WEB口座不正送金事件について個人的なまとめ

とめ

◆ドコモ口座不正引き出し事件
銀行口座からドコモ口座の名義で覚えのない引き出しがあった事が確認されました。この事件の怖いところは、ドコモ口座はあくまでも不正送金の入り口でしかなく、銀行口座を持つ全ての人にリスクが生じていたところです。

事件の概要について調べた事を記録として残しておきます。

◆ドコモ口座とは何なのか。
スマートフォンのアプリとしてドコモ口座はあります。登録した銀行口座に対して、現金の引き出し振り込みができるサービスです。電子マネーというやつです。この機能を実現するために、口座振替という仕組みが利用されています。

◆口座振替とはなんぞや
収納機関、銀行、利用者の三者が利用者が銀行に開設している口座から
「収納機関の指示」で資金を移動することを銀行に認める契約です。

例、ガス会社がユーザーが使った分のガス料金を銀行口座から引き出してユーザーに明細を送る。

クレジットカードとか水道料金とかケータイ電話使用料とかをこれで支払っています。免許証や保険証などの確認であったり、ハンコが必要だったり、本人で有ることが確認できる個人情報を細かく登録してるはず。
厳し目の本人確認をしています。

◆Web口振(口座振替)受付
紙ベースで行っていた口座振替は手続きとしてまどろっこしいということで、銀行のWEBサイトから受付できるようにした仕組み。

収納機関のユーザーが、「収納機関のサイトから連携して使える」銀行側のWebサイトで本人確認を実施した上で口振契約を結ぶ、
という仕組み。I/FがWebであること、利用者がWebサイトで入力するデータだけ(つまりキャッシュカードの実物は不要)というところが特徴ですね

銀行側の本人確認方法は「口座番号と4桁の暗証番号+α」という弱い認証で行っていました。元々の口座振替の仕組みでは、申し込む相手がすでに本人確認できているという信用ベースになっていたからです。

電子マネーのチャージは口座振替の仕組みを利用しています。
システム的には「ユーザーが収納機関にチャージの指示を出したら
収納機関がそれを受けて銀行に資金移動の指示を出す」ということになります。


◆ドコモ口座から不正送金が頻発した理由

・ドコモ口座の利用には元々はNTTドコモと契約する必要があった(本人確認が出来ているのとほぼ同義)
→ユーザーを増やす、利便性を増すために、ドコモユーザー以外でも利用可能にしたい。
→ドコモ口座を開くのに必要なdアカウントをWEBから登録できるようにした。
→dアカウントはメールアドレスとパスワードを設定するだけでOK。(誰でも作れる)

・ドコモ口座での本人確認方法。
 これから口座振替をしようとしている対象の口座の「口座番号と4桁の暗証番号+α」で認証が通ること。
 (+αはそれぞれの銀行による。無いところもあった。)
 ↑セキュリティ的に問題ありなところ。口座番号と4桁の暗証番号され分かれば、第3者によるなりすましが可能だった。

◆リバースブルートフォース攻撃(逆総当たり攻撃)
「口座番号と4桁の暗証番号+α」という関門を突破するために、リバースブルートフォース攻撃が使われたと言われています。
通常の銀行口座では暗証番号の入力を3回失敗するとロックされる。そうすることで4桁暗証番号の総当りを防いでいました
リバースブルートフォース攻撃では、暗証番号を固定して銀行口座の番号を総当りする。
こうすると、それぞれの銀行口座から見ると一度しかアクセスされないので、不正なアクセスを検知しにくいです。
暗証番号を生年月日や連続した数(1234,3333など)にすると、突破する確率は高くなるはずです。


◆銀行側から見た状況
口座振替の指示は、確実に本人であることを確認されている事が前提となっていました。そのため、ドコモ口座側からの送金要求を受けると、何の問題もなく送金が行われました。不審なアクセスであるかをチェックする機構がそもそも無かったのでは?と推測されています。


これまでの仕組みでは、別の口座にお金を移す銀行振り込みではキャッシュカードが必要で、それによって本人による送金であることを確認していました。Web口座振替の仕組みでは、キャッシュカードという物理的な本人確認方法が省かれているために、セキュリティ的に問題が生じてしまいました。


◆まとめ
ドコモ口座からみると、銀行側が本人確認を担保しているだろう。(キャリア契約してない人でもドコモ口座を作れる様にしたのが一番のミス)
銀行からすると、口座振替は信用できる相手からしか指示は来ないだろう。(いまどき口座番号+4桁の暗証番号はセキュリティ弱すぎ)

両者が互いに取引の信用を相手に求めていたために起きた事件(事故)です。

名前だして悪いですけど↓サービスがやべえんじゃないかと。



今回の事件では、ドコモ口座が目立ってしまいましたが、銀行口座からアプリに対して、電子マネーとしてチャージする仕組み(○○Payとか)なら、
、どんなサービスでも起こりうると思われます。

電子マネーを使うと、小銭が貯まることもないし、下手すると財布を持ち歩かなくていよくなるという便利な仕組みなのですが、同時に危うさも含んでいます。便利さとセキュリティのバランスを取る難しさというのを改めて思い知らされた、今回のWEB口座不正送金事件でした。


この記事が気に入ったらサポートをしてみませんか?