API脆弱性 (?) シリーズ: ドコモ口座 (2020)

これもAPIというよりはセキュリティの考え方だと思いますが。

ここ数日七十七銀行とドコモ口座についての記事が話題になっているのを見かけたので、自分の調査ログがてら以下に見かけた情報をまとめていくことにします。私は被害者ではないので経緯をまとめるのみです。

2020/9/10 23:00 追記

現段階で1800万円の被害とのこと。

「ドコモ口座」被害は66件 計1800万円 陳謝し全額補償へ | NHKニュース

ドコモの記者会見の内容が発表されています。被害そのものなどの話はともかく、私個人としては技術的に納得できる内容でした。

「ドコモ口座」不正預金引き出し、記者会見の一問一答まとめ

昨年5月りそなの被害の件:
別物。この時の問題点は、ドコモ口座の名義人と銀行口座の名義人が別であってもチャージできてしまっていた。この時に名義人が異なる場合は登録できない仕組みにしている。

今後のセキュリティ対策:
ドコモ側はdアカウントの登録時の本人確認を、eKYCやSMSを使って認証する仕組みを作る。
ドコモ口座から銀行口座連携を通じた全体のセキュリティについては、あくまでドコモ側の対応をした上でと言う前置きで、

金融機関のセキュリティとドコモのセキュリティ、お客さまから見れば、トータルで考えるべきものと承知している。今回のケースはドコモの本人確認が不十分だったのが一因だ。しかし、今後キャッシュレスを拡大するためには、全体のセキュリティと使いやすさを両立するために、みんなで知恵を出していく必要がある。

セキュリティ強度を高める手法などを（銀行に）示すなど連携している。

被害額1800万円はいつからいつまでの数字か:
2019年8月以降。

ドコモ契約者以外にドコモ口座を解放した流れについて:
りそな銀行の後 (ということは2019/5より後)。

ここから先は9/17段階で金融庁に報告されるとのことですので、その時にまた詳細が出て来ると思います。

ここからは現段階の私の私見として、どうしてこうなったかを想像をふくらませて考察してみます。良い悪い、どうすべきはここでは判断しません。

どのタイミングでドコモ以外のユーザーをターゲットにしたのかというのが気になっていました。

ドコモ口座の問題は、
1. 最初にdアカウント (ドコモの総合サービスを使うためのアカウント) を作成
— ここでメールアドレスだけで登録できる問題
— 登録後のアプリの起動は生体認証や二段階認証などを使っている様子。
2. ドコモ口座をdアカウントに紐付けて作成
— ここはdアカウントを信頼する形で比較的簡素。
3. 銀行口座と連携登録
— ここで銀行側の認証強度の問題

記事の中でも指摘がありましたが、ドコモユーザーに対してはdアカウント登録時に電話番号と、電話番号に対して登録されている暗証番号を入力させているんですね。対してドコモ以外のユーザーにはそれがありません。

ここは推測ですが、これはお買い物をドコモ利用料と合算して請求する機能 (ドコモ払い) のため、ドコモ携帯契約を保護するための認証だったのではないかなあ、というのが今の段階の想像です。

結果としてドコモユーザーに対してはセキュリティが厳しく、それ以外のユーザーにはゆるくなってしまっていました。

で、全体のアンバランスがなぜ生まれたかというと、もしかしたらドコモ以外のユーザーにサービスを拡張した時のサービス設計の段階でセキュリティの精査が必要だという観点が漏れてしまったとか、観点が足りなかったとか、そういう問題があったかもと推測しています。

サービスの拡張や対象ユーザーの拡張でセキュリティの脆弱性が発生するケースは多く、Googleでも事例があります。

7payも、セブンイレブンのアプリとして使っていたものに対して7payの機能を作りつけたり、7payという会社の外側の認証基板 (オムニ7) を使ったがために、7payという単位ではきちんとしていたが、全体のセキュリティを考えた時に弱くなってしまったのではないかな、と思っています。

今日見つけたこちらの7pay事件に関する考察でそういったコメントがセキュリティの専門家からも指摘がありました。

7payの「二段階認証導入」は正解か？　セキュリティ専門家、徳丸氏の視点

もちろん7payの場合はそれ以外の問題もあったわけですが。

ただし既存サービスの対象ユーザーやユースケースの拡張によるセキュリティへのインパクトを把握しきれていなかった、という大きな共通項はあるのではと思いますので、また詳しい情報が入ってきたら振り返りつつ、開発の現場はどうしたらいいんだろうと考えるためのインプットとしたいと思います。

2020/9/9 23:45 追記

明日からすべての銀行で新規口座登録ストップとのこと。

不正利用相次ぐ「ドコモ口座」、利用可能な全３５行で新規登録停止へ（読売新聞オンライン） - Yahoo!ニュース

それから同様の現象が昨年5月にすでにりそなで報告されていたそうです。

「ドコモ口座」不正引き出し、昨年5月にも　りそな銀で同じ手口　教訓生かされず？ - 毎日新聞

個人的にはドコモ口座のお知らせ欄を過去からずっとみていくと、銀行口座新規登録用エンドポイントの障害報告や一時停止が、ほかのエンドポイントに比較してダントツに多いのが気になっている。元々システム負荷が高いサービスなのか、それとも攻撃の結果なのでしょうか。

2020/9/9 20:30 追記

今朝10時前の段階でゆうちょ銀行がドコモ口座からの登録を凍結していましたが

「ドコモ口座」への口座登録の一時停止について−ゆうちょ銀行

19時過ぎの段階で被害が確認されているそうです。

ゆうちょ銀行でも被害判明、ドコモ口座の不正引き出し：朝日新聞デジタル

2020/9/9 9:00 追記

新規口座登録停止の銀行が増えました。合計17行だそうです。

お知らせ｜ドコモ口座

PayPalがどうやってこういった不正を防いでいるのかが気になって調べているのだけどうまく見つけられない。同じように送金で使うことができ、アカウント所有者のアイデンディティの確認は銀行口座連携ができることを持って実施している。日本の外ではPayPalアカウントへのチャージができるので、モデルとしては似ていると思うのだけど。

2020/9/8 22:00 追記

滋賀銀行、鳥取銀行でも被害確認。

緊急情報

タイトル未設定

あとこちらは非常にいい記事でした。

本当にドコモ口座だけ？ 預金不正引き出しの手口（石野純也） - Engadget 日本版

厄介なことに、狙われているのは銀行口座であって、ドコモ口座ではありません。ドコモ口座やそのほかの何とかPayを使っていなくても、その銀行に預金があるだけでお金を引き出されるおそれがあるというわけです。

では、ほかの何とかPayではなく、なぜドコモ口座が狙われたのでしょうか。その理由は、登録時の本人確認の緩さにありそうです。ドコモ口座はdアカウントを持っていれば、誰でも開設できますが、dアカウントはメールアドレスだけで作成可能。厳密な本人確認はマストではありません。

何で直接じゃなかったの? と言う話ですが、ドコモ口座を経由することで犯人を追いかけにくくしている。銀行から直接振り込みであれば、振り込みを指示した時のIPなどを元に調査したり、振込先口座を探すなどが手掛かりになるかもしれません。

ドコモ口座経由だと、銀行からはドコモ口座しか見えないので、一見正当なアクセスに見えるため、発覚しづらかったのでは。盗んだ側はドコモ口座で何かの買い物をして使ってしまうだろうと思いますが、どこでどんな買い物をしたとかはわかっても、誰が使ったかを特定するのは難しいかもしれません。

2020/9/8 19:00 追記

口座作成に本人確認が必要とあったので調べてみました。

本人確認は口座登録をすることで確認とすると言う制度のようです。てことは実質的口座登録前の本人確認はなく、銀行側のセキュリティ強度を信頼する形式のようですね。

ドコモ口座

ちなみに口座の前提としてdアカウントを作成する必要があるようですが、ドコモの回線を持たないフローを見る限り、特に本人確認が無さそうです。

新たにdアカウントを作成する（回線なし） | dアカウント

ではドコモ側で本人確認をすべきか? あたりが私にはわからない。本人確認した方が良いのでしょうが、必須かどうかは金融系セキュリティの専門家とか法律の専門家のご意見などが出てきたら拝見したいです。

2020/9/8 15:00 追記

東邦銀行も対象のようです。

《注意喚起》「ドコモ口座」を利用した当行口座の不正利用の発生について｜重要なお知らせ｜東邦銀行

逆に大垣共立銀行は被害があったかも、と言う状況のようですね。

電子決済サービス「ドコモ口座」通じて預金不正に引き出し | NHKニュース

被害にあった方によると、連携の登録から30分で全額引き出されてしまうそうです。

銀行に調査して頂いた結果、
・七十七銀行口座にアクセス～ドコモ口座開設、全額引き落としまで約30分で完了
・ドコモ口座の一回の引き落とし限度額(10万)を最初に引き落とそうとする
・残高が10万に満たない場合、希望額を5万、4万…と変更しながら最終的に1000円単位まで引き落とそうとする

— トックリ (@tokkuri_tktk) September 6, 2020

ツイートはこちらでご紹介いただきました。

ドコモ口座を悪用した不正送金についてまとめてみた - piyolog

2020/9/8 13:00段階でわかったこと

現象:
七十七銀行の口座の出入金記録に覚えのない「ドコモ口座」の引き落としがあることがわかる。

攻撃:
ドコモ口座は情報さえ揃っていれば作成できてしまう (本人確認不要) ことを悪用し、第三者が七十七銀行のユーザーになりすまして口座を開設。
チャージ口座として七十七銀行を指定する。連携登録時に銀行側のサービスで認証を求められるが、七十七銀行の認証は口座と4桁の暗証番号であるため突破が簡単で、簡単にチャージ口座登録できてしまう。

あとはドコモ口座にチャージするだけ。

現在の七十七銀行との連携:
新規口座登録は9/5 (土) に凍結、ただし既存の登録口座からは引き続きチャージできる。
ということは、被害にあった口座はまだまだ引き落とされるということじゃないかと思います。

緊急掲載情報 | 七十七銀行

本当に七十七銀行だけ?:
ドコモ口座は七十七銀行の口座登録凍結のお知らせの記事の中で中国銀行と大垣共立銀行の登録を9/8 (火) 段階で凍結するとアナウンスしています。

同じ記事ってことは同じ現象ではないかと思ったら案の定です。

お知らせ｜ドコモ口座

中国銀行のアナウンス。

「ドコモ口座」を利用した当行口座の不正利用の発生について｜中国銀行からのお知らせ | 中国銀行

大垣共立銀行のアナウンス。PDFですが。

タイトル未設定

大垣共立銀行は、入金そのものをできなくしている様子。メンテナンス明けにどうなるかですね。

お知らせ｜ドコモ口座

「ドコモ口座」、大垣共立の銀行口座登録を停止　入金も利用不可

そもそもドコモ口座って?:
Wikiによると、元は「ドコモケータイ送金」という、ドコモの携帯間でお金をやり取りするサービスだったようですね。口座開設なしで、送金金額をあらかじめチャージできる仕組みではなかったようです。(2009年)

金額をプールできる仕組みになったのは2011年、この時は入金方法が限られていて、Pay-easyやコンビニ入金だったようです。

チャージ用口座を連携できるようになったのはいつかがわからない。

ドコモ口座 - Wikipedia

が、ドコモ口座のお知らせをたどったところ2018/3にりそな銀行が利用可能になった旨のアナウンスがあったので、少なくともこれ以前には遡ることができ、かつ最近の話ではなさそうです。

お知らせ｜ドコモ口座

ではなぜ今?なのですが、比較的最近追加されている銀行が問題になっている様子。

中国銀行がドコモ口座への入金に対応し始めたのは今年の3月だと言うことです。

お知らせ｜ドコモ口座

大垣共立銀行は2019/12。

お知らせ｜ドコモ口座

七十七銀行については銀行側でもドコモ口座側でもチャージ開始のお知らせを見つけることができていませんが、2019/7の障害復旧のお知らせには七十七銀行の名前を見ることができるので、チャージ開始は上記2行よりずっと古いはずです。

お知らせ｜ドコモ口座

参考にした記事 (2020/9/8 13:00段階)

銀行口座から「ドコモコウザ」名義で身に覚えのない引き落としが何度も行われる事案が複数発生…いったい何が起こっているの？