seegeのまとめサイト

もっと早く教えてくれよって思った内容を書いていきたいと思います。

トップ > ニュースより > ドコモ口座はセブンペイ問題から何も学んでいない

ドコモ口座はセブンペイ問題から何も学んでいない

ニュースより

ドコモ口座の不正利用

ドコモ口座を利用していないのに、預金口座から引き出される被害が相次いでいるということです。

NTTドコモの電子決済サービス「ドコモ口座」を使った預金の不正引き出しが相次いだ問題で、ドコモ口座を利用していない人が被害に遭っていることがわかった。銀行口座の暗証番号などが盗まれると、被害を防ぐのは難しい状態だった。各行は「身に覚えのない取引があれば連絡を」と呼びかけており、対象行の顧客は注意が必要だ。

 ドコモ口座はスマホ決済や送金のためのサービス。利用者がドコモ口座を開設し、自分の銀行口座と連携すれば、お金を銀行からドコモ口座に入金(チャージ)し、スマホ決済「d払い」で買い物をしたり送金したりできる。

www.asahi.com

WEBでの銀行口座振替手続きがゆるくなった

銀行口座からの引き落としと言えば、書類が送られてきて、口座情報を記載し、銀行の届出印を捺印して確認が取れれば手続き完了というのが、これまでの方法でした。

しかし、最近は、クレジットカードが不要なキャッシュレス決済サービスが増えている関係で、銀行口座から引き落とすことになります。

このため、従来の用紙を送って捺印という方式だと直ぐに利用できないということで、新たに、書類・印鑑が不要なインターネット上で、口座番号、氏名、暗証番号を入力することで手続きができてしまう、Web口振受付サービス(以下、Web口振と記述)が利用可能な銀行が増えています。

ドコモ口座の登録方法は危険

今回の、ドコモ口座の不正利用は、この仕組みを利用したものだと思われます。

f:id:seege:20200910051917p:plain

更にドコモ口座は、本人確認も不要のため、不正に入手した口座情報、氏名、暗証番号があれば、登録できてしまいます。

つまり、手続きを簡略化したことによるルール上の脆弱性を狙った犯罪だと言えます。

これまでのように、口座振替ではなく、クレジットカードでの支払いであれば、クレジットカード番号以外にもセキュリティコードが必要だったり、更にユーザー認証が必要だったりする場合もあるので、完全とはいえませんが不正利用がしにくい仕組みになっています。

銀行のキャッシュカードというのは、今でも数字4桁の暗証番号の場合が多く、口座振替というのはインターネット時代には合わないものになっています。

ドコモ口座は、これまでの確認手続きを省略してしまった上に、本人確認を行わずに登録できてしまうので、今回のような不正が起きるのは当然です。

ドコモ口座のおかげで不正取得した銀行口座情報が利用できてしまった。

そして、もう一つ、気になっているのが、2020年9月に入って、マルウェア「emotet」に感染させるメールが多くなっているそうです。

「emotet」自身はメールアドレスを取得するのが目的のマルウェアです。

取引先・知人のメールアドレスを使ってメールを送信してくるので、つい本文に記載されているURLをクリックしたり、添付ファイルを開いたりして感染してしまい、メールアドレスといった個人情報が悪意のある人に取得されてしまうものです。

取得したメールアドレスは更に悪意のある人に売却されて、そのメールアドレスを使って銀行口座情報を取得するサイトに誘導するメールを送ることで、Web口振受付サービスで必要な情報を取得しているはずです。

これまでに不正に取得した口座情報を持っていたという場合もあるでしょう。

これまで、口座情報を不正に入手したとしても、本人確認の仕組みや銀行の届出印といった防火壁が犯罪から守ってくれていたので、悪用することは難しかったはずです。

しかし、今回のドコモ口座は、手続きの簡略化を優先してしまったため、本人確認・銀行の届出印が不要ということで、防火壁を取り除いてくれたわけです。

これを知った、不正口座の持ち主は、大喜びだったでしょう。

今回、急激に増えたのは、ドコモ口座の手続き簡略を優先してしまったことによるものです。

Web口振サービスを利用している電子決済は他にもありますが、本人確認の防火壁が残っているため、かろうじて守られている状態だと言えます。

仕組みを審査する必要がある

2019年7月から開始したセブンイレブンのセブンペイでも不正アクセスが多発して、サービス自体が廃止となりました。

この時も今回と同じでシステムに脆弱性は見つからないという回答がセブン&アイ ホールディングスからありました。

セブンペイは不正に入手したユーザーIDとパスワードを使ってログインできてしまう仕組みで、二段階認証の仕組みは取り入れていませんでした。

通常は、異なる端末からログインされた場合には、本人確認を行う二段階認証が当たり前になっていますが、セブンペイも簡略化を優先してしまい、本人確認を行う二段階認証ではなかったので、不正利用が多発してしまいました。

これもドコモ口座と同じでルールの不備を利用したものです。

二段階認証を取り入れていないにも関わらずシステムに脆弱性が見つからないというのは、えっ?という感じでした。

二段階認証が組み込まれていて脆弱性が見つかった場合は、仕様に組み込まれていたのですから安全面が考慮されていることになります。しかし二段階認証が、そもそも組み込まれていないというのは仕様にさえ組み込まれていないので安全面が考慮されていないことになります。

セブンペイは安全面が考慮されていない仕組みであったにも関わらずサービスが開始され、当然のように不正アクセスを受け、不正利用されたのです。

ドコモ口座の仕組みを考えた人たちはセブンペイのことを学習していなかったのでしょうか?

そうなるとキャッシュレスサービスの仕組みを審査する機関を作らざる得なくなります。

今ではスーパーマーケットでもポイントカードではなく電子マネーが使えるものを発行している時代です。

簡単にキャッシュレス決済の仕組みを作るのは良いのですが、セブンペイ、ドコモ口座のように利便性を重視するあまり安全面を考慮しないサービスが増えてしまうのは凄く危険です。

サービスを開始する前、開始後共に仕組み、運用面といったことを、しっかり審査する機関が必要だと思います。

そして利用する側も、安全面が考慮されていないサービスは利用しないということも必要です。

ドコモ口座の仕組みを今回調べて、あまりにも安全面が考慮されていないことに驚きました。

これでは他にも脆弱性が沢山ありそうです。それでもサービスを継続する姿勢にも疑問を感じます。これでは、ドコモ口座に不正アクセスを試みたり悪用を考える人が更に増えるはずです。ドコモ口座がサービスを停止しないのであれば解約する以外に被害に合わない方法はありません。

ドコモ口座は、セブンペイと同じようにサービスを停止するしかないと思います。