KNNポール神田です。

このところ、銀行口座からの『不正引き出し』が相次いでいる…。いや、これは相次いでいるのではなく、すでに発生した『不正引き出し』の『発覚』に時差があるからだ。現在、発覚しているのは氷山の一角であると考えるべきだろう。

■銀行口座の本人認証が未だに無意味な『ハンコ』である問題点

明治、大正、昭和、平成の時代から、銀行から出金するための最大の『セキュリティ要素』は銀行に届け出をしている『ハンコ』であった。しかし、昭和の『ATM』時代を経て、平成令和の『キャッシュレス』時代となれば、『ハンコ』なんて銀行口座を作る時のもはや形骸化された『儀式』でしかなくなってしまった。もはや、『オンライン銀行』時代には、本人認証の手段は物理的な『運転免許』『保険証』、それと中途半端な物理＆デジタルの『マイナンバー』などへの『本人確認ID』へと変化した。

しかし、残念ながら、銀行の『運用レイヤー』では、未だに、『氏名』『口座番号』『４桁暗証番号』という令和時代の現在においては『原始的』といわざるを得ない稚拙なレベルの運用がなされている。

■『ハンコ』と『銀行通帳』は『昭和システム』の物理的認証だった

銀行窓口においては、『ハンコ』と『通帳』は物理的に所有していないとならないので、物理的『銀行通帳』と物理的『ハンコ』ということで銀行窓口においての『本人』という生体＆物理での『本人顔認証』が可能だった。当然銀行には物理的『監視カメラ』も存在しているので、『多物理的単要素認証』によるセキュリテイがあった。しかし、『ATM』時代となり、物理的な『キャッシュカード』と知識的な『4桁番号』でセキュリティが『二要素認証』として担保されるようになってきた…。しかし、『振り込め詐欺』などのような『ヒューマンエラー』を誘発するハッキングで、利用者が自らのセキュリティをハックしてしまう事例を作ってしまいそこは注意喚起がなされているままだ。

■『キャッシュレス決済業者』との『紐付け』などは念頭にない設計

その後、『キャッシュレス決済業者』の登場は、『バーチャルウォレット』というインターネット上で完結する個人を証明できる情報のみの口座の作りやすさで普及し、国策である『キャッシュレス』と共に促進されてきた。

ただ唯一、登録時で必要な『物理的な認証方式』は、ネットの口座作成時のみであり、後はログインIDやパスワード、任意に作られた『多要素認証』でカンタンに利用することができる。そして、利用者や犯罪者は、最低でも決済事業者数分の口座をいともカンタンに作ることが可能となった。

何よりも、『キャッシュレス決済業者』のプラットフォームでは送金するのに『手数料』の空気抵抗がまったくない。そしてお金には『色』がなく、自由自在に流通し『不正引き出し』が可能となった。

当然、銀行側の『セキュリティ設計』は、昭和時代からのものであり、スマートフォンによる『キャッシュレス決済業者』との『紐付け』などは念頭にない設計であった。だからこそ『紐付け』の怖さを理解できていないし、未だにその恐ろしさを本当には理解していないのだろう。

■銀行口座はダダ漏れ状態！未だに『４桁の暗証番号』という情弱なセキュリティシステム

今回の『不正引き出し』の最大の要因は、銀行口座情報の『不正取得』にある事は周知の事実だ。

つまり、すでに銀行の口座番号と個人情報はダダ漏れなので、残るはたった４桁の暗証番号だけでしか守られていないという脆弱性を問うべきなのだ。

現在、銀行振り込みをしていただく為には、『支店名（または支店番号）』『預金種類（普通預金）』『口座番号』『口座名義（カナ）』を名乗らされるので、これらの個人や法人と銀行口座の紐付けはいともカンタンである。しかも振り込みしてもらう口座番号が、そのまま引き出し口座として運用されているので銀行口座を不正に習得するのはそれほどむずかしくはない。いや、超絶にカンタンだ！何よりもそれらの引き出しにたった『4桁の暗証番号』しかないからである。

■4桁の暗証番号を永久にハッキングしつづける銀行がまだ存在している？

さらに、その４桁の暗証番号や電子メールだけでカンタンにネット上ではログインできてしまう銀行が、令和時代に、未だに存在している事実に驚きを隠せない。さらに、４桁の暗証番号を３回以上ミスしても、いや、永久にハッキングが可能な銀行まである。金融庁は、こんなセキュリティレベルの低い銀行は即刻、業務停止命令を下すべきである！

４桁の暗証番号ハッキングは最大でも1万回の『ブルートフォースアタック（brute force　力づくの総当たり攻撃）』で解読できてしまう。数字の４桁なら３秒。６桁なら37分 ８桁なら17日かかると言われている。だから、銀行のサーバ側では、2回以上間違えると数時間後でないとログインできなくするとか、それでも間違える場合は口座を凍結し、本人からの連絡を待つなどの対応を取るというセキュリティは構築できたはずだ。

【※訂正】

今回の『ブルートフォースアタック』は4桁の暗証番号への総当り攻撃ではなく、口座番号IDへの逆総当たり攻撃『リバースブルートフォースアタック』の可能性が高いようです。失礼いたしました。

『ブルートフォースアタック』のような同一人物からの暗証番号への総当り攻撃は銀行側のシステムがロックで防げても、『リバースブルートフォースアタック』のような7桁で構成される銀行口座のID番号への逆総当たりの攻撃では、銀行側は、まったく別の人物からのアクセスと判断できるのでロックができない状況のようです。これは、なおさら『多要素認証』に頼るしかないです。

■最低でも銀行こそ『多要素認証』が必要である

最低でも、独自の『契約者番号』『第２暗証カード』『ワンタイムパスワードキー』などで銀行口座のセキュリティ認証レイヤーを引き上げるべきである。銀行は許認可事業なので、菅内閣の『業務改革』、『デジタル庁』などですぐに『キャッシュレス』普及の悪因として対応すべき事象となっていると筆者は考える。

『キャッシュレス事業者』としては、『銀行業』のセキュリティレイヤーにまで踏み込めないのだから、銀行側とキャッシュレス決済ユーザーとの『本人確認』『当人確認』は銀行独自のハッキング対策を施せば対応が論理的には可能なはずなのだ。

なんといっても、銀行側の『セキュリティ・リテラシー』の低さが、今回の『不正乗っ取り』の最大の理由であることには間違いがない。余計な書類やハンコを撤廃し、この分野のリテラシーを向上させることが急務だ。むしろ、第三者機関による銀行のセキュリティレイヤーの評価システムが必要だろう。利用者がそれで銀行を選択すればよいのだ。

■銀行側が『マイナンバー』認証の独自IDを採用すべきだ！

『マイナンバーカード』などの『公的個人認証サービス』と連携して認証した独自のIDを生成することで、利便性・本人性・安全性 を担保することができる。

『マイナンバーカード』には、『マイナンバー認証』のIDを作る機能が存在する。

たとえばの事例だが、『xID』というサービスでは、エストニアの『eResidency』などで採用されている『デジタル身分証アプリ』で独自の「知識」と、デジタルデバイスの「所有」を組み合せた2要素認証を使って強固なセキュリティと利用のしやすさ、本人の覚えやすさを提供している。さらに、認証や署名のログをブロックチェーン上に記録することで、改ざんを防止している。

『金融庁』や『デジタル庁』はすぐにでもこの会社のサービスを提携や買収してでも、『マイナンバーカードで本人確認』で担保された番号を銀行に利用を義務づけるべきだろう。とにかく、早急に銀行の『昭和システム』との決別をしない限り『不正引き出し』は終焉しない。

経済復活、コロナ対策、不正引き出し、新たな2020年の悪夢を、菅政権はどう対処すべきか？　

僭越ながら、筆者はいつでも政府に協力する覚悟がある！