NTTドコモの電子決済サービス「ドコモ口座」を利用した預金の不正引き出しについて、NTTドコモの会見内容を踏まえてセキュリティエンジニアの視点で問題点を分析してみた。
先に概要を説明すると、被害銀行の問題がスルーされていることのセキュリティ上の問題、NTTドコモによる本人確認=NTTドコモへの購買履歴の提供を推奨している主張へのプライバシー面での疑問が中心です。
問題の経緯
NTTドコモの提供する電子決済サービスである「ドコモ口座」宛に、連携先銀行の一部から不正な送金が行われたことが判明したというのが、今回の事件の経緯である。
会見でのドコモの主張や現在のメディアの状況は、ドコモの本人確認の不備であるというのが主流であるようだが、会見でのドコモの回答からは、被害にあった銀行の手続きが杜撰だったことが想定される。
「ドコモ口座」とは
「ドコモ口座」という名称だが、銀行口座などではなく、実態はJR東日本の「SUICA」などと同じ、プリペイド式電子マネーである。そのため、そもそも実名を登録する必要がないサービスである。
なお、類似サービスである「SUICA」では、実名登録は不要で、オンラインチャージは可能である。何より10年以上続く老舗のサービスであるが、本件のような不正送金は行われていない。
被害の実態
「ドコモ口座」と連携している35行のうち、11銀行で被害が発生している。残り24銀行では被害が発生していないとのことであるため、この状況で考えられるのは以下の3点に絞られると思う。
(1)「ドコモ口座」ではなく、11銀行のシステム、手続きが杜撰なことにより発生している
(2)11銀行の対応が優秀で、残り24銀行の被害確認が追いついていない
(3)残り24銀行の顧客数が、確率的に被害が発生しないくらい少ない
このうち、(3)については被害の有無と銀行規模の関連性が見られないことから除外できる。
(2)についてはもう少し時間をおいたほうが良いことは考えられるが、大幅に変わることはないだろうというのもあるが、現時点では分からないことから除外する。
(1)についてであるが、NTTドコモの会見では明言はしていないが、被害にあった銀行は氏名、口座番号、暗証番号(一部は生年月日も)により口座の紐付け(口座振替の手続き)を行なっていて、被害にあっていない銀行は、オンラインバンク用のアカウント(ID、パスワードの組合せ)や追加のワンタイムパスワードなどを使用していたというのが実態のようである。
また、この違いはそのまま各銀行の口座振替手続きの違いということのようである。
送金時の認証の問題
被害発生の原因については、銀行へのハッキングによる顧客情報の漏洩や顧客自身によるフィッシングメール等による情報漏洩も考えられる。ただし、口座振り込みが可能な認証情報が漏洩した場合、どこにでも自由に送金できるようになるため、直接現金を引き出せないドコモ口座を利用した送金をする意味がなくなる。
現時点で提供されている情報も考えると、被害は情報漏洩などが原因ではなく、被害銀行におけるドコモ口座への紐付け(口座振替手続き)に必要な認証情報に問題があった可能性が高い。
そのため、被害銀行で行われていたという、「氏名、口座番号、生年月日(一部銀行のみ)、暗証番号で銀行口座から送金ができることの問題点について考えてみたい。
犯罪者の視点で考えると、氏名、口座番号、生年月日については名簿屋から簡単に購入できるもののため、公開されている情報と考えて良い情報である。調達にあたっての費用についても、他の犯罪に利用する名簿を流用すれば発生しない。
そのため、これらの情報を認証に使用すること自体が、セキュリティエンジニア的には「あり得ない」ものである。(一般常識か?)
次に暗証番号であるが、これは4桁の数字のため最大1万通りしかない。となると10万件の名簿があれば、期待値としては10回成功することになる。1回あたりの送金上限が30万円、残高の上限が60万円のドコモ口座であれば、被害額2500万円であれば、50万件程度の使用済み名簿で達成可能になる。(実際にはロックされるまでの回数、ロック自体やロックにあたってのカウントが解除されるまでの期間、10万件の名簿の全てが脆弱な被害銀行の口座ではないことなどがあるので、期待値は前後する)
このため、4桁数字による認証というのも、社内限定の重要でない情報システムや1分しか有効でないワンタイムパスワードでの使用であればともかく、インターネット上に公開されたシステムの認証方法としてはやはり「あり得ない」認証方法である。(これも一般常識か?)
しかも暗証番号の突破はパソコンで自動で行うので時間もかからない。結果として犯罪グループにが気にするのは、犯罪によるもうけが1000万円か1億円かであって、犯罪の成功自体は約束されている美味しい案件になる。
本人確認の問題について
会見では本人確認が不備だったのが原因と主張しているが、本当にそれが問題なのか考えてみたい。
まず、同様サービスである「SUICA」では本人確認どころか実名登録も要求していない。記名式もあるが無記名でも良いので、紛失時の利用停止のためのデータだと思われる。(カードのIDを検索するための情報か何か?)
その上で問題が起きているわけではないので、本人確認をしていないことが今回の不正送金の根本的な原因であることは考えにくい。
本人確認のメリット
次に、本人確認のメリットであるが、これにより犯罪グループには偽造身分証の作成、口座登録するアルバイトの雇用などによる費用が発生する。本件のような経済犯罪は費用対効果が全てであるため、犯罪実行のための費用が増えることは相当な抑止力になることは間違いない。ただし、他の犯罪用に作成した名簿、雇用したバイトを流用すれば良いこともあり、根本的な解決にはならない。
本人確認のデメリット
次に本人確認(大半は実名登録すること)のデメリットである。
まず、前提として「ドコモ口座」はプリペイド型電子マネーであり、法的には実名登録は不要で本人確認の必要はない。また、氏名の登録を要求しているがあくまで契約の問題なので、ドコモ側がサービス拒否などを行わない限り、実名でなくても問題ない。(契約内容によっては民事で損害賠償請求などもありうるが、双方が同意、黙認していれば問題はない)
続いて本人確認というより実名登録の問題であるが、まず類似サービスである「SUICA」がこれまでに起こした事件の中に、「SUICA」の利用履歴を他社に販売した事件がある。この時、記名式ではない人たちも含めてかなりの反発があったと記憶しているが、自分の行動履歴を他人に把握されたくない、他人の商売に利用されたくないというのが原因だと思われる。
これが実名である場合、NTTドコモは個人を特定できる形で購買履歴を入手できることになる。その上でNTTドコモから情報漏洩があった場合、「ドコモ口座」利用者は自身の購買履歴を犯罪者達に提供することになるリスクがある。
そのため、現時点ではセキュリティ、プライバシーを考慮して、仮名を使用して「ドコモ口座」に登録している利用者も多数いると思われるが、この場合はNTTドコモから入手した情報だけでは犯罪者たちは現実の人間との紐付けが困難なため、漏洩情報を利用した詐欺や脅迫などの犯罪には繋げにくくなる。
要は本人確認を行うことにより、その情報が間違いなく本人であることをNTTドコモが保証しているため、犯罪者達が安心して犯罪を行えるという追加のリスクが生じることになるのである。(その分名簿の購入費用も跳ね上がるだろうけど)
以上のようなことから、セキュリティの観点で言えば実名登録(特に本人確認)を要求するのは漏洩した場合のリスクを考慮し、サービス提供のためやむを得ない場合に限定した上で、徹底的なセキュリティ対策を施した状態で行うべきであるが、「ドコモ口座」においてはやむを得ないとは思えないことが問題だと思われる。
(蛇足だが、警察なんかは「犯罪発生後」の捜査のことしか考えない傾向があるので、とにかくなんでも本人確認すべきみたいなところがあったりする。セキュリティ的には「犯罪抑止」の視点や維持できるかどうかの「費用」の視点も必要)
被害にあった銀行とNTTドコモの問題点
これまでの情報から想定される被害銀行およびNTTドコモの問題点である。
被害銀行の問題点
被害にあった銀行が少数派であることを考えると、そもそも氏名、口座番号、生年月日と暗証番号により送金手続きが行えるのは、銀行業界内で少数派のようである。それを考えると、被害銀行の状況として想定されるのは以下の2点と思われる。
(1)自行の手続きに問題があることを技術的か同業他社との比較かに関わらず分かっていたが、費用を惜しんで放置していた
(2)セキュリティ音痴で自行の手続きの技術的な問題を分かっていなかった上、同業他社の状況にも無関心だった
(1)は経営陣がモラルハザードを起こしている状況、(2)は経営陣以下、当該銀行の従業員がほぼ仕事する気がない状況ということになってしまうが、それ以外の状況が思いつかない。いずれにしても被害にあっている銀行は少数派なので、被害銀行が他の銀行に比べてかなり劣っていることが推測される。
なお、問題の中には、手続き後は送金先が自由に送金額を決定できる口座振替手続き(ドコモ口座への紐付け手続き)が、送金額を含めて送金元の銀行口座所有者が決定する口座振込手続きよりもセキュリティレベルが低いという矛盾も含まれます。
まあ、それに輪をかけて、被害銀行がいまだに、会見を含めて一切説明をしていないという事実がありますが。
NTTドコモの問題点
NTTドコモの問題点は以下の二つだと思う。なお、会見では曖昧ながら、被害銀行のセキュリティ上の問題を認識していたが、銀行側の責任範囲のため指摘以上のことを行っていないようなコメントをしている。
(1)被害銀行の処理に問題があることを知りながら、連携を認めたこと
(2)被害発生時点で、速やかに被害銀行との一切の連携をやめなかったこと(被害銀行と紐付けされた「ドコモ口座」の利用停止を含む)
NTTドコモがやるべきだったことは、全面的なサービス停止でも本人確認の実施でもなく、被害が確認された銀行との連携の停止である。セキュリティ面だけでいえば、サービスを全面停止した上で被害が発生していない銀行との連携、連携された口座の利用を再開させていくことがベストだが、ビジネス面を考慮すると、全面停止するほどの理由を説明できるセキュリティエンジニアはいないと思われる。
あとは、NTTドコモが被害者より被害銀行を優先しているのではないかと思われるところが気がかりである。今回の事件でNTTドコモはサービスの全面停止でも被害銀行との連携停止でもなく、連携先銀行全てとの連携停止を行っている。この理由が被害銀行の業績・イメージへの打撃を考慮したのだとすると、NTTドコモの問題も相当根深い問題になると思う。
こう考える理由には、会見で被害銀行のセキュリティへの質問に曖昧なコメントしかしていないことが、会見に被害銀行が同席しなかった理由だとも考えられること、NTTドコモによる本人確認の不備が事件の原因であると誘導しようとしているように見えたことがある。
事件への責任というより、「被害者より取引先優先」と思えることがNTTドコモの最大の問題だと思います。
結論
不正送金の原因と対策
他の類似サービスと関連する事件、銀行の口座振り込みなどを含めたこれまでの他のサービス実績などから、被害にあった銀行の送金時の対応が杜撰だったことがこの事件の本質と思われる。
この結果、被害銀行が提供するサービス全体が危険であることが推測されることが、この事件で最も注意しなければならない点である。
被害にあった銀行は、速やかに全てのオンラインでのサービスを停止し、システム・業務面の点検及び見直しを行った上でサービスを再開するのが、顧客に対する最低限の義務だと思われる。(金融機関なので、顧客への「誠意」ではなく「義務」だと思う)
NTTドコモの本人確認への注意点
今の世の中ではクレジットカード決済はもちろん、銀行口座からの口座振り込みなどもオンラインで行えるようになっているが、誰に送金するかは口座保有者(送金側)の自由である。送金先の名義と所有者が一致するかどうかは不正送金の本質的な原因ではない。
また、偽アカウントが作られるのが気持ち悪いというのは心情的には理解できるが、銀行側が適切なセキュリティを確保していれば実害はない(結果として偽の「ドコモ口座」自体作られない)ので、NTTドコモによる本人確認はやりすぎだと思われる。(FacebookなどのSNSなどだと、偽アカウントは実害があって問題が大きいです)
まあ、電子マネーは他にもあるので、セキュリティやプライバシーを気にする人は、本人確認開始後は、「ドコモ口座」は作らない、解約するだけでしょう。
なお、セキュリティ上は「ドコモ口座」に関わらず、可能な限り実名を登録しないことを推奨します。もちろん趣味、趣向なども推測されないようにするのがベストです。
追記
産経新聞の記事によれば、ゆうちょ銀行では「ドコモ口座」に限らず被害が出ているようです。そうなると、NTTドコモなどのサービス提供者の問題ではなく、やはりゆうちょ銀行などの被害にあった銀行固有の問題である可能性が高そうです。
そうなると総務省ではなく金融庁が対応すべき事案です。そろそろ金融庁も動いているところを見せないと、あとで対応が遅いと批判を受けそうですね。