ドコモ口座に紐付けられた銀行口座から不正に預金が引き落とされてしまう「ドコモ口座不正利用」事件。
このニュースを初めて耳にしたとき、多くの人はこう思ったはずです。
-
ドコモ口座を持っていないから自分は関係ない
-
ドコモは有名だけどセキュリティが杜撰だったのだな
しかし次第にその概要が明るみに出て、情報を詳しく知ることになると、ドコモ口座を持っているかどうかは関係なく、銀行口座を持っている人は誰でも被害者になりうることがわかり、不安が一気に広がりました。
ドコモ口座のセキュリティについては、ほとんどのニュースや記事で本人確認の甘さが指摘されています。
確かに本人確認をはじめとするセキュリティの脆弱さがあったことはドコモ会社自身が認めており、その点が今回の不正利用で狙われたことも事実ですが、実は問題はそこではありません。
本当に問題なのは、ドコモ口座のセキュリティではなく、犯人がどうやって個人情報を得たのかがわからない点にあります。
どのニュース記事も「あらかじめ何らかの方法で得た情報を使って・・・」という表現を用いて電子決済の紐付けに関わるセキュリティの脆弱さを問題にしていますが、論点がズレていると言わざるを得ません。
繰り返しになりますが、問題は何らかの方法で犯人が情報を得ることができるという点です。
犯人が情報を得た方法で一番可能性が高いのはフィッシング詐欺です。→宅配便不在ショートメール詐欺にクリックさせる手口と国勢調査の詐欺
この先、ドコモ口座に限らずバンクペイやpaypayといった有名な電子決済においても必ず同様の事件が起きるはずです。
※追記 2020年12月1日予想通りpaypayにも不正アクセスとの報道がありました。
ペイペイに不正アクセス 加盟店情報、流出の可能性
ソフトバンク系のスマートフォン決済大手ペイペイ(東京)は7日、約260万に上る全加盟店の営業情報を管理していたデータベースに不正アクセスがあったと発表した
参照元:sankei.com
そして、このままでは、ここまで少しずつ私たちの生活に浸透してきた電子決済は完全に利用停止となってしまう可能性もあります。
この記事では、これから電子決済はどうなっていくのか、私たちが被害者にならないためにはどうすればよいかをご説明します。
本人確認強化は無意味!ドコモ口座不正利用で電子決済がなくなる未来
今回のドコモ口座不正利用の手口をまずはしっかり理解しておくことが肝心です。
ドコモ口座不正利用の手口
-
何らかの方法で銀行口座の情報(名前、住所、口座番号など)を大量に不正入手
-
リバースブルートフォース攻撃
-
ヒットした口座の名義等でドコモ口座を開設(紐付け)
-
銀行口座からドコモ口座へ不正に引き落とし(限度額30万円まで)
リバースブルートフォース攻撃とは
不正入手した口座番号にランダムにパスワードを当てはめていっても、数回ためしたところでロックがかかります。
しかし、よく使われがちなパスワードを固定しておいて、口座番号の方をランダムに当てはめていくと、同じ4桁のパスワードを使用している口座は見つかりやすいという理論で行うサイバー攻撃です。
ドコモと銀行の対策
ドコモはドコモ口座の新規登録と銀行口座からのチャージ(入金)を停止、銀行はドコモ口座との紐付けを停止する措置を取りました。
これにより、ドコモ口座を不正に利用した決済等はできなくなりましたが、犯人だけでなく善意の一般利用者も利用が困難となりました。
電子決済サービスが狙われた理由
何らかの方法で銀行口座の個人情報を得た者でも、さすがにパスワードまでは知ることは難しいと言われています。
そのため、上述したリバースブルートフォースという方法をとって、ヒットした銀行口座をターゲットにするのです。
しかし、なぜわざわざドコモ口座のような電子決済を経由させる手間をかけるのでしょうか。
それは足がつきにくいからです。
振り込め詐欺を思い出してみると、幾分わかりやすいはずです。
振り込め詐欺の場合、指定した口座に振り込ませて、そのお金を引き出す時が、もっとも捕まる危険が高い瞬間です。
そのため、なるべく無関係な人間を雇って、いわゆる受け子に引き出させることが多いと言われます。
電子決済の場合は、いわば電子決済を行う権限をすでに持っている人という前提のもとに行っているサービスです。
したがって、他人の口座から不正利用している姿も形跡も見た目には決してわからず、その場で不正を見抜くことは困難なのです。
これから狙われる口座
今後はドコモに限らず、あらゆる電子決済サービスが狙われることは間違いないところですが、その中でも個人的に特に注意を促したいのは証券口座です。
国内はまだいいのですが、FXなどの海外口座を持っている方は要注意だと考えます。
ただでさえ、不透明な部分が多く公には認められていないのが海外FX口座です。
これからの電子決済サービス
根本的な問題として、今回のような犯人が「何らかの方法を使って得た個人情報」の漏洩を阻止しないことには、安心して電子決済サービスを利用していくことはできません。
そういった意味では、電子決済サービスを行う会社と銀行のセキュリティ強化は、その場しのぎともうつってしまうのですが、今後は以下のような強化策が予想されます。
- 指紋認証や顔認証あるいは虹彩認証などの導入
- 口座番号の暗号化
- パスワード4桁から桁数を増やす、あるいは英数字と合わせより複雑にする
最後に
実際のところ、どんなにセキュリティを強化したところで、不正利用の根本原因である犯人の個人情報の取得方法を暴いて防止しなければ、電子決済サービスはいずれ無くなってしまうでしょう。
ドコモは、今のところ有効な対策というものはなく、定期的に自分の口座を調べてみて不審なアクセスや引き落としがないか確認してほしいと述べています。
そんな原始的な方法しか手段がない現状は、電子決済がなくなる日が近いことを暗示しています。
コメント