Yahoo!ニュース

IDでもっと便利に新規取得

ログイン

「SBIや三菱UFJも被弾」相次ぐ不正出金のウラに隠れたもう1つの危ない現実

配信

  • この記事についてツイート
  • この記事についてシェア
ITmedia ビジネスオンライン

 金融機関を標的とした度重なる攻撃に、業界全体が揺れている。  9月7日のドコモ口座による銀行預金の不正出金問題がくすぶり続けている中、16日にはSBI証券の顧客口座から、不正に計9860万円が引き出される事件が発生した。現在、SBI証券はすべての顧客について出金先銀行口座の変更受付を停止し、郵送によってのみ出金先口座の変更手続を行うなど事件の対応に追われている。 三菱UFJ銀行で偽口座が作られたという衝撃  ドコモ口座とサービス連携しなかったことで難を逃れ、一定の評価を受けた三菱UFJ銀行。しかし、SBI証券の不正出金問題では、ゆうちょ銀行と共に三菱UFJ銀行の偽口座が不正出金の送金先として悪用されたことが判明し、一連の不正出金騒動で”被弾”した形となる。  今回は、これらの不正出金問題を振り返りつつ、ちまたで見過ごされがちなもう1つの危ない現実についても確認したい。

ドコモ口座はセブンペイよりヤバい?

 ドコモ口座やSBI証券のような不正出金がらみの事案で、記憶に強く残っている事件といえば、「セブンペイ」だろう。ドコモ口座も、セブンペイもセキュリティーを犠牲にして顧客獲得や利便性を追求した結果、不正出金という結果を招いてしまった。  セブンペイにおける被害者は、いわゆる「リスト型攻撃」の対象となるセブンペイユーザーであった。リスト型攻撃とは、別のWebサイトなどから漏えいしたIDとパスワードのリストを用いるタイプの攻撃方法である。なお、SBI証券の不正ログインに用いられた攻撃も、この「リスト型攻撃」によるものとみられている。セブンペイでは、このリスト型攻撃によって約900人、総額5500万円ほどの被害が出たことでサービス終了に追い込まれた。  この種の攻撃は、主に他の場所でパスワードを使い回しているユーザーが被害に遭いやすい性質がある。  確かに、セブンペイの事例では二段階認証機能を軽視したセブンペイ側や、攻撃者に責任があることが大前提である。しかし、パスワードの使い回しなどによりリスト型攻撃を許す隙を与えてしまった利用者側にもわずかながら責任があるといえるだろう。  一方で、ドコモ口座の事例は、セブンペイよりもはるかに深刻だ。本件では、攻撃者側がドコモ口座を作成すれば銀行顧客への攻撃が成立してしまうため、ドコモ口座を利用していない顧客の口座からお金が不正に引き出される可能性もあることになる。  この脆弱性に対し、ドコモ口座側はSMSによる二要素認証およびeKYC(電子的な本人確認)を導入することで無尽蔵に匿名アカウントを作成できる現状を改善し、金融機関側はログインや送金時にSMSなどによる二要素認証を用いる”合わせ技”で不正出金のリスクを抑制するという。  17日現在では、ドコモ口座においてワンタイムパスワードやSMSによる二要素認証を導入していたみずほ銀行、三井住友銀行などでは被害は確認されていない。現時点で判明している被害状況をみると、攻撃の対象は地方銀行を中心とした二要素認証を導入していない銀行に集中している。  ワンタイムパスやSMSによる二要素認証を破るには、口座のIDとパスワードだけでなく、専用端末やスマートフォンそれ自体またはその情報も入手する必要があり、不正出金の難易度が一気に上昇する。したがってこれらの対策は有効打にはなりそうだ。

【関連記事】