★☆★学び活かすのブログ★☆★

新聞、TVなどで連日報道されている「ドコモ口座を使っての銀行預金からの不正引き出し」がドコモ以外の電子決済サービスや銀行も地方銀行から都市銀行、ゆうちょ銀行など広がりを見せています。いろいろと見えてきましたので、自分なりに全体の整理をしてみました。情報源としてはyahooニュース、テレビ番組、ドコモサイト、インターネット検索などから引用させていただきました。

たまたま電子決済サービスの「ドコモ口座」が問題になりましたが、問題の本質は「電子決済サービスの利用有無」の問題もありますが、つきつめると 「銀行口座」そのものからの不正引き出しをいかに防ぐか というテーマになると思います。

( 実際の「ドコモ口座からの不正引き出し」　出典：テレビ朝日 )

＜ドコモ口座とは＞　

ドコモ口座は、 「 d アカウント」 と パスワード で開設できるウォレットサービスで、ドコモのキャッシュレス決済「 d 払い」での支払いや、ウォレット同士での送受金に残高を使うことができる（口座からのチャージ、送金は本人確認が必須）。 d アカウントがあれば開設できるため、ドコモ以外のユーザーでも利用できる点が特徴だ。


(出典:ドコモ）

また、ドコモによると、ドコモ口座 ( 電子決済サービス ) での銀行口座登録は、銀行側のウェブサイトに飛ぶ仕様となっており、どういった認証手段で情報を紐づけているかは銀行側の仕様に準拠するという。　ユーザーが自身のドコモ口座へ銀行口座から入金するには、ドコモ口座の Web サイトから銀行口座を登録する必要がある。ドコモは「銀行の Web サイト側での作業ではあるが、いずれの銀行も登録には『口座番号』『名義』『 4 桁の暗証番号』の 3 点を利用していた」と明かす。

＜ドコモ口座の不正引き出しの全容＞

今回の事件は、自分が知らない間に「自分の銀行口座」からお金が引き出されたことです。キャッシュレス決済やスマホを使った決済でなくとも冒頭触れましたように「銀行口座を持っている」だけで現金を引き出される懸念があります。

(出典：テレビ朝日）

銀行口座の暗証番号などが盗まれると、被害を防ぐのは難しい状態だった。

もう少し、今回の被害を深堀してみると、
①銀行口座を持っている人
今回は地方銀行がターゲットだったようですが、都市銀行、ネット銀行に口座もある方も要注意です
②銀行口座、名義、パスワード ( 暗証番号 ) が何らかの方法で盗まれていること
③要するに、 銀行の本人口座（残高確認や取引履歴確認ができると）まで入られると、預金の引き出し他行への振り込みなどが出来てしまいます 。
④ドコモ口座など口座開設が簡単にできてしまうと、本人になりすましたりすることができてしまします

(出典：テレビ朝日）

では、「自分の口座情報」はどうして使われたかを調べてみると、フィッシングサイト ( 偽りの金融機関のサイトに誘導 ) からや、通販などの登録などからその名簿が何らかの方法で盗み取られているケースや、名簿の売買、地方の高齢者などに電話し違法に情報を入手するなど考えられています。不正利用の被害にあった人のネットへの書き込みなどから、4ケタ暗証番号はネット上では「リバースブルートフォース」や「パスワードスプレー」と呼ばれる攻撃があったのではないかという臆測が上がっています。

※「リバースブルートフォースとはパスワード（ここでは 4 桁の暗証番号）を固定して ID （ここでは口座番号）を総当たりする攻撃のことで、パスワードスプレーは数千～数万の IP アドレスを使っていろいろな IP アドレスから少しずつ攻撃し、攻撃を気付かれにくくする手法。これらが使われたかどうかは臆測でしかいえないが、いずれにせよ今回は暗証番号が 4 桁という部分が狙われたと考えられる。しかし、 4 桁の暗証番号を決済アプリとの連携に使っていても被害を受けていないケースもある」

＜利便性か安全性か＞ 

以前はかなり神経質だった「個人情報」の扱いにもスマホが普及するにつれて、特に最近ではスマホアプリを入れるときには個人情報も抵抗なく入力し、比較的無頓着になりつつあるような気がします。最近は電子決済サービスなど飛躍的に広まってきています。「氏名」「メールアドレス」「電話番号」「住所」などの情報があれば「電子決済サービスなどが可能となる」仕組みは、その便利さ、手軽さにあります。誰でもが利用できるように考えるとあまり複雑な認証やチェックシステムなどあえて避けることになります。 利便性と安全面とのつなひき、兼ね合い です。


(出典：テレビ朝日）

「例えばゆうちょ銀行は、『 LINE Pay 』や『ゆうちょ Pay 』などとの連携に 4 桁の暗証番号を使っている。しかしこれらで被害が発生していないのは、いずれもアプリがスマホ専用のものだからだと考えられる。『スマホを利用する』ということ自体が一種の認証であり、防御策になっている」  ようです。
一方、ドコモ口座は PC からでも利用できる。ログインに 2 段階認証は必要なものの、口座開設時に携帯回線をひも付けていなければ登録メールアドレスにセキュリティコードが送られてくるため、攻撃者自身がドコモ口座を開いた場合は PC のみで操作が完結してしまいます。

 ＜ あらためて整理すると＞

① 今回、ドコモ口座は本人確認も不十分（あえて増やすためか）メールアドレスだけでドコモ口座が開設できてしまう
② 突破は 4 けたの暗証番号だけ。銀行の情報は銀行名、口座番号、電話番号、氏名（生年月日、住所）などがわかれは、ドコモ口座とひも付できる (ドコモ口座は第三者が勝手に メールアドレスを設定 ) 。最初は高齢者が多い地方銀行が狙われたようです、しかし時間が経過とともに都市銀行、郵貯も被害あり。 LINE ペイ、ゆうちょペイも該当、 PayPay など他の電子決済サービスにも拡大

今すぐに対処したいことを考えると、
③ まず、 自分の口座に不正引き出しがないか確認 する
④ 知らないうちに、決済口座がなりすましで作られる懸念あるので、出金があったら（買い物した、口座から出金したなど）のときに、 ス マ ホ、バソコンへ通知機能ができれば設定 しておく。
⑤ よく電子決済をする口座に 多額の残高を置かない
⑥ セキュリティのしっかりした金融機関を選ぶ、変更する 。 2 段階認証、２要素認証など利用者としては面倒だが安全性が高まる

～あとがき～

この事件は、極端に考えると「銀行口座」を持たないことが安全だということにつながってしまいます。現代はより便利になってきていますので、利便性を追求しながらも、今回の電子決済サービスの場面やダイレクトバンキングなどで不正な取引や被害があると安全面からどうしても腰を引いてしまいます。安全性は 2 段階認証や 2 要素認証以外にもたくさんの方法が検討されています。銀行やクレジット会社、スマホ決済各社（電子決済サービス）でも次々と独自の安全対策が実施されています。一方、暗証番号などの定期的な見直しなども要請されています。利便性を追求する中で安全性も確保される方向にあると思いますが、問題は安全性を追求すればするほど、どんどんと複雑化、精緻化してしまい手間がかかってしまうことになってしまうというのが悩みの種ですが、安全性は最優先と割り切らざるを得ないことですね。以上