ドコモ口座事件と2段階認証の話


メディアの人たちが分かってなさすぎでは。

はじめに

ドコモ口座事件に関して、ドコモ側が2段階認証を導入していなかったことが叩かれました。

まあ、私としては、そこはこの事件に直接関係ないのでは、そういっている人は状況を理解していないのでは、と思っていました。

具体的には、2段階認証を導入しているサービスでも同様のことが起きるだろうと予想していました。

案の定、Paypayなどのほかのサービスでも同様の被害が起きていることが判明しました。

そうしたら、これまた案の上、Paypayなどは2段階認証を導入していたのに、なぜできたのか不思議とか、2段階認証が突破されたなんて言っている人たちがいます。

要するに、2段階認証というものを全然理解していない。

なので、そこを解説してみます。

決済サイドの2段階認証

まず、Paypayとか具体的な名前を出すのははばかれるので、根強くキャッシュレスに反対し、デジタル技術に不信と嫌悪を抱く人たちに敬意を表して、「なんちゃらペイ」とします。

私が、なんちゃらペイに新規アカウントを解説するとします。

以下のデータを入力します。

ID:トム・クルーズ
パスワード:12345678
電話番号:090-9999-9999

これでアカウントが開設できます。

後にまとめますが、大事な点として、私の名前はトム・クルーズではありませんが、その名前のアカウントを開設できます。

もっとも、ドコモ口座とは異なり、Paypayなどでは2段階認証が導入されており、その認証をクリアしないと、アカウント開設や利用はできません。

例えば、私が上記のトム・クルーズアカウントを現金チャージ方式で利用していて、セブン銀行のATMからチャージして、残高が10,000円あるとします。

悪意の第三者が私のIDとパスワードを何らかの形で不正入手して、その残高を利用しようとします。

やり方は簡単で、自分のスマホになんちゃらペイのアプリをダウンロードして、ID:トム・クルーズ、パスワード:12345678とログインするだけです。

しかし、ここで2段階認証が登場して、追加でSMS認証があると、登録した電話番号にSMSでワンタイムパスワードが送られ、そのパスワードを入力しないとログインできないようになっています。

つまり、IDやパスワードが流出しても、口座開設時に登録した電話番号を受信できるスマホ本体を持っている人以外は利用できないようになっているわけです。

Paypayなどは最近ネット通販でも残高を利用できるようになっていますが、その場合はパソコン上で通販サイトにPaypayのIDやパスワードを入力するわけですが、ここでもSMS認証が登場し、スマホにワンタイムパスワードが送られ、スマホを見ながらそのパスワードをパソコンで入力しないと利用できないようになっています。

このように、なんちゃらペイにおいて、2段階認証が導入されていると、悪意の第三者による「なりすまし利用」ができないようになっています。

大事なポイント

以上の話で大事なポイントをまとめると、以下になります。

なんちゃらペイ側での2段階認証と言うのは、なんちゃらペイアカウントのなりすまし利用を防止するためのものです。

そして、私はトム・クルーズではありません。

つまり、なんちゃらペイのアプリはクラウドベースですから、スマホ・タブレット・パソコンなどの複数端末から利用可能で、実際に多くの人が複数端末からアクセスする状況の中で、アクセスしている人が、アカウント開設した当人であるかどうかを確認して、なりすまし利用を防止しています。

ここが一番大事で、かつ、ややこしいのですが、すなわち、なんちゃらペイ側が「2段階認証で本人確認は徹底している」とアピールしたりしていますが、その場合の「本人確認」の意味は、アカウントを解説した当人であることを確認する「当人確認」であって、「身元確認」ではありません。

アカウントを開設した当人以外によるなりすましは2段階認証で防止できますが、私がトム・クルーズかどうかとは関係ありません。

まず、ここを正確に理解することが重要です。

銀行側の2段階認証

銀行側のオンラインバンキングも同じです。

ただ、銀行側では口座開設時に身分証明書を提示して、身元確認を済ませる必要があります。

口座開設後、オンラインバンキングを利用する場合には、普通は2段階認証が必要になります。

これは、なんちゃらペイと同じで、IDやパスワードと言った情報は流出したら終わりですから、口座開設時に登録した電話番号を利用したSMS認証や、専用の装置(トークン)を利用して、特定のモノを持った人以外利用できないようにしています。

なんちゃらペイ同様、オンラインバンキングも複数端末からのアクセスが可能ですから、アクセスがある都度、口座を開設した当人であるかどうかを確認して、悪意の第三者によるなりすましを防止するわけです。

もっとも、銀行側の場合、身元確認がされていますから、本人確認というのは、口座開設当人であり、かつ、真正な本人でもあります。

なんちゃらペイとは異なり、私がトム・クルーズ名義の口座を開設することはできません。

なんちゃらペイと銀行の接続

さて、なんちゃらペイのチャージを銀行口座から行うために、アプリ上で銀行と接続するときの話です。

この場合、システム上は大した話ではなく(無駄にカタカナが増えますがすみません)、なんちゃらペイと銀行、それぞれ自分達が管轄のシステムがあるわけですが、なんちゃらペイシステムから銀行システムへのパイプラインを作るだけです。

ここが重要で、なんちゃらペイ側としては、銀行システムへのパイプラインを作るわけですが、銀行システムがなんちゃらペイ経由でのアクセスに対し、ゲート(門)を開けるかどうかは、そのアクセスが銀行システムが要求する鍵を持っているかどうかです。

そして、鍵として何が要求されるかは、銀行システム側の仕様です。

よくよく考えて見れば当然ですが、新興のなんちゃらペイが銀行との連携を進めると言っても、できることは用意された銀行システムのゲートまで行って、「こういう操作をお願いします」と要求するだけで、その先には入れません。

提携にあたって、銀行側が、こちらがうちのシステムですから、どうぞご自由にご覧下さいなんてやるはずがない。

門前での、通行手形の仕様を伝えて、こういうアクセスがあればこういう応答をしますという決まりを作るだけです。

今回の事件

今回の事件で問題になるのは、銀行側での2段階認証です。

私が、トム・クルーズさんの銀行口座情報を不正に入手したとします。

そこで、ドコモ口座にトム・クルーズ名義のアカウントを作りました。

そして、銀行口座連携を図ったわけです。

ここで、例えばPaypayとメガバンクの連携などは、アプリ上でメガバンクサイドから、オンラインバンキングで振り込みをするときと同様の2段階認証のパスワードの入力が求められます。

しかし、地銀やゆうちょ銀行などの一部の銀行では、銀行側の方で2段階認証を要求せず、名義、口座番号、暗証番号、生年月日というソフト情報だけだったので簡単に連携が出来て、自由に出金が出来てしまったというものです。

特定情報を持っているだけで、本人と認定されてしまったわけです。

ここで、確かにドコモ口座にトム・クルーズという他人名義のアカウントを簡単に解説できたのは問題かもしれません。

しかし、ドコモ口座側で2段階認証を導入していたところで、それは単に上述のなんちゃらペイ側のアカウント開設の当人認証でしかありませんから、今回の事件には関係ありません。

私が私のスマホでSMS認証をクリアするだけです。

そして、なんちゃらペイの多くは2段階認証を導入していますが、それは当人確認あり、身元確認ではないので、ドコモ口座でやられた銀行は、ほぼすべてのなんちゃらペイでも同じことをされる可能性があるということです。

スポンサーリンク

ややこしい話

こっから先はややこしいです。

なんちゃらぺいと銀行を連携して資金移動する。

そう考えると、銀行口座と似たようなもんなんだから、なぜ銀行口座の開設は身元確認が必要なのに、なんちゃらペイでは不要なのか。

じつはこれ、法律上は、なんちゃらペイアカウントも、銀行などと接続して資金移動するためには身元確認が必要となっています。

???となる人もいるかもしれません。

結論から言うと、「銀行口座との連携」をもって、身元確認とみなしていました。

銀行口座と連携して資金移動するためにはなんちゃらペイ側で身元確認が必要という法律の下で、銀行口座との連携それ自体を身元確認と同視するという運用がされています。

「だって、身元確認が開設に必須の銀行口座との連携なんて本人しかできないじゃん」という理由です。

つまり、銀行側では、口座開設時に身分証明書の提示が必要で、その後のオンラインバンキング利用などでは2段階認証などにより、口座開設した当人以外のなりすましを防止しているわけだから、銀行システムにアクセスできる人間は、なんちゃらペイ側でもその接続をもって真正な本人とみなしてよいだろうと。

そういう点から考えると、ドコモ口座側は、銀行側のセキュリティに依存する本人確認を導入しながら、セキュリティが甘々の銀行との接続をしていたわけです。

それはつまり、ドコモ口座と一部の銀行との、一体としてのシステムフロー全体に欠陥があったことを意味します。

誰が悪いのか

考察出来ることはいろいろあるわけですが、まず、今後なんちゃらペイ側でも独自の身元確認を徹底するという方法があります(身分証アップロードなど)。

そうすると、私がいくらトム・クルーズの口座情報を不正に入手しても、私がトム・クルーズでない限りなんちゃらペイにトム・クルーズ名義のアカウントは開設できないので、今回のような事件は起こり得ないと言えます(もちろん名義が一致していないと連携はできません)。

二重のセキュリティなんて言えるかもしれません。

しかし、セキュリティとかITに居るような超合理主義の人たちからすると、二重のセキュリティではなく、「単なるムダ」としか思わなそうな気がする。

確かに、今回の事件も、オンラインバンキングよりもセキュリティを甘くするというおかしな銀行が被害にあっていて、口座連携で2段階認証を要求している普通の銀行は被害にあわなかったわけですから、ある意味、やっぱり2段階認証は有効なんだなと思えるし、上述の「銀行口座連携をもって本人確認とする」という運用それ自体に問題があったのかと言われると、理屈的にはノーです。

ドコモと一部の銀行が共同してやらかしただけで(合わせて一本的な)、理屈として制度に問題があったとはいえません。

また、ドコモ口座が2段階認証を導入していなかったことに関しては、確かに問題があり、ドコモ口座それ自体のなりすましのリスクがあったわけですから、セブンペイのことも考慮すると、なんでそんな仕様にしたのか、セキュリティ意識が低すぎるという批判は免れないでしょう。

ただ、2段階認証があれば今回の事件は防げたのかと言うと、上でしつこく言及したように、無関係です。

また、無関係なだけで、だからといって、2段階認証が有効ではないとかそういう話ではないです(むしろ現状「とりあえず」は有効であることが証明されたと言っても過言ではない)。

やはり個人的には、一番悪いのは銀行だと思っています。

口座連携の際に2段階認証を要求しない仕様にしたのは論外です。

そして、これは銀行側の責任。

先日、ゆうちょ銀行が会見で、「2段階認証を導入するようもっと強く要求するべきだった」と言っていましたが、これは大嘘、とんだ詭弁です。

自分のシステムへのアクセスについてどんな鍵を要求するかを決めるのは銀行側であって、2段階認証を不要としたはゆうちょ側です。

何を他人のせいにしているのか、よくそんなことが言えるなと、耳を疑いました。

とはいえ、ドコモも悪い。

口座連携の際に2段階認証を不要とする仕様の銀行はサービスから排除すべきでした。

今の時代、関わってはいけない種類の人たちです。

とはいえ、上記のゆうちょ銀行の言い分を聞くと、連携方法をできる限り簡単にしてくれとドコモ側が強く要請したのかな。

だとしたら、ドコモも相当悪いです(ただ、だからと言ってYESと言ってはいけないのが銀行という仕事)。

自分達が2段階認証を導入していないことと併せて考えると、現場で責任を持っているのキーマンの中に2段階認証を軽視する人がいるんでしょうね。

専用パスワードを導入すればいいだろ、さらに暗証番号や生年月日まで流出していたら、それは仕方がないだろ、アマゾンや楽天はじめ各種通販サイトのクレジットカード登録など、パスワード運用で回っているし、不正が起きたらその時補償すれば良く、それよりも利便性の方が重要だろと。

クレジットカードに比べると、出金できる金額自体が小さくて、リスクも小さいんだから、セキュリティもリスク相当なものでいいだろと。

(実は個人的にこの考え方は理解できる・・・)

おわりに

ゆうちょ銀行がなぜセキュリティを甘くしたのか。

じつは、これ、ゆうちょ銀行の客層が関係していて、オンラインバンキングなどではワンタイムパスワードや認証カードの運用が必要ですが、なくした、わからない、といった問い合わせが日々殺到して困っているらしいです。

ワンタイムパスワードを求められているのに、暗証番号などの間違った情報を入力し続けて、アカウントがロックされて、なぜかクレーム電話や窓口で怒られるという事態が絶賛大発生中だったりして

今回の事件も、暗証番号や生年月日が流出していることが前提で、総当たり攻撃ではないかなんていわれていますが、違うと思うな個人的には。

フィッシングサイトで、教えちゃった人が相当数いるんだと思う。

暗証番号や生年月日の流出案件について、どのような対応をするのか。

利便性を犠牲にして、そのような中核情報が流出している場合にも備えないといけないのか。

それとも、さすがにそこまで流出した場合は、事後的な補償対応でいいとするのか。

実はここ、なかなか難しい気がします(2段階認証くらいは入れておけばと思いますが)。

前回の記事で書きましたが、問題の根底には、この情報化時代に、分かってない人が分かってなさすぎる、しかし、だれも注意できない、という問題があります。

政府としてはキャッシュレスを推進したいわけですし、私も賛成派ですが、「よくわからないからとにかくやめてくれ、現金でいいじゃないか」とヒステリーを起こしている人もいて、その人たちをどう扱うか。

セキュリティを厳しくすればするほど、面倒、わからない、誤操作のオンパレードで、人件費ばかりかさむようになる。

今回の件は、ドコモもゆうちょ銀行もあり得ないと、批判できる案件だから良いです。

しかし、情報化社会が本格的に進展しているなかで、情報格差が生み出すコストをどこまで社会全体で負担するのか、という問題につながる気がします。

あらゆるところでセキュリティをガチガチにすると、それはそれで色んな意見が飛び出すでしょうね。

果たして、今回の件で、2段階認証について語っている人で、アマゾンで2段階認証を設定している人は何割いるのか。

全てのサービスでパスワードを変えて、使いまわしをしていない人は何割いるのか。

全ての不正利用に事前対応をしないといけないのか。

「言ってはいけない」がたくさん出てくる、やっかいな問題です。