こんにちは。
最近ニュースで取り上げられている「ドコモ口座 不正送金」問題。
私自身はドコモユーザーでもなく、ドコモ口座も持っていないので関係はないかなと考えていました。
どうやら、「ドコモユーザーでなければ無関係」では済まされないようです。
そして身近では妻が以前ドコモユーザーで dアカウント があるようなので心配していました。
結論から言うと、自分で作成した dアカウントは心配ない様です。
では、どういったケースが問題なのでしょうか??
今回の「ドコモ口座被害」の問題点と今後の我々の対策を考えてみました。
「ドコモ口座 不正送金」の概要
ざっくり説明すると、
何者かが勝手に、ある特定の人の名義でドコモ口座を開設して、勝手に同じ名義の地方銀行の口座からドコモ口座にお金を送金する。
と言った手口です。
もう少し詳しく説明すると以下の様になります。
登場人物は 被害にあったAさん、犯人であるBとします。
①犯人Bが何らかの方法で、被害者Aさんの地方銀行口座の情報(名前、口座番号、暗証番号、電話番号)などを不正入手。
ここで犯人はドコモ口座へ送金する時に本人確認の甘いシステムとなっている地方銀行を選んだと考えられます。
②被害者Aさんとは関係のない犯人Bが被害者Aの名義でドコモ口座を勝手に開設。
④不正に入手した被害者Aさんの地方銀行口座の情報を利用して、地方銀行口座からドコモ口座にWEBを介して送金。
⑤送金された金額が犯人Bの元に。
そして2020年9月11日時点で、これまでに確認された被害は全国の12の銀行で、合わせて1990万円との事です。
「ドコモ口座 不正送金」の問題点
問題点1
まず、疑問として浮かぶのが②の
犯人Bが勝手に被害者Aさんの名義でドコモ口座を開設できるの? といった点です。
犯人Bが勝手に被害者Aさんの名義でドコモ口座を開設できるの? といった点です。
答えとしては、開設できたみたいです。
メールアドレスがあれば本人確認をせずにdアカウントを作り、ドコモ口座を開設できた様です。
問題点2
次に、簡単に銀行口座から、偽ドコモ口座へ送金ができるのか。
本来は、銀行口座から簡単に送金はできません。多くの銀行では、ネット口座WEB経由で送金する時はセキュリティを今日こにし、本人確認が出来ないと送金ができない様になっています。
しかし、今回の事件ではドコモ口座への送金に関してセキュリティの甘かった銀行が狙われました。
WEB上での送金で採用されている、多要素認証システム
ネットバンキングでの送金では、多要素認証システムが採用されています。
多要素認証(たようそにんしょう、英語: Multi-Factor Authentication、英: MFA)は、アクセス権限を得るのに必要な本人確認のための複数の種類の要素(証拠)をユーザーに要求する認証方式である
引用:Wikipedia
多要素認証では、主に以下の3つ要素のうちの2つを認証システムとして採用しないといけません。
① 情報の要素:暗証番号、名前、口座番号など正規の利用者なら知っている情報。
② 物の要素:認証カードやワンタイムパスワード生成器などの正規の利用者が所持している物。
③ 身体的特徴の要素:指紋認証、網膜認証など、正規の利用者の身体的特徴。
これは昔から採用されており、例えば、銀行ATMでお金を引き出す時は、
・本人の通帳 or キャッシュカード → ②の物の要素。
・4桁の暗証番号入力 → ①の情報の要素。
の多要素認証が採用されています。
今回のドコモ口座被害では、多要素認証が成立していなかった。
ところが、今回の「ドコモ口座 不正送金」では地方銀行から、犯人Bが不正に作ったドコモ口座に送金する際に、多要素認証が機能していませんでした。
銀行口座の 口座番号 と 暗証番号 のみで送金できたと考えられます。
これだと、① の情報の要素のみとなります。
多くの銀行のネットバンキングでは、
多要素認証を成立させるために、本人の携帯のみに表示されるワンタイムパスワード や 登録された携帯に自動音声でパスワードがかかってくる仕組みを採用していて、①の情報の要素に②の物の要素を加えて多要素認証にしています。
犯人は、多要素認証システムがまだ成立していない銀行に絞って今回の犯行に及んだ様です。
ドコモと契約していてもいなくても、被害にあう可能性がある。
ドコモ口座は、ドコモユーザーではないドコモと無関係の人でも、
メールアドレスさえあればdアカウントを作成しドコモ口座を開設出来ました。
(現在は、新規のドコモ口座の開設を停止している様です。)
dアカウントに関しても、二種類に分ける事ができ、
(1)本人がdアカウントともともとひも付けしていた銀行口座は第三者の引き出しはできない。(第三者が入り込む余地なし。)
(2)本人がdアカウントともともとひも付けしていない銀行口座は第三者に引き出しされる可能性がある。(第三者が入り込む余地あり。)
これをまとめると、被害に会う可能性がある人は、下記に当てはまる人と考えられます。
・ドコモユーザーであるなしは関係ない。
・ドコモ口座と連携している銀行に口座を持っている。
・ドコモ口座と銀行口座を紐付けしていない。
・紐付けしていない銀行口座からドコモ口座に送金する際に、情報の要素だけで送金できる。
対象銀行のセキュリティー対策次第ではありますが、対象銀行に口座を持っていたら少なからず被害にあう可能性があるという事になりますよね。
「自分はドコモユーザーではないから無関係」と思っていた人も、一気に身近な事件と感じたのではないでしょうか。
ドコモ口座と連携している銀行はこちらを参考にして下さい。(この中に入っていても、セキュリティ対策をしっかりしている銀行は心配はありません。)ドコモ公式HP
まとめ。ドコモ口座被害から多要素認証の大切さを再認識。
私も、ネットバンキングでの送金はよく使用しますが、今のところはメガバンクや大手ネット証券を使用しており、地方銀行には口座はありませんでした。
そして、ネットバンキングでの送金に関しては、無意識ですが全て下記の様な多要素認証を実施していたと思います。
・銀行の口座番号 or お客様 + 4桁の暗証番号 [情報の要素]
・ワンタイムパスワード [物の要素]
正直なところ、今回のドコモ口座の件を知るまでは、
「ネットバンキングでのワンタイムパスワードは面倒だな。。」
と感じていました。
しかし、銀行の口座番号は買い物をする時などに特に警戒せずに入力してますし、4桁の暗証番号は簡単に解読されてしまう事を今回の件で知りました。
ワンタイムパスワードは、ネットバンキングでは必須ですね。
インターネットが急速に発達した現在、「まだまだ落とし穴はある」という事を認識させられた本件でした。
それでは良い1日をお過ごし下さい。
コメント