見出し画像
Photo by ma_sa_to_no_te

「7Pay事件」と「ドコモ口座事件」は象徴的な事件なのだ。

Shigeo YOKOAYAMA(横山 成男)

『今回の問題は、ドコモ口座と「銀行のネット口座振替」の2点が脆弱であったことから発生したものだ。狙われた銀行口座は、明確に「口座番号・口座名義・暗証番号・生年月日のみでWeb口座振替登録を受け付けている」銀行に集中している。口座番号・口座名義・生年月日のリストを入手するのは簡単で、暗証番号はたかだか4桁の数字に過ぎず、しかも、使われるものに偏りがあることが分かっている。「本人しか持っていない要素」による認証(所持認証)が存在しないので、これは危険であることが明白だ。若干脱線するようだが、「キャッシュカードと4桁の暗証番号」が、ネットの「口座番号と4桁の暗証番号」より安全である理由を、ちゃんと説明できる人は意外に少ない。前者がまだしも安全なのは、「物理的なカード」という、本人が持っていることが前提になっているからだ。偽造の可能性はあるが、「口座番号と4桁の暗証番号」というただの情報よりもずっとマシであることは間違いない。なお、暗証番号をひんぱんに変えても意味はない。結局そんなものは「4桁の人間が思いつく数字」に過ぎず、突破が簡単であることに変わりはないからだ。だから、「本人しか持たないと期待される要素」を加えた多要素認証が求められる。物理カードの利用やスマホの活用、免許証などを使ったeKYCの話が出てくるのはそのためだ。~NTTドコモ側が対応銀行拡大のため、セキュリティのゆるい状態での口座接続を進めたのは間違いなさそうだ。一方で、銀行の側として、「ゆるいセキュリティでの接続をOKしたこと」「緩いセキュリティ状態が今も続いていること」についての説明がほとんどなく、ドコモ側としてもそこに「話し合いをすすめている」「いつかは良い状態になれば」といったコメントが続いたことに強い不信感を抱く。そもそも、オンライン決済に本格的な対応を進めていない銀行側が、「銀行+現金」という決済手段に甘えていた部分はないか。投資額を小さくし、ゆっくりと場当たり的にオンライン決済の導入を進められないか、という意識があったのではないか。複合要因であること、その根幹に、少なくともこの記事を書いている9月12日現在で手が入っていないことについては、もっと真剣に考えるべきではないか。~今回の問題は、NTTドコモや銀行、システム開発事業者がネット決済にかかわるどこかにリスクがあり、そのリスクをどう見積もるのか、という点が甘かったことに起因する。~今回の件について、NTTドコモ側は「銀行側から被害報告がないと全容を把握できない」としている。これは仕組み上その通りだろう。ドコモ口座の利用を止めておらず、1日1万3000件の振替がある状態では、ドコモ側からは、問題のある取引かを判断するのは難しい。銀行側も「通帳への記帳をして確認を」としている。記帳して確認しないと分からない、という段階でリスクが高い。今回の場合には偽のアカウントを作られていたので、チャージの実行についての連絡が「口座を持っている本人に届かない」という状況になるため、記帳確認が必須になる。おそらくだが、素早く犯罪を達成するには、限度額を一気にチャージして引き出すなど、特徴的な動きがあるはずだ。「新規に作った口座で特徴的な動きがある」というリスク要因を検知する仕組みを、銀行側・ドコモ側がそれぞれもっていてもいいはずだ。それがないのは、犯罪利用についてのリスク計算の甘さといっていい。クレジットカードの場合、「犯罪的な利用」についてはわれわれが思う以上にリスクチェックが行われている。それで全てが防げているわけではないが、筆者も実際に、クレジットカード会社側の「自動的と思われるリスク対策」に救われた経験がある。それだけ彼らは、日常的にリスクに晒されているということなのだろう。一方、こういう問題が出ると「結局現金が安全」という話が出る。だが、それはあまりにリスクを軽視しすぎだ。いわゆる「オレオレ詐欺」の方がずっと被害額は大きいが、ネットは関係ない。現金の場合、落としたら戻ってくる確率は低い。~昨年の7Pay事件以降、こうした被害はサービス事業者側が全額補償するのが基本になった。消費者としては助かる部分だが、一方で、犯罪者にとっては狙いやすくもなった、といえる。だとするならば、ドコモ口座の問題を「ドコモの問題」と考えるだけでなく、金融サービスから日々お金を掠め取る組織との闘い、と考えて、もっと全体的な精査を進める必要があるのではないか。オレオレ詐欺に代表される特殊詐欺犯も含め、こうした犯罪に対し、各所はどう対応していくのだろうか? 7Pay事件も、「出し子」はつかまっても組織の根幹につながる人物の逮捕には至っていない。筆者は捜査の専門家ではないので、どうすればいいかはまったく分からない。だが「根っこを押さえるために何をするのか」という対策が必要なのは間違いない。場合によっては、警察側の組織に手を加え、横断的対策を強化する必要があるのではないか。そういう部分も含めて「ドコモが悪い」で終わってはいけない事件なのだ。』

オレオレでの一攫千金が難しくなたのでヒノモトのオトナがITに疎いところを突いたジャブ的手法だろう。記事にある様に「7Pay事件」と「ドコモ口座事件」は象徴的な事件なのだ。

ドコモ口座事件、「3つの違和感」 ドコモが土下座すればいいの?
https://www.itmedia.co.jp/news/articles/2009/15/news102.html

この記事が気に入ったらサポートをしてみませんか?