知って得するセキュリティのはなし その79
「ドコモ口座」悪用による預金引き出し相次ぐ…本人確認に問題
1.このニュースをザックリ言うと
- 9月7日(日本時間)以降、国内メディアより、NTTドコモ提供の決済サービス「ドコモ口座」を悪用し、銀行口座の預金を不正に引き出される事件が相次いでいると報じられています。
- 預金口座の番号・名義および暗証番号を攻撃者に取得(および推測)され、その攻撃者が作成したドコモ口座に不正に登録されるという手口で引き出しが行われたとされており、また「ドコモ口座」「携帯電話やスマートフォン(NTTドコモやその他キャリア)」あるいは「銀行のネットバンキング等」を利用していない場合でも被害に遭う可能性が指摘されていました。
- 同4日の七十七銀行を皮切りに、複数の地方銀行から注意喚起が出され、各銀行にて「Web口振受付サービス」の利用によるドコモ口座への登録が停止されていますが、その後も引き出しは完全に停止されず、被害が発生したケースもある模様です。
- 同10日にはNTTドコモが記者会見を開き、再発防止策として本人確認書類とSMSによる認証を導入予定としています。
2.執筆者からの所感等
- ドコモ口座の開設がメールアドレスのみで可能なことと、銀行口座の登録が実質口座番号と暗証番号のみで可能(口座名義も例えば振込時に口座番号入力で取得可能)であったことに対し、それぞれ本人確認としては不十分であったことがセキュリティ研究者等から指摘されています。
- いわゆる一般的な「ブルートフォース攻撃」のように一つの口座へ暗証番号を変えながら攻撃するのでは口座のロックアウトが発生する恐れがあり、これを回避するために、暗証番号の方を特定の値に固定し、ランダムに指定した口座番号毎に一回ずつ攻撃する手法(「リバースブルートフォース攻撃」「パスワードスプレー攻撃」)をとっていた可能性を指摘する声もあります。
- 前述のNTTドコモの記者会見では「悪意を持つユーザーを排除する仕組みが欠落していた」とのことですが、最悪「ドコモ口座に対応する銀行に口座をもつ全ての利用者」を「本人がドコモ口座を利用できるような状態か確認しなくとも」被害に晒しかねない仕組みであったと言えるもので、銀行側も含め、安易なユーザー拡大ではなく、正当なユーザーを保護するためのセキュアなシステムの構築が求められることでしょう。