複数の金融機関から「ドコモ口座」を悪用した不正出金 口座振替登録のセキュリティ強化が急務
今月に入って七十七銀行をはじめとした複数の地方銀行の銀行口座から、NTTドコモが運営するキャッシュレス決済「ドコモ口座」を悪用した不正な引き落としが発生していることが明らかとなった。NTTドコモは9月4日に七十七銀行からの銀行口座登録の申込受付を中止する旨を発表、執筆時点で提携行の過半に当たる18の金融機関がドコモ口座からの口座振替を停止している。
インターネットを利用した口座振替登録は数社が提供しているが、地銀ネットワークサービスのWeb口振受付サービスを利用している金融機関のうち、口座番号と暗証番号で口座振替の登録を行っていた銀行を中心に被害が発生している模様だ。
口座振替とは予め登録した収納企業からの請求に応じて口座引き落としを行う仕組みで、クレジットカードや公共料金などの支払いに広く使われており、近年ではキャッシュレス決済のチャージ手段としても利用されている。当初は紙の書類と銀行印を使って申し込む仕組みだったが、この十数年でインターネットから申込を受け付ける仕組みが定着した。
不正の手口は現時点で明らかにされていないが、総当たり攻撃で突破された可能性、漏洩または公開されている個人情報が、悪用された可能性などが考えられる。仮に口座振替登録で口座番号と暗証番号のみを必要とする金融機関では、よく使われる暗証番号を固定して、次々と異なる口座番号に対してログインを試みるリバースブルートフォース攻撃が成立する可能性がある。単一の口座番号に対して複数回の誤った暗証番号の入力でロックする仕組みは広く実装されているが、暗証番号を固定して口座番号に総当たりで登録を試みる攻撃は防御の難易度が高い。
口座名義人と生年月日も入力させる金融機関の場合、単純なリバースブルートフォース攻撃は難しいが、名前と銀行口座番号、生年月日の組み合わせは必ずしも秘匿されておらず、いずれも振込の機会やSNS等で入手し得る情報だ。金融機関やキャッシュレス事業者からの情報漏洩がなくても、散発的な被害は起こり得る。残る認証要素は暗証番号だが、強度としては決して十分ではない。
ATMからの出金や他人への送金に使われているのだから、4桁の暗証番号だけで十分ではないかとお考えになる方もいるかも知れない。しかしながらATMでの出金の場合、キャッシュカードの所持と、暗証番号の記憶との2要素認証となっており、他人のキャッシュカードを窃取しない限りは他の口座番号を試してみることはできない。今回のWeb口座振替登録のようにインターネットで暗証番号を確認する場合、キャッシュカードの所持を確認できない分、セキュリティー的には大幅に脆弱となってしまうのである。
早くから乱数表やワンタイムパスワードといった多要素認証を推進してきたインターネットバンキングと比べて、どうして口座振替登録のセキュリティはお粗末なまま放置されてきたのだろうか。例えばクレジットカードであれば発行のために別途、カード送付時の本人限定郵便など本人確認が行われ、電気ガス水道電話といった公共料金は住所と紐付いているなど、いずれも足が着きやすいため、これまで口座振替登録は相対的に悪用されてこなかったからだと考えられる。
今回の被害を受けて『ドコモ口座』では、携帯電話番号を取得することで本人確認を強化するとしている。音声通話ができる携帯電話は、携帯電話不正利用防止法に基づいて、契約締結時に本人確認が行われる。キャッシュレス決済でもPayPayやau Payなど他社のサービスでは携帯電話番号と紐付けることで同様の本人確認が行われている。この施策によって他のキャッシュレス決済と同様に、不正出金後に犯人を追跡しやすくなることが期待できる。
金融機関による口座振替登録のセキュリティー強化も急務だ。将来的には振込と同様にインターネットバンキングの多要素認証を活用することが望ましいが、現時点ではインターネットバンキングの登録率が低い金融機関も少なくない。まずは口座振替登録で口座番号と暗証番号だけでなく、口座名義人氏名、生年月日、口座記帳最終残高の下4桁など機械的な推測が難しい情報を入力させて確認する必要がある。金融機関に口座振替登録システムを提供する事業者が、同一IPアドレスからの機械的で不自然なアクセスなどを抑止するリスクベース認証を導入することも短期的な対策となり得る。
消費者がキャッシュレス決済を使うにあたって、口座振替登録の煩雑さは大きな障壁だ。なぜ口座振替登録の手続きで、既に銀行が保有している口座名義人氏名や生年月日をいちいち入力させる必要があるのか、疑問に感じた方も少なくないのではないか。わたし自身、キャッシュカードを財布に入れていても通帳をどこにやったか分からなくなってしまい、口座振替登録で「口座記帳最終残高」の欄を見て、登録を断念した経験は一度や二度ではない。
しかしながら必要なセキュリティー対策を講じないまま登録の手続きを簡単に行おうとすると、今回のように攻撃者による不正な登録を許してしまうことも起こり得る。以前であれば攻撃を受けづらかった口座振替登録も、本人確認を省略したキャッシュレス決済が登場したことで、足がつきにくいかたちで出金できる手段として悪用されてしまった。金融機関とキャッシュレス事業者は攻撃の高度化に対応しつつ、操作性の優れたサービスを提供できるように、更なる研究開発とサービスの刷新が求められている。
口座振替を停止した金融機関が規定に明記しているWeb口座振替登録に必要な情報
<口座番号+暗証番号>
※「等」とあるが、詳細不明
七十七銀行(被害発生)
中国銀行(岡山)(被害発生)
鳥取銀行(被害発生)
東邦銀行(被害発生)
みちのく銀行(被害発生)
大垣共立銀行(被害発生)
池田泉州銀行
<口座番号+生年月日+暗証番号+電話番号>
琉球銀行
<口座番号+暗証番号+画像認証>
大分銀行
<口座番号+暗証番号+名義人+生年月日>
滋賀銀行(被害発生)
<口座番号+生年月日+最終残高下4桁>
北洋銀行
<口座番号+暗証番号+生年月日>
ゆうちょ銀行
<詳細不明>
紀陽銀行(被害発生)
仙台銀行
第三銀行
伊予銀行
但馬銀行
イオン銀行