第16回 「ドコモ口座」不正送金問題の古くて新しい教訓
1.はじめに
この原稿を執筆している、まさにその時間、「ドコモ口座」不正送金問題が大きく取り上げられています。ドコモとは携帯電話を含めて、一切の契約関係がないにも関わらず、自分の銀行口座に、「ドコモ口座」と呼ばれる送金窓口が勝手に作られて、さらに断りもなく、他所に送金されてしまうのです。現在のところ、ドコモ口座を作成可能な一部の銀行だけですが、一部とはいえ、30行以上の銀行が相当し、「ゆうちょ銀行」も対象になっており、実際、ゆうちょ銀行から被害を受けた報告もあります。なぜ、このようなことが起こるのでしょうか。一言でいえば、認証強度の甘さ(緩さ)です。さらに、ドコモ口座に関係する複数の機関における認証に対する意識格差です。
2.ドコモ口座の脆弱性
ドコモ口座には、銀行と携帯電話会社であるドコモ、そして決済を仲介する決済システム会社が関係しています。今回の認証の大きな問題点は、メールアドレスがあれば、銀行口座とその名義人氏名、そしてその口座をATMで使うための4桁の暗証番号を利用してドコモ口座を作れたことです。もちろん、他人の口座で作ることが出来、それが不正送金につながったのです。もしネットワークを熟知したドコモが一切を取り仕切ったとすれば、このような脆弱な認証方式を取らなかったでしょう(と考えたいです)。銀行側も、まさか口座番号と名義人氏名、それに4桁の暗証番号だけでネットワークを介した取引を行うとは思ってもいなかったでしょう(と考えたいです)。現在ではほとんどすべての銀行がネットバンク機能を有し、なりすまし等の不正送金問題で痛い経験を積んでおり、二段階認証等を進めているからです。おそらく互いに他を過信したことも原因かと思われます。
3.口座情報は洩れる!
口座番号も名義も他人に漏らしたことはないから大丈夫だと思っている人も多いことでしょう。意識していないうちに、口座番号と名義は洩れていることも多いのです。個人間でネットオークションやフリーマーケットを利用していないでしょうか。その場合、銀行口座決済を使っていませんか。またATMで現金を引き下ろした際、明細を紙で出力して、シュレッターにかけず、ポイと捨てたりしていませんか。それらは集められてリスト化され、悪人に使われているのです。また口座番号は適当に推定することも可能です。その場合、名義人は分からないように思いますが、ネットで振り込み手続きを装って、名義人を調べることも可能なのです。
万が一、口座番号と名義人は洩れていたとしても暗証番号は誰にも伝えておらず、しかも電話番号や生年月日と無関係な誰も想像できない数字にしてあるから大丈夫と思っている人もいることでしょう。確かに暗証番号がわからなければ、たとえ他人のキャッシュカードを手に入れてATMで現金を下ろそうとしても叶いません。ATMは暗証番号で守られているといってもよいでしょう。しかし、4桁の暗証番号はATMだからこそ意味があるのです。ATMは少なくとも人の目の届くところにあります。少なくとも監視カメラの奥で人間が監視しているのです。その中でこそ、たかだか4桁の暗証番号が意味を成すのです。
4 暗証番号の脆弱性
人の目の届かない、ネットワークの奥底では4桁の暗証番号では意味を持たないのです。口座番号と名義人のリストがあれば、適当な暗証番号を試すことによってドコモ口座が作られてしまうのです。もちろん、適当な暗証番号では成功せず、何度か間違えば異常に気付き、口座を凍結する等の処置がとられるでしょう。しかし、固定された一つの暗証番号で、いくつもの口座番号を試せば、気づかれることはないのです。人の目の監視が届かないネットワーク越しで、しかもコンピューターの力を借りれば、ほんの短い時間に、数十万、数百万の口座を試すことが出来、そのうちの少なくとも数十、数百の口座は成功し、不正なドコモ口座が作られ、不正送金が行われるのです。
5.むすび
今回の教訓として弱い認証システムの脆弱性はもちろんのこと、複数にまたがった組織間の認証においては、もっとも弱い認証に引きずられる、あるいは今回のように互いに他の組織の認証に頼ることで、最も弱い認証方式となってしまうのです。さらにその脆弱性を持つシステムは世界中から狙われているということです。脆弱性を持つシステムを探索する人や組織が世界中に多数存在し、常に目を光らせているのです。その一部には悪意をもって探索する人も少なくなく、その悪人らはその脆弱性情報を直接利用して不正アクセスを行ったり、あるいはその脆弱性情報を悪人に売り渡したりして、不正が瞬時に行われる結果となるのです。