先日、世間を賑わせた「ドコモ口座」不正。
金融関係で、仕組みの不備(弱さ)を突いた犯罪事件がまたも発生しました。
今回も「高度なテクノロジーを駆使した犯罪」というよりは「セキュリティの認識が甘すぎ」との印象を受けました。
事件概要
ご存じの方も多いかと思いますが、簡単に事象をご説明いたします。
「ドコモ口座」という新規サービスにおいて、事件は発生しました。
〜ドコモ口座のページより抜粋〜
「ドコモ口座」とは?
ドコモ口座は、ネットやアプリ上で送金やお買い物ができるバーチャルなお財布です。
どなたでも無料で簡単に開設できます!!
〜抜粋ここまで〜
つまり、まずは自分の口座を開設(ドコモ口座)。
そこに入金(チャージ)したり、ドコモ口座同士での送金、実店舗やネットでd払いができる、というもののようです。
正直、目新しいものはなく、「dポイント」をメインでお使いの方にメリットあるかな?くらいでしょうか。
(間違えていたらごめんなさい。)
そんなドコモ口座ですが、入金(チャージ)を自分の銀行口座から行う設定ができます。
ここで、今回の事件が発生しました。
Aさんの銀行口座から、犯罪者Bのドコモ口座への入金登録ができてしまった、という事件です。
紐付ける銀行によって、セキュリティーの度合いが異なったようです。
大手銀行系は二段階認証などの高いセキュリティーを用いているため、紐付けが困難。
かたや、銀行口座番号、名義名、暗証番号が分かれば紐付けられてしまう銀行もあり、その銀行が狙われたようです。
なお、暗証番号をどのように入手したかまでは定かではありません。
(フィッシングで取得したのでは、という話は出ています。)
昨年「7pay」が炎上したところなのに・・・
ほぼ1年前、「7pay」が不正利用され、サービス終了に追い込まれました。
この時は「パスワードのリセットが第三者でできてしまう」弱さをついて、使われてしまいました。
日本を代表する大手企業によるセキュリティ認識の甘さ。
フィンテック、キャッシュレスの推進に水を差すようなことにならなければよいのですが。
今回の大きな問題点
大きく2点、大問題だと感じました。
対象銀行に口座があるだけでリスクあり
今回は、自分で「ドコモ口座」を開設しなくとも、対象銀行に口座があれば不正利用されるリスクにさらされました。
「7Pay」の場合は自分が開設した、と明確ですが、今回は違います。
私も不安になりましたので、手持ちの銀行口座の入出金履歴を確認しました。
※「ドコモ口座」という名称ですが、「ドコモ」を使っているかどうかは全く関係ありません。対象銀行に口座があれば、不正利用されるリスクがあります。
サービスそのものをすぐに停止していないこと
会見時点、新規のドコモ口座開設は停止となったようですが、サービスそのものは止めないとのこと。
つまり、既存「ドコモ口座」のチャージは可能な状態です。(後日、銀行側の判断で、チャージを停止した銀行はあります。)
この対応、正直ありえないです。
そもそも「勝手に紐付けされてお金が出ていってしまう」という状況です。
既存「ドコモ口座」の紐付けが、「全て本人の銀行口座である」という証明はできません。
何も知らない人が気がついていないことは十分にありえます。
さらに、止めない理由が「利用者の利便性のため」。
13,000件/日の利用があるとのこと。(いや、まったく多くないのですが・・・)
言葉悪いですが、頭おかしいと感じました。
「ドコモ口座」を使わなくても利便性悪くなりませんし、そもそも銀行口座との紐付けが問題なので、少なくとも銀行間接続を止めればリスクは極小化できるわけです。
ATMでの現金チャージも可能なようですので、どうしても「ドコモ口座」を使いたい方はそうすればよいわけです。
止められない何の背景があるのか知りませんが、対処法は「下の下」だと感じました。
大規模システム開発の難しさ
自社のみでサービス提供を完結できる状況は少なくなってきています。
(例えば、今回も、多数の銀行システムと接続が必要)
ここからは想像です。
システムを作る立場(ドコモの立場)からだと、銀行側の既存の仕組みに関するセキュリティは「責任分解点」外でしょう。
「本人確認ができている前提」が当然であり、ドコモ側はそれを盲目的に信じるしかない。
(ドコモ側システムからすると、そうするしかありません。)
さらに、「おたくのセキュリティ大丈夫ですか?」とも言いづらいでしょう。
しかし、サービスを提供する立場としてそれでよいのでしょうか。
上記のような状況は想像つきます。
しかし「もし本人ではないのに確認OKとされたらどうする?」と考えることができれば。
SMS認証は必須としたかもしれません。
本人確認書類の提供も必須としたかもしれません。
事後になりますが「ドコモ口座」を開設しましたと何かしらの手段で本人に連絡するかもしれません。
(本人かどうか分からないメールではなく、電話番号や郵送などで)
やはり「お金」を扱うシステムは、もう一段、想像を働かせてシステムを構築する必要がありますね。
メルマガ登録
『メルマガ Professional's eye』
週1回、3分で楽しめます。
詳細はこちら >>>
広告を含むご案内のメールをお送りする場合があります。
One more thing
「7pay」の不正利用、私自身が不正利用されたわけではありませんが、払い戻しは行いました。
かなりの手間でした。
(チャージは1000円でしたが。)
その時のメモがございますので、ご興味ございましたらお楽しみください。(長いです)
相当やらかしてしまった7pay。 実は、自分はサービスイン直後にチャージした一人です。 結局、使わぬままサービス終了してしまいましたので、払戻し作業をする必要があります。 10/1〜手続き開始でしたが、ようやく重い腰をあげて作業し[…]