最近横行しているサイバー犯罪の件

先週土曜9/5あたりからTwitterでは話題になっていた「自分の銀行口座から"ドコモコウザ"宛に、身に覚えのない送金が行われる」という怪事件、ついにテレビのニュースに取り上げられた。調べていくにつれ、これは銀行のセキュリティの甘さが原因であり消費者にできる対策はほとんどないことがわかった。ここで情報を共有したい。

「ドコモコウザ」宛の不審な送金に要注意

事件のあらましは以下のとおり。

1. 銀行はWeb口座振替受付サービスというサービスを提供している

2.これはオンラインバンクとは別で銀行の基本機能である

3.利用者はまず送金先企業のウェブサイトにログインし、そこから銀行にログインして口座振替を依頼する仕組みである

4.一部の地銀では、支店番号/口座番号/4桁暗証番号を知っている者は誰であろうと本人とみなしログインを許す

5.なぜそのような雑なセキュリティでいままで事件が起きなかったのかというと、いままでは送金先企業(電気ガス水道事業者など)が厳格に本人確認をしていたからである

6.ドコモ口座は本人確認をしないため(利用者の銀行口座にログインできる者は誰であろうと本人とみなして良いはずだ、という考えのため)、Web口座振替受付サービスのセキュリティが破綻した

7.サイバー犯罪者は偽名でドコモ口座を開設し、どこからか口座番号を盗み、なんらかの方法で4桁暗証番号を突破して、被害者に無断で自分のドコモ口座宛に口座振替を行った。なにしろ4桁しかないのだから突破は簡単である

8.ドコモ口座のこのようなセキュリティ方針に違法性はない。ゆえに今時点でもドコモ口座は自分の非を認めず、ウェブサイトにも現在進行中のサイバー犯罪について説明をしていない(2020.9.8現在)

犯罪者は4桁暗証番号を突破できる

ほとんどの銀行には「暗証番号を3回誤入力すると口座をロックする」というセキュリティ仕様が備わっており、たった4桁であっても安全だとされている。が、実は犯罪者の方が一枚上手である。

リバースブルートフォース攻撃という手法があり、これはようするに、まず大量の銀行口座番号を盗んでおいて偶然4桁暗証番号の一致する口座に不正ログインするという手法である。暗証番号の入力は各口座ごとに1回しか行わないので、銀行は犯罪を察知することができない。

銀行利用者の約1割は「1234」という4桁暗証番号を使っているという調査結果がある。これが事実ならば、盗まれた銀行口座番号の１割は実際に被害に遭うということである。

銀行はサイバー犯罪の被害を補償しない

どの銀行でも、ウェブサイトを探せば「Web口座振替受付サービス利用規約」(銀行により名称に差異あり)が掲載されているはずなので是非一度読んで欲しい。そこには例外なく「暗証番号流出による損害に対して銀行は責任を負わない」と書いてある。

前述の通り、暗証番号は流出しなくとも、リバースブルートフォース攻撃により盗まれた銀行口座番号の１割は実際に被害に遭う。しかし規約上は銀行は責任を負わないと書いてあるので、被害者は泣き寝入りである。

もしかすると、いま銀行のサポートセンターに電話をしたら、オペレーターは「被害に遭われた場合は補償をいたします」と答えるかもしれない。しかし安心しないで欲しい。規約には「暗証番号流出による損害に対して銀行は責任を負わない」と書いてあるのだ。証拠の残らない電話の口約束と契約書同等の法的拘束力のある利用規約、どちらが優先かはいうまでもない。

セキュリティ意識の低い銀行から逃げろ

今回の事件に限っていえば、銀行側がドコモ口座との提携を解消することで解決する見込みである。しかし根本原因は銀行のセキュリティ意識の低さにある。別の手口でまた被害に遭うかもしれない。筆者からの提案は以下の通りである。

1. 銀行サポートセンターに電話し、Web口座振替受付サービスへのログイン時に問われる本人確認情報はなにかを訊く。もしも支店番号/口座番号/4桁暗証番号しかないのであれば、それは危険な銀行である

2.危険な銀行のキャッシュカードを利用停止する(4桁暗証番号を未設定状態に戻す)

3.銀行の窓口で、知らない宛先への口座振替が登録されていないことを確認し、もしされていたら登録解除する

4.多少時間がかかっても、安全な銀行を探してそこに財産を移す

危険な銀行が取り付け騒ぎで倒産するかもしれないが、それは世のため人のためである。財産を守るため、セキュリティ意識の低い銀行からはいますぐ逃げることを提案する。