ドコモ口座の不正利用から見える問題

金融機関のオンライン取引に対する信用性を根底から覆すことになった 地銀 , ゆうちょ銀行 の ドコモ口座による 預金の不正 引出し問題。
スマホを持っていなくても 被害者になり得るため、7Pay や Paypay のように 暗証番号を総当りで攻撃する(ブルートフォース)が防止できていなかったという次元の話ではない。

「ドコモ口座」不正預金引き出し事件、ドコモが謝罪 被害額1800万円の全額補償 

ドコモ口座は 開設時に 銀行口座の登録 で本人認証が完了するため、口座情報と4桁の暗証番号があれば 第三者が パソコンから メールアドレス のみで ドコモ口座を開設でき、開設したドコモ口座へ 銀行の口座から 預金を引き出すことが可能になる。

ドコモ口座に続きPayPayでも17件、ゆうちょ銀連携の6決済サービスで不正利用

ゆうちょ銀のVISAデビット「mijica」で不正送金 332万円

更にドコモ口座の不正 引き出しに端を発して 他のキャッシュレス決済 や デビットカードでも不正送金 が発覚した。

[重要] ゆうちょ銀行、三井住友銀行の口座をご利用のお客様へのご案内

不正利用は PayPal でも発生していたようで ゆうちょ銀行 と 三井住友銀行 への 支払い や 新規口座振替 設定が一時停止されている。

本人認証が 口座登録 で完了する ドコモ口座 の セキュリティも、本人認証なしに ドコモ口座 と連携する 銀行のセキュリティも穴だらけで 槍玉に上がっているが、何よりも厄介なのは 不正利用 は 被害にあったユーザーが報告しなければ発覚せず、当初は報告しても信用して貰えなかったという実態がある。

「ドコモ口座」の被害者「信じてもらえず憤り」補償求める

口座不正「隠蔽しようとした」 ドコモに被害者憤り

銀行口座の登録が本人認証になっている以上、登録されている口座への送金は本人しかできないことが前提のシステムのため、銀行もドコモも 送金が正常なのか不正なのか判断できない。

被害報告を受けても 被害者の自作自演の可能性が払拭できず、ドコモや銀行の対応が後手後手になって被害が拡大したところは言い逃れでききないものの、セキュリティが甘いのはユーザー側のリテラシーの低さにも関係している。

先日実施された 新型コロナの 特別定額給付金 の時にも話題になっていたが、マイナンバーカードを使用したオンライン申請が面倒だとか、手続きの仕方が分からないというクレームが相次ぎ、挙げ句 申請に不備があって調査に時間を取られるといった本末転倒な事態に陥ったように、本人確認やセキュリティの重要性を無視してプロセスの煩雑さを批判する人や プロセスそのものを理解できていない人が一定数存在する。

高齢の預金者を多く抱える 地銀 や 信用金庫などが、コスト削減のために オンライン化を進めるためには、誰でも簡単に使えるよう ユーザビリティを優先させる必要があり、セキュリティが後回しになりやすい。
ドコモなどの企業にとっても営利目的でサービスを展開する以上、いかに優れたシステムセキュリティを誇っていても 利用されなければ 絵に描いた餅に等しく、「優れたセキュリティ」よりも「登録が簡単」な方がユーザーは確実に増える。

よく日本は IT後進国 と揶揄されるが、大臣や企業トップの ITリテラシーが低いことが問題なのではなく、脆弱性のあるセキュリティシステムにしなければ 拾えないユーザー、いわゆる IT難民が多いことが最大の問題。

SBI証券、顧客資産9864万円が流出–不正開設された偽の銀行口座へ出金、全額補償へ

キャッシュレスサービスの不正送金が話題になっている中、SBI 証券で「ユーザーネーム」「ログインパスワード」「取引パスワード」が第三者に取得され、登録している銀行口座が変更され 出金されていることが確認された。
SBI 証券は 不正アクセスはなかったと発表している。

ドコモ口座 を はじめ不正利用が確認された キャッシュレスサービス や ゆうちょ銀行のデビットカードの送金 は「リバースブルートフォース」や「パスワードスプレー」など総当りの攻撃で口座情報が取得された可能性もあるが、SBI 証券の場合も含めて 考えられるのは フィッシング詐欺 や バックドアなど 被害者本人からの情報漏えい。

最近の スマホは個人情報の塊のようなもので、便利に使えば使うほど セキュリティリスクが高くなる反面、便利に使うことだけが先行してセキュリティが蔑ろにされている傾向がある。
よく「盗まれて困る情報はない」などと耳にするが、スマホにバックドアが仕組まれているアプリをインストールすれば、ユーザーが起動したアプリも 何を入力したかも 悪意ある第三者に筒抜けになる。
スマホにバックドアがなくても Wi-Fi のフリースポットでは 情報が傍受される可能性があり、フィッシング詐欺などで 迂闊に入力するのは言わずもがな。

不正利用の際に使用された情報が ユーザー側から漏洩した可能性を指摘すると、いまの御時世では責任転嫁だの無責任だのと雨あられのような批判を受けることになるので 企業側から発表されることはないと思うが、完全なセキュリティは存在せず、企業が構築するセキュリティシステムは ユーザーのセキュリティリテラシーによって補完されることを 周知することが重要なのかもしれない。

Topics
Introduction to
タイトルとURLをコピーしました