全2694文字
PR

 日経クロステックでも既に幾つか記事が出ているが、NTTドコモが運用する電子決済サービス「ドコモ口座」において見知らぬ第三者が勝手に出金してしまうという被害が相次いでいる。

 そもそもの原因は、提携する地方銀行の口座から、バーチャルウォレットであるドコモ口座へ送金する仕組みにある。今回の場合、銀行口座とドコモ口座をひも付けるための本人認証確認に関しては、提携する各地方銀行に任されている。そのため今回の事件では、提携する全ての銀行において被害が確認されているわけではない。

電子決済サービス「ドコモ口座」の紹介ページ
電子決済サービス「ドコモ口座」の紹介ページ
(NTTドコモのWebサイト画面のキャプチャー)
[画像のクリックで拡大表示]

 被害が確認された銀行には、例えば、口座番号や口座暗証番号、名前、電話番号などの情報で本人確認が行われたケースがある。口座番号や電話番号は普段から決して秘密の情報として扱われているものではない。例えば、どこかの会員登録する際などに書類に記載するものだ。よって、今回暗証番号以外の情報に関しては、攻撃利用のためにダークウェブなどで売買されている可能性があり、犯人は何らかの方法でリストとして既に手に入れていたと考えられる。

 当然、そのことは想定すべきだが、最後には暗証番号を入力する必要があるため、大丈夫だろうと考えていた銀行があったのだろう。しかし、口座の暗証番号は4桁の数値であるためにセキュリティーの強度が不十分なのだ。

銀行の暗証番号と二要素認証

 繰り返すが、数字4桁の暗証番号は決してセキュリティー強度が高いとはいえない。ただ実際に銀行やATMでは、暗証番号の他に印鑑やキャッシュカードが必要になるため、第三者が暗証番号を知っても不正に引き出すことはできない。

 実は昔から当たり前に行われているこの確認方法は、多要素認証(二要素認証ともいう)だ。多要素認証とは、以下の3つの確認要素のうち2つ以上を利用する認証のことである。
[1]暗証番号、名前、口座番号など正規の利用者なら知っている情報の要素
[2]認証カードやワンタイムパスワード生成器などの正規の利用者が所持している物の要素
[3]指紋認証、網膜認証など、正規の利用者の身体的特徴の要素

 「パスワードのみ」など1つの要素で認証する場合に比べて、多要素認証は格段にセキュリティー強度が上がることは、今やセキュリティーの世界では常識である。

 ATMで資金を引き出す場合、暗証番号は情報の要素であり、キャッシュカードは所持している物の要素になる。よって、多要素認証に該当するため、暗証番号だけで引き出すことが不可能なのだ。

 ところが、今回の事件で被害が確認されている銀行との連携においては、暗証番号が情報の要素であり、それに追加して入力を求めた名前や電話番号も情報の要素である。そのため、認証としては1つの要素で認証を行う単要素認証に該当し、非常に弱い仕組みだったといえる。

 銀行口座は暗証番号で守られているという認識が設計時にはあったのかもしない。だが、バーチャルウォレットというインターネットで完結する世界になった途端に、その神話は崩れ去る。本来当たり前に行っていた「物の要素」による本人認証がなくなっていることに気づくべきである。

ドコモ口座の預金不正引き出しの仕組み
ドコモ口座の預金不正引き出しの仕組み
(出所:日経クロステック)
[画像のクリックで拡大表示]