Yahoo!ニュース

ドコモ口座問題で話題になった暗証番号、4桁でいいんですか?いいんです!

森井昌克神戸大学 名誉教授
暗証番号(写真:アフロ)

監視の目が有る場所で使われるのが「暗証番号」であり、ネットワーク越しのように、監視されていない場所で使われるのが「パスワード」なのです。

出典:パスワードは暗証番号ではない!?

ドコモ口座不正送金問題は利用者個人が直接利用する電子決済の危うさを露呈しました。しかも利用者が電子決済を利用しなくても、普通預金口座を持っているだけで、その利用者に断りなく、その口座を第三者の電子決済用のアカウント(スマホのアプリ等)と紐付けされて現金を引き出されてしまうのです。悪意のある第三者は、そのアカウントで高額の物品を購入し、換金しているのです。最も大きな問題は銀行口座と決済サービス会社、たとえばドコモのアカウントが悪意のある第三者が容易に紐付け出来ることでした。この紐付けをするためには「認証」と呼ばれる、その口座の持ち主だけが行える手続きを行う必要があります。ドコモ口座に紐付けされ、不正に送金された多くの銀行が口座番号と名義、それにATM(現金自動支払機)で使う4桁の暗証番号だけ、あるいはそれに加えて生年月日だけで手続きを行っていたのです。つまりそれらを知っている第三者は、勝手に銀行口座に紐付けして、不正送金することが出来るのです。

口座番号や名義、それに暗証番号はわかるはずがないと思っている人も少なくないでしょう。特定の人、たとえば「あなた」の口座番号等を知ることは難しいかもしれません。しかし、誰でもよければ簡単であり、その「誰」が不幸にも「あなた」になることは十分あり得るのです。

口座番号はどのような銀行であっても7桁と決まっています。ゆうちょ銀行の8桁も実際は7桁に変換されます。しかも10年ほど前は(一部の銀行では数年前まで)5桁や6桁の口座番号も存在してます。高々5桁や6桁であれば、適当に番号を振れば、実際に存在する(利用されている)口座番号に当たる確率は非常に高いでしょう。名義も、ATMやネットで振り込み手続きを行うふりをすれば、口座番号を入力するだけで、名義人の名前が表示されます。

残された暗証番号ですが、たかだか4桁の数字であり、類推されることが十分考えられます。以前から住所や電話番号、生年月日、その他、個人情報に関係した数字を使わないように、と強く言われています。では、それ以外の4桁の数字にすれば安全なのでしょうか。安全ではありません。正確に言えば、使い方によっては安全とは言えないのです。

4桁の暗証番号は1万通りですが、この20個の暗証番号は人気で全体の26%になります。1日に2回この順番でトライすれば10日以内に26%の口座にアクセスできてしまいます。

出典:ドコモ口座詐欺事件で知っておきたい 絶対に使ってはいけない「暗証番号」とは

ドコモ口座による不正送金の際にはその暗証番号の推定に、リバースブルートフォースアタック、訳すれば逆全数探索攻撃が行われたのではないかと言われました。この方法は一つの口座番号に対して、暗証番号を多数試していく方法ではなく、一つの暗証番号に対して、多数の口座を試していく方法です。前者による攻撃への対策として、通常、暗証番号を複数回間違うと以後、長時間認証できなくなったり、二度と認証を取らないような仕組みが取られています。ATMであればカードが引き込まれてしまい、戻ってこなくなるようにしています。リバースブルートフォースアタックの場合は十分な対策が取られていないのです。

ではどのようなときに暗証番号は安全なのでしょうか。言い換えれば暗証番号はどのような使い方をすればよいのでしょうか。先にも言いまたように、4桁数字の暗証番号だけでは、認証することに無理があります。暗証番号が意味を成すのはATM等で利用されるときなのです。正確に言えば、対面で利用するときのみに意味を成すのです。ATMは対面ではないのではないか、と疑問に思われるでしょう。対面ではありませんが、多くの人の目があります。通常ATMは銀行内、もしくは人通りの多い場所に設置されており、現在では監視カメラも作動しています。特定の人、もしくは特定のもの(キャッシュカードやクレジットカード)に対して、暗証番号を不正に入力することは困難なのです。

暗証番号は英語でPIN(Personal Identification Number)と言います。PINが意味を持つのは、ある権利を有することが確定したときに、その中で区別するためのものであって、例えばATMの場合、キャッシュカードが存在して、つまりキャッシュカード自体が権利を有することの証明であって、それを区別化、要するに、そのキャッシュカードを利用するものが本来の所有者であるか否かを判別しているのです。どちらかが欠けても認証は成功しないのです。したがって、ドコモ口座の場合、キャッシュカードに当たる口座番号と名義は簡単に偽造できるゆえ、人の目が行き届かないネットワークの奥底で利用できる高々数字4桁の暗証番号では認証にならないのです。

神戸大学 名誉教授

1989年大阪大学大学院工学研究科博士後期課程通信工学専攻修了、工学博士。同年、京都工繊大助手、愛媛大助教授を経て、1995年徳島大工学部教授、2005年神戸大学大学院工学研究科教授(~2024年)。近畿大学情報学研究所サイバーセキュリティ部門部門長、客員教授。情報セキュリティ大学院大学客員教授。情報通信工学、特にサイバーセキュリティ、情報理論、暗号理論等の研究、教育に従事。内閣府等各種政府系委員会の座長、委員を歴任。2018年情報化促進貢献個人表彰経済産業大臣賞受賞。 2019年総務省情報通信功績賞受賞。2020年情報セキュリティ文化賞受賞。2024年総務大臣表彰。電子情報通信学会フェロー。

森井昌克の最近の記事