃を仕掛けます。 

​　口座番号　　　暗証番号
　0000001　　　　0000
　0000002　　　　0000
　0000003　　　　0000
　　：
　　：

見てわかる通り、暗証番号は固定で口座番号を次々と変えて攻撃
するのです。

「やっぱり３回ログインに失敗したらアカウントロックされて
しまうんじゃ？」ですって？

いえいえ、リバースブルートフォースはアカウントロックの仕組み
ではガードできないのです。

アカウントロックというのは、アカウント毎のログイン失敗回数
で判断しています。

例えば、口座番号0000001 に対して攻撃を加えたとします。

　口座番号　　　暗証番号
　0000001　　　　0000　　→  0000001へのログイン失敗が１になる
　0000001　　　　0001　　→  0000001へのログイン失敗が２になる
　0000001　　　　0002　　→  0000001へのログイン失敗が３になる

ところが、リバースブルートフォース攻撃の場合はこうなります。

　口座番号　　　暗証番号
　0000001　　　　0000　　→  0000001へのログイン失敗が１になる
　0000002　　　　0000　　→  0000002へのログイン失敗が１になる
　0000003　　　　0000　　→  0000003へのログイン失敗が１になる

よく見てください。リバースブルートフォース攻撃の場合は、
ログイン失敗回数が累計されていません。これは対象となるアカ
ウントが違うからです。

つまりリバースブルートフォース攻撃では、何回でもログインが
試せるわけです。

気の利いたシステムであれば、同じＰＣ（パソコン）から何百回
ものログインがあれば、警告を出すような仕組みを組み込みますが、
ドコモ口座のシステムではそのような仕組みはなかったようで、
リバースブルートフォース攻撃が疑われる大きな理由となって
います。

7. フィッシングでは？

今回の事件がフィッシング詐欺で得た口座番号などの情報を元に
しているのではないか？という話が出ていますが、今のところ、筆者
はその意見に同意できません。

もしフィッシングで得た情報でログインをしているのであれば、被害
件数は73件といった小さな数字でなくなると思うのです。

口座の不正利用などという犯罪はスピード勝負です。
数日のうちには、被害者から報告があがってバレてしまうことは
わかりきっていますから、少しでも利益を増やすためには短期間に
大量の不正利用を行おうとするはずです。

実際、2019年に発生した7payの事件の場合、サービス開始から数日で
800件を超える不正アクセスがありました。

今回はその1/10に過ぎず、しかも被害が11もの銀行に分散して
います。フィッシングで取得した情報の活用方法としてはあまりに
少なすぎます。

8. 対処方法は？

残念ながら、一般利用者が取れる有効な対処方法は限られています。
本人が自身の銀行取引の内容を確認するしかありません。

まず、確認すべきは以下の銀行口座をお持ちかどうかです。

みずほ銀行、三井住友銀行、ゆうちょ銀行、イオン銀行、伊予銀行、
池田泉州銀行、愛媛銀行、大分銀行、大垣共立銀行、紀陽銀行、
京都銀行、滋賀銀行、静岡銀行、七十七銀行、十六銀行、
スルガ銀行、仙台銀行、ソニー銀行、但馬銀行、第三銀行、
千葉銀行、千葉興業銀行、中国銀行、東邦銀行、鳥取銀行、
南都銀行、西日本シティ銀行、八十二銀行、肥後銀行、百十四銀行、
広島銀行、福岡銀行、北洋銀行、みちのく銀行、琉球銀行

以上35行の口座をお持ちの場合は、2020年8月以降の口座取引を
通帳記帳などでご確認ください。
現在NTTドコモとの取引があるかないかは関係ありません。

取引の中に「デイーバライ(d払い)」とか「ドコモコウザ」と
いう取引があれば、至急NTTドコモと銀行に連絡をしてください。

NTTドコモの本件専用窓口は 0120-885-360 です。

逆に引き落としの記録がなければ、現状では被害はありません。
ですが、ドコモ口座が不正に作られ、チャージされていないだけ
という可能性はゼロではありません。
面倒ですがしばらくは定期的に確認をしてください。

また、身近なお年寄りがおられればその方の口座についても是非
確認をしてあげてください。
普段はネットを利用しない方は自分が被害者になるとは思っても
いない可能性があります。

発見が遅れればそれだけ手続きが面倒になる可能性がありますので、
早いうちに確認をするようにしてください。

9. 今後注意すべき点

今後はNTTドコモを騙ったフィッシングメールが当分の間飛び交う
ことになりそうです。

また、これをネタにした特殊詐欺（いわゆる振り込め詐欺）も流行
する可能性があります。

9/10のNTTドコモの記者会見で、ドコモの副社長さんが「ドコモ側
では不正利用を検出することはできません」と断言されています
から、NTTドコモを騙るメールや電話はすべてウソだと言い切れます。

これも身近にお年寄りがおられればその方にも説明をしてあげて
ください。

最後になりますが、今回の事件については、NTTドコモも銀行側も
対応の甘さが糾弾されています。
今回はあまりにガバガバな対応でしたから当然だと思います。

ですがNTTドコモも銀行も被害者です。この点は間違ってはいけない
ことでしょう。

一番悪いのは間違いなくこの事件を起こした犯人です。

今回も新記録レベルの長さとなってしまいました。

次回はまた手順書作成の話に戻ろうと思います。
次回もお楽しみに。

このNoteは私が主宰するメルマガ「がんばりすぎないセキュリティ」からの転載です。
誰もが気になるセキュリティに関連するトピックを毎週月曜日の早朝に配信しています。
無料ですので、是非ご登録ください。
https://www.mag2.com/m/0001678731.html