ドコモも悪いけど、地銀も悪いでしょこれ。
はじめに
数日前から大きく報道されているドコモ口座の不正引き出し事件。
色んな批判が巻き起こっていますが、ニュースの記事やYahooの掲示板の反応を見ていると、何が起きたのかちゃんと理解されているのかと疑問に思ったので解説してみます。
正しく理解した人は、これってPaypayやメルペイでも同じ手口可能じゃん、大丈夫なの?と疑問に思うかと思います。
その不安は正しく、やられる可能性があります。
最初に一番重要なことを言っておくと、自身が持っている銀行口座について、その銀行のオンラインバンキングのセキュリティ認証の仕組みを知らない人は、いつ被害者になってもおかしくないという話です。
そこら辺を解説します。
ドコモ口座とは
まず、ドコモ口座という言葉が分かりづらいのですが、その機能を理解すると、「口座」という単語を使うことに問題はなく、確かにバーチャル口座です。
とは言え、ドコモ口座の多種多様な機能を理解する必要は無いので、この事件の理解に必要な限りでのドコモ口座の理解を試みると、これは口座ではなく、PaypayとかスイカとかLINE Payとかと同じく、いわゆる電子マネーと考えて問題ありません(かなり大雑把ですが)。
要するに、ドコモ口座の残高があると、コンビニなどでドコモが提供するd払いが使えるというものです。
それだと、まさにPaypayやメルペイなどと同じで、ドコモ口座なんて名前にしなくて、単にd払いという名前でいいだろと思うわけですが、Paypay残高はPaypayでしか使えませんし、メルペイ残高はメルペイでしか使えませんが、ドコモ口座の場合、d払いのほかにも、登録しておけばVISA プリペイドカードも使えます。
d払いだと、乱立する他のキャッシュレス決済と同様、一部のd払い加盟店を探して使うようになりますが、VISA プリペイドが使えるということは、クレジットカード扱いですから、クレジットカードが使えるお店であればどこでも使えるという利点があります。
他にも多様な機能がありますから、キャッシュレス決済の1つというより、多様なキャッシュレス決済に使うことができるハブになる口座という意味で、ドコモ口座という名前にしたのだと思います。
仲間としては、Apple PayとかGoogle Payといった各種キャッシュレス決済をまとめる電子ウォレットサービスに近いです。
まあ、いずれにせよ、ドコモ口座にチャージして、その残高でキャッシュレス決済を行えるわけです。
そして、チャージするときに、現金チャージのほかに、銀行口座を登録して、登録銀行口座からのオンライン引き出しという形式で、ドコモ口座にチャージができたわけです。
何が起きたのか
ここからが、やったことがない人にはわからない世界。
銀行口座を登録して、そこからチャージできるキャッシュレス決済なんてたくさんあります。
では、スマホのアプリ上、銀行口座を登録するときにはどんな情報が必要でしょうか。
結論としては、これが銀行ごとに違うわけです。
オンライン上で銀行口座から資金移動するということは、仕組的にはその銀行のオンラインバンキングのシステムにつなぐということですから、その銀行のオンラインバンキングの利用に必要な情報が要求されます(もちろん最初の登録時のみ)。
そして、オンラインバンキングの利用というのは、当たり前ですが、口座名義と口座番号だけで、自由に振り込みができるわけではありません。
普通は、暗証番号とは別に専用のパスワードが必要になります。
そして、そのパスワードが固定の物もあれば、トークンやSMS認証を利用したワンタイムパスワードのような強固なパスワードを要求するものもあります。
トークンと言うのは、下記のような装置です。
1分ごとに変わる6桁の数字が表示され、その数字が有効な1分の間にそれを入力しないといけないというもので、この装置を保有している人のみが利用できる仕組みです。
トークンが無くても、一定期間のみ有効なワンタイムパスワードを、口座開設時に登録した携帯番号にSMSで送信して、その入力を求める場合もあります。
また、トークンがスマホのアプリ化されていて、スマホアプリを開くと1分ごとにワンタイムパスワードが表示されるものもあります。
このワンタイムパスワードが現状は最強で、それを表示する装置を現実に保有している人しか利用できませんから、口座情報などが流出しても、その装置も一緒に奪われない限り、口座残高に手出しはできません。
しかし、なんとなく想像できるかもしれませんが、ゆるい銀行もあるわけです。
多いのが、ATMなどで使う4桁の暗証番号と生年月日を要求するパターン。
さらには、ATM同様、暗証番号を要求するだけの銀行もたくさん存在します。
そして、今回ドコモ口座の不正利用で利用されたのは、この、オンラインバンキングのパスワードが暗証番号のみという地銀たちです。
【追記】
ここ私が少し勘違いをしていて、ほとんどの銀行がオンラインバンキングではワンタイムパスワードを導入していて、オンラインバンキングの認証が暗証番号だけという銀行はないようですね。ただ、認証カードをなくす人やワンタイムパスワードの登録をしていない人が多かったという理由で、ドコモ口座などのキャッシュレスとの連携の際に、あえて、口座番号+暗証番号だけで連携できるようにしていた、頭のおかしい銀行があってそこが狙われたようです。
【追記終わり】
少し考えればわかるように、全て合わせても1万通りの組み合わせしかない4桁の暗証番号なんて、オンライン上ではパスワードになりません。
具体的な手口は以下です。
口座名義、口座番号、暗証番号の3点セットなんて、裏社会ではいくらでも流出しており、保有者が探しているのは、足がつかない利用方法です。
そして、ドコモ口座はメールアドレスさえあれば作れるので、保有する銀行口座情報の口座名義と適当なGmailアドレスでドコモ口座を作ります。
後は、上述の3点セットでオンラインバンキングに接続できるゆるい地銀の口座を接続して、ドコモ口座にチャージして、VISAプリペイドなどで買い物をしてメルカリなどで転売すれば一儲けできます。
最大のポイントは、この事件の被害者というのは、オンラインバンキングのセキュリティが甘い銀行に口座を持っていて、かつ、その情報が流出している人という点です。
被害者はドコモ口座利用者でもなければ、ドコモユーザーですらないです。
つまり、もしこの記事を読んでいる人が複数の銀行口座をもっていて、その銀行のオンラインバンキングのセキュリティについてよく知らないのであれば、引き出されているかもしれません。
ドコモの責任
ここまでを読むと、悪いのは一部の銀行なんじゃないか感じると思いますが、ドコモも悪いです。
そこで登場するのが、Paypayやメルペイなどの、他の銀行口座連携できるキャッシュレス決済です。
Paypayやメルペイのアカウントだって簡単に作れますし、銀行口座の連携は、上述したようにその銀行のオンラインバンキングの仕組みですから、原理的には同じことができるはずです。
また、ドコモ口座やPaypayなどのキャッシュレス決済口座側で2段階認証が導入されているかどうかは、今回の不正出金には一切関係ない話です(ドコモ口座が導入していなかったのは杜撰だと思いますが今回の被害とは本質的に無関係。)。
問題は、銀行口座側のセキュリティです。
ただ、ほかのキャッシュレス決済では、銀行口座連携の際にセキュリティが甘い銀行口座は登録できないようになっているわけです。
そこが独自の審査ルールだったりするので、銀行チャージ可能なんて言いながら、キャッシュレス決済の種類ごとに、連携できる銀行が限定されていたりして、利用者を混乱させるわけですが、そうはいっても、名義、口座番号、暗証番号の3つで口座連携できる銀行なんて、普通は連携できないようになっているわけです。
しかし、後発のドコモ口座としては、まだキャッシュレス決済から距離がある人達も一気に囲い込もうと勇み足で、ほかのキャッシュレス決済では連携できないようなゆるゆるセキュリティの地銀なども連携できるようにしてしまったわけです。
そして、待ったましたとばかりに不正利用されたわけですから、ドコモも悪いです。
少なくとも、不正利用に関するシミュレーションなどはやってないんでしょうね。
二段階認証について
こういったスマホ系のセキュリティの話が出てくると、○○の一つ覚えのように二段階認証という単語が登場するようになりました。
今回の件でも、一部の銀行が二段階認証を採用していなかったなんて報道のされ方がされていたりします。
ただ、この事件が突き付けているのは、二段階認証の必要性ではなく、ハードウェア認証の必要性です。
名義、口座番号、暗証番号の3つだけで開くゲートは論外としても、じゃあ他は全て安全なのでしょうか。
Paypayやメルペイはセキュリティの甘い銀行は連携しないようにしていると言っていますが、具体的にどのような基準なのでしょうか。
結論から言うと、ハードウェア認証を導入していない銀行はたくさんあって、そこが陥落するのは時間の問題です。
具体的に言うと、名義、口座番号のほかに何が必要か。
1.生年月日
2.オンライン用パスワード
3.SMS認証
4.トークン認証
といったパターンがあります。
これ、1と2を利用していて、SMSやトークン(アプリ含む)を利用したワンタイムパスワードの入力を強制していない銀行はまだまだあります。
そして、Paypayやメルペイの仕様を見る限り、おそらくワンタイムパスワードの入力が必須条件にはなっていません。
何が言いたいかと言うと、1と2というのは全て情報であって、流出したら終わりで、暗証番号と大して変わらないのです。
しかし、SMS認証やトークン認証の場合、特定の電話番号を受信できるスマホ、ないしはトークンという、物理的な装置を保有している人しか利用できない仕組みになっています。
名義、口座番号、暗証番号の3点セットなんていくらでも流出しているわけですが、なぜATMで引き出せないかと言えば、どれだけ情報が流出しても、キャッシュカードもしくは通帳という、物理的なモノの保有者であることが要求されるからです。
そう考えると、パスワードをどれだけ複雑にしたり複数要求したり、さらには、好きな映画とか母親の旧姓とか、秘密の質問を足したりしても、究極的に全て情報ですから、流出したら何の意味もありません。
セキュリティ認証の最後の砦は、結局は物理的なモノで、鍵となる情報とセットで、特定のモノを保有する者だけがゲートを開けるというハードウェア認証こそが重要なわけです。
そう考えると、Paypayやメルペイなどでも、上記の1や2で口座連携できる銀行が多数存在しますから、その銀行の口座保有者で不正利用される人が今後出てくると思います。
そう考えると、オンラインバンキングを利用しない人でも、ワンタイムパスワード登録をして、それができない銀行口座については要検討でしょうね。
おわりに
最近では、メガバンクの多くはトークンのスマホアプリ化を進めています。
SMS認証もそうですが、物理鍵として、特定のスマホを持っている者のみがゲートを開けられるようになっているわけです。
じゃあ、スマホを乗っ取られたら全て終わりってことなのか。
実はそうなんです。
ハードウェア認証と言っても、スマホはAndroidやiOSで動いていますから、そのアカウント自体を乗っ取られたら終わりで、スマホの端末認証と言うのは、究極的には、アカウント情報というソフト情報がカギとなった認証です。
だから、2年前にGoogleが発表したPixel 3というスマホにはTitan Mというとんでもないチップを投入されたわけです。
このTitan Mというチップは、スマホを動かすCPUとは物理的・電気的に完全に独立したチップで、万が一スマホが乗っ取られてもこのチップにアクセスできないようになっています。
そして、Titan Mを使った認証と言うのは、Android上で動くアプリではなく、通知が来たら、スマホの電源ボタンを押すとか、ボリュームさげるボタンを押すとか、物理的・電気的に現実に接続した行為による認証で、そういった真のハードウェア認証を導入しない限り、いずれ情報は流出しますから、不正利用は終わらないわけです。
2年前の登場時どころか、未だに自称専門家たちが、今度のPixelはここがすごいとか言って、写真の話ばっかり。
私は2年前からこの話をしているのにぶつぶつ・・・
Google Pixel3の目玉はカメラでもAIでもFelicaでもなくTitan Mなのか