キャッシュレス決済の普及に警鐘を鳴らすような事件が発生していますね。
2019年に発生したセブンペイ問題も記憶に新しいところで、今回のドコモ口座の不正利用について、ドコモ口座という名前からドコモが悪いという風潮になっています。
調査が進んできたことにより、ゆうちょ銀行の被害が大きいということがわかってきたことと、事件の当初から提携する金融機関により対応が異なるようなことが示唆されてきておりました。
つまり、完全に安全とは言えないもののドコモ口座が利用できる金融機関でも安全性には差があることが示唆されています。
ドコモ口座の連携方法
事件当初から問題とされていたのは、口座番号、口座名義人名、暗証番号の3つの情報でドコモ口座と連携している金融機関で不正利用が発生したということ。
手口は、フィッシングサイトでこれらの情報を登録してしまっていたか、リバースブルートフォース攻撃により、暗証番号を不正に獲得されてしまったかということが言われております。
そして、リバースブルートフォース攻撃を実行する口座番号は闇サイトに流れているものを利用するなどが考えられます。
どの金融機関がドコモ口座と前述の3つの情報で連携していたのかは新聞記事では詳しく公表されていませんが、この3つの情報で連携することを善しとしてしまった金融機関のセキュリティ意識の低さについても改善の必要があると考えます。
問題はこの3つで良いという話をドコモ側が持ちかけて、そのまま了承してしまったのが金融機関なのか、当初はもう少しセキュリティ強度が高い方法でドコモが連携を持ちかけていたのに、システム対応が難しいという理由で、金融機関からこの3つの情報にしてほしいと依頼したのかですね。
いずれにしても、双方で合意しているため、どちらにも問題はありますがより責任が重いのはどちらなのか開示してほしいところです。
ドコモ口座不正利用の防ぎ方
前述の口座情報を搾取される方法からの防御策について、フィッシングサイトは、その手口を理解していればそこまで引っかかるということはないと思いますが、リバースブルートフォース攻撃を個人レベルで防御することは難しいと考えております。
リバースブルートフォース攻撃に対する防御は金融機関に対応してほしいところですが、現状では技術的に困難だと思われます。
不正アクセスかどうかを1回の入力ミスで特定することはできないため、リバースブルートフォース攻撃は不正アクセスだと検知するのが非常に困難です。
つまり、いずれかの方法で口座情報を搾取されてしまった個人がいる状況においては、決済するタイミングで口座情報以外の情報も使った上での多要素認証が必須ということになります。
多要素認証も一つの情報が漏洩している場合に、もう一つの情報も容易に類推できてしまうものでは意味がありません。
今回のドコモ口座の不正利用問題により、リアルタイムでの本人確認方法が重要視されることになるのではないかと考えております。
本人確認
銀行は口座開設する際には、必ず本人確認をしています。
この本人確認は人の手で行っているため、口座開設には一定の時間がかかるのです。
それほど銀行は本人確認を重要な手続きと位置づけているのですが、今回のドコモ口座開設では本人確認が行われていませんでした。
有識者の中には本サービス開設時に、この点を指摘した人もいたでしょうが、残念ながら無視されてしまったのでしょう。
携帯電話契約をする際にも本人確認をしているので、ドコモであれば最低限携帯電話の契約情報と連携させるとかにしていた方がまだ被害は少なかったかもしれません。
また、厳密な本人確認をしておくことで、被害発生後に末端の協力者にはたどりつける可能性が高まります。そこから、首謀者を特定することは難しいかもしれませんが、末端の協力者がすぐに捕まる状況を作ることで、首謀者は別の手口に移行していくことでしょう。
さて、少し話しが飛びますが、最近はネットの閲覧履歴などの各種のライフログからデジタルツインを作り出すという研究もされています。
これが実現されてしまうと個人情報がネットの海に広がった時点でもはや正しい個人認証ができなくなるのではないかと危惧します。
これまで私の個人情報など漏れても、特に問題ないかと思っていたのですが今回の件で、もう少し自分のデータ管理を徹底しようと考えを改めました。
友人・知人へも影響が出る
最後に、自分の個人情報が漏洩した際に困るのは自分だけではないという話も記載しておきます。
これは最近の攻撃手法でSNS等のネットのアクティビティを分析して、知人になりすました攻撃が増えてきているという話です。
身も知らぬ他人からきたよくわからない情報であれば無視できます。
しかし、知人からきた少し気になる情報はチェックしてしまうのです。
この方法により、自分の追加の個人情報をネットに流してしまう(フィッシングサイトにひっかかる)という事例を私の周りでも聞いています。
このようなケースでは、まず知人に当該情報を自分に連絡した事実の確認を必ずとるように心がけましょう。
万一、情報を流してしまった場合に変更できる情報であれば即変更することを心がけましょう。
まとめ
今回のドコモ口座の不正利用については、個人認証の重要性を改めて考えるきっかけをいただきました。
私自身は、自分の情報管理に無頓着な面があったのですが、自分の情報管理に穴があることで、友人・知人に迷惑をかける事例があることも再認識しました。
技術発展により、これまではできなかった犯罪手法が増えてきています。
その情報から、その犯罪につなげることができるのかという犯罪者のその発想力には舌を巻くものがあるのですが、感心している場合ではありません。
新たな犯罪手法の情報を収集するなど、自己防衛意識を高めつつ、防衛策をとっておかないと、知らずに加害者側に回っていることもあります。
あまり慎重になりすぎると身動きができなくなってしまいますが、色々なことを知らなかったでは済まない状況が迫ってきています。
学習する意欲は常に持ち続けていたいものです。