『#不正引き出し』の最大の原因は銀行側の『昭和システム』にある

出典:いらすとや

KNNポール神田です。

このところ、銀行口座からの『不正引き出し』が相次いでいる…。いや、これは相次いでいるのではなく、すでに発生した『不正引き出し』の『発覚』に時差があるからだ。現在、発覚しているのは氷山の一角であると考えるべきだろう。

□(2020年9月)16日に会見したゆうちょ銀行は、15日夜の段階で、6社で109件、1,811万円の被害が確認され、全額を補償すると発表した。NTTドコモの82件、1,546万円に次いで、PayPayが17件、141万円、メルペイが3件、49万円などとなっている。

□また「ゆうちょ銀行」は、提携する12社のうち次の10社のサービスを停止している。

□ゆうちょ銀行が即時振替サービスを停止した電子決済サービス

ドコモ口座、Kyash、PayPay、LINE Pay、ペイパル、支払秘書、楽天Edy、PayB、メルペイ、ゆめか

□他にも地方銀行やイオン銀行などで電子決済サービスの不正引き出しが確認され、被害が広がっている。

□どんな人が注意すべきなのか?ITジャーナリストの三上洋さんに聞いてみた。

□ゆうちょ銀行は「2要素認証」を用意していたものの、必ず使うようにはしていなかったため、不正引き出しの被害が出てしまいました。

□今回は電子決済側に問題はありません。「ドコモ口座」以外の被害については、明らかに銀行側の問題です。あえて言うなら電子決済側が銀行のセキュリティが大丈夫か確認しなかったことが問題だといえるかもしれません。

出典:「ゆうちょ銀行」で不正引き出し被害が拡大…“ドコモ口座”だけではない理由と対策を聞いた

■銀行口座の本人認証が未だに無意味な『ハンコ』である問題点

明治、大正、昭和、平成の時代から、銀行から出金するための最大の『セキュリティ要素』は銀行に届け出をしている『ハンコ』であった。しかし、昭和の『ATM』時代を経て、平成令和の『キャッシュレス』時代となれば、『ハンコ』なんて銀行口座を作る時のもはや形骸化された『儀式』でしかなくなってしまった。もはや、『オンライン銀行』時代には、本人認証の手段は物理的な『運転免許』『保険証』、それと中途半端な物理&デジタルの『マイナンバー』などへの『本人確認ID』へと変化した。

しかし、残念ながら、銀行の『運用レイヤー』では、未だに、『氏名』『口座番号』『4桁暗証番号』という令和時代の現在においては『原始的』といわざるを得ない稚拙なレベルの運用がなされている。

■『ハンコ』と『銀行通帳』は『昭和システム』の物理的認証だった

銀行窓口においては、『ハンコ』と『通帳』は物理的に所有していないとならないので、物理的『銀行通帳』と物理的『ハンコ』ということで銀行窓口においての『本人』という生体&物理での『本人顔認証』が可能だった。当然銀行には物理的『監視カメラ』も存在しているので、『多物理的単要素認証』によるセキュリテイがあった。しかし、『ATM』時代となり、物理的な『キャッシュカード』と知識的な『4桁番号』でセキュリティが『二要素認証』として担保されるようになってきた…。しかし、『振り込め詐欺』などのような『ヒューマンエラー』を誘発するハッキングで、利用者が自らのセキュリティをハックしてしまう事例を作ってしまいそこは注意喚起がなされているままだ。

■『キャッシュレス決済業者』との『紐付け』などは念頭にない設計

その後、『キャッシュレス決済業者』の登場は、『バーチャルウォレット』というインターネット上で完結する個人を証明できる情報のみの口座の作りやすさで普及し、国策である『キャッシュレス』と共に促進されてきた。

ただ唯一、登録時で必要な『物理的な認証方式』は、ネットの口座作成時のみであり、後はログインIDやパスワード、任意に作られた『多要素認証』でカンタンに利用することができる。そして、利用者や犯罪者は、最低でも決済事業者数分の口座をいともカンタンに作ることが可能となった。

何よりも、『キャッシュレス決済業者』のプラットフォームでは送金するのに『手数料』の空気抵抗がまったくない。そしてお金には『色』がなく、自由自在に流通し『不正引き出し』が可能となった。

当然、銀行側の『セキュリティ設計』は、昭和時代からのものであり、スマートフォンによる『キャッシュレス決済業者』との『紐付け』などは念頭にない設計であった。だからこそ『紐付け』の怖さを理解できていないし、未だにその恐ろしさを本当には理解していないのだろう。

■銀行口座はダダ漏れ状態!未だに『4桁の暗証番号』という情弱なセキュリティシステム

今回の『不正引き出し』の最大の要因は、銀行口座情報の『不正取得』にある事は周知の事実だ。

つまり、すでに銀行の口座番号と個人情報はダダ漏れなので、残るはたった4桁の暗証番号だけでしか守られていないという脆弱性を問うべきなのだ。

現在、銀行振り込みをしていただく為には、『支店名(または支店番号)』『預金種類(普通預金)』『口座番号』『口座名義(カナ)』を名乗らされるので、これらの個人や法人と銀行口座の紐付けはいともカンタンである。しかも振り込みしてもらう口座番号が、そのまま引き出し口座として運用されているので銀行口座を不正に習得するのはそれほどむずかしくはない。いや、超絶にカンタンだ!何よりもそれらの引き出しにたった『4桁の暗証番号』しかないからである。

■4桁の暗証番号を永久にハッキングしつづける銀行がまだ存在している?

さらに、その4桁の暗証番号や電子メールだけでカンタンにネット上ではログインできてしまう銀行が、令和時代に、未だに存在している事実に驚きを隠せない。さらに、4桁の暗証番号を3回以上ミスしても、いや、永久にハッキングが可能な銀行まである。金融庁は、こんなセキュリティレベルの低い銀行は即刻、業務停止命令を下すべきである!

4桁の暗証番号ハッキングは最大でも1万回の『ブルートフォースアタック(brute force 力づくの総当たり攻撃)』で解読できてしまう。数字の4桁なら3秒。6桁なら37分 8桁なら17日かかると言われている。だから、銀行のサーバ側では、2回以上間違えると数時間後でないとログインできなくするとか、それでも間違える場合は口座を凍結し、本人からの連絡を待つなどの対応を取るというセキュリティは構築できたはずだ。

【※訂正】

今回の『ブルートフォースアタック』は4桁の暗証番号への総当り攻撃ではなく、口座番号IDへの逆総当たり攻撃『リバースブルートフォースアタック』の可能性が高いようです。失礼いたしました。

『ブルートフォースアタック』のような同一人物からの暗証番号への総当り攻撃は銀行側のシステムがロックで防げても、『リバースブルートフォースアタック』のような7桁で構成される銀行口座のID番号への逆総当たりの攻撃では、銀行側は、まったく別の人物からのアクセスと判断できるのでロックができない状況のようです。これは、なおさら『多要素認証』に頼るしかないです。

□一般に銀行では暗証番号を連続して数回間違えると動作がロックし総当たり攻撃を防ぐ仕組みが導入されている(FISCという金融機関向けのセキュリティルールで定められている)。銀行のATMで暗証番号を連続して間違えるとカードが使えなくなるのもこの仕組みが働いているからだ。

□今回のネット口振のように口座番号が入力できるシステムである場合、同一の暗証番号に対して複数の口座を連続して試す「逆総当たり攻撃」が可能で、これに対する防御は難しい。もし逆総当たりで銀行口座を凍結させてしまうと、凍結の仕組み自体を悪用してオンラインバンキングを機能不全に陥れることができてしまうから

出典:「ドコモ口座」不正利用、新たな犯罪を許す銀行のセキュリティの大問題

□通常のブルートフォース攻撃への対策として、一定回数のパスワード入力のエラーが発生したら、一定時間アカウントをロックするという仕組みが普及しています。

□一方、リバースブルートフォース攻撃の場合、IDの文字列を次々と変えていきます。この場合、通常のブルートフォース攻撃で導入されているアカウントロックの仕組みは効果がありません。1つのアカウントに対するエラーは1度しか発生しないため、システム側から見たら、正規のユーザーが間違ったパスワードで1度ログイン試行しただけ、ということになるからです。

出典:リバースブルートフォース攻撃とは?仕組みや危険性、対策について徹底解説

■最低でも銀行こそ『多要素認証』が必要である

最低でも、独自の『契約者番号』『第2暗証カード』『ワンタイムパスワードキー』などで銀行口座のセキュリティ認証レイヤーを引き上げるべきである。銀行は許認可事業なので、菅内閣の『業務改革』、『デジタル庁』などですぐに『キャッシュレス』普及の悪因として対応すべき事象となっていると筆者は考える。

『キャッシュレス事業者』としては、『銀行業』のセキュリティレイヤーにまで踏み込めないのだから、銀行側とキャッシュレス決済ユーザーとの『本人確認』『当人確認』は銀行独自のハッキング対策を施せば対応が論理的には可能なはずなのだ。

なんといっても、銀行側の『セキュリティ・リテラシー』の低さが、今回の『不正乗っ取り』の最大の理由であることには間違いがない。余計な書類やハンコを撤廃し、この分野のリテラシーを向上させることが急務だ。むしろ、第三者機関による銀行のセキュリティレイヤーの評価システムが必要だろう。利用者がそれで銀行を選択すればよいのだ。

■銀行側が『マイナンバー』認証の独自IDを採用すべきだ!

『マイナンバーカード』などの『公的個人認証サービス』と連携して認証した独自のIDを生成することで、利便性・本人性・安全性 を担保することができる。

『マイナンバーカード』には、『マイナンバー認証』のIDを作る機能が存在する。

たとえばの事例だが、『xID』というサービスでは、エストニアの『eResidency』などで採用されている『デジタル身分証アプリ』で独自の「知識」と、デジタルデバイスの「所有」を組み合せた2要素認証を使って強固なセキュリティと利用のしやすさ、本人の覚えやすさを提供している。さらに、認証や署名のログをブロックチェーン上に記録することで、改ざんを防止している。

『金融庁』や『デジタル庁』はすぐにでもこの会社のサービスを提携や買収してでも、『マイナンバーカードで本人確認』で担保された番号を銀行に利用を義務づけるべきだろう。とにかく、早急に銀行の『昭和システム』との決別をしない限り『不正引き出し』は終焉しない。

経済復活、コロナ対策、不正引き出し、新たな2020年の悪夢を、菅政権はどう対処すべきか? 

僭越ながら、筆者はいつでも政府に協力する覚悟がある!

1961年神戸市生まれ。ワインの企画・調査・販売などのマーケティング業を経て、コンピュータ雑誌の編集とDTP普及に携わる。1995年よりビデオストリーミングによる個人放送局「KandaNewsNetwork」を運営開始。早稲田大学大学院、関西大学総合情報学部、サイバー大学で非常勤講師を兼任後、ソーシャルメディア全般の事業計画立案、コンサルティング、教育、講演、執筆、政治、ライブストリーム、活動などをおこなう。メディア出演、コンサル、取材、執筆依頼 などは 070 5589 3604 まで

有料ニュースの定期購読

KNN総研リポートサンプル記事
月額1,999円(初月無料)
月3回程度
ニュース時事をフックに新ビジネスを考えるニュースマガジンです!独自のコンサル手法リサーチで新たなビジネスアイデアを提案します!

Facebookコメント

表示

※本コメント機能はFacebook Ireland Limitedによって提供されており、この機能によって生じた損害に対してヤフー株式会社は一切の責任を負いません。