全3617文字

 NTTドコモが運用する電子決済サービス「ドコモ口座」の不正引き出しが、世間を騒がせる大きな問題に発展している。SNS(交流サイト)上の評価では、「日本のITリテラシー」を心配する声が多い。外部から高度な攻撃を受けたわけではなく、NTTドコモと銀行との連携時に発生した本人認証の強度不足というミスを突かれた、非常に初歩的な問題だからだ。

ドコモ口座の紹介ページ
ドコモ口座の紹介ページ
(NTTドコモのWebサイト画面のキャプチャー)
[画像のクリックで拡大表示]

 実はこの本人認証の強度不足は、2019年に発生したスマートフォン決済サービス「7pay」の不正アクセスと同様の問題だ。ご存じの通り、セブン&アイ・ホールディングス傘下のセブン・ペイが手掛けたサービスである(同年7月にサービスを開始して同年9月30日に廃止)。にもかかわらず、短期間のうちに、またも同じような問題が日本で発生してしまったことが大変残念だ。注意すべきは、発覚していないだけで他にも同じ問題を抱えているシステムがあり得るということである。

謝罪に追い込まれたセブン・ペイの社長(中央)
謝罪に追い込まれたセブン・ペイの社長(中央)
2019年7月4日に開いた記者会見で謝罪した。(写真:日経クロステック)
[画像のクリックで拡大表示]

なぜ金融システムの不備が続くのか

 筆者の経験では、本来金融システムというのは最も品質管理が厳しいシステムだ。何人もの技術者が念入りにソースコードを確認し、相当な時間をかけてテストを行うことが常識となっていた。

 ところが、金融業界にも激しい変化の波が訪れ、新サービスを次々とリリースしなければならない状況になってきた。加えて、新規のインターネットバンクが参入し、案件が急増すると同時に少子高齢化で人材が不足するという最悪の事態に陥っている。そのため、1990年代とは違って金融システムの品質が落ちている可能性は高く、実際さまざまな問題が発生している。そう考えると、今大丈夫だと思っている金融システムも実はそうではないかもしれない。この機会に金融システムの品質管理を見直すべきだろう。

 また、時代の流れに伴って求められる知識やスキルも変化してきている。そもそも金融システムは、安全上の観点から専用線によって閉じたネットワークで通信を行うものだった。金融システムはある意味特殊な世界にあったと言える。

 ところが、現在においてはインターネット経由の取引や、他社や他行のインターネットサービスとの連係が求められている。つまり、独立したシステムから、外部と連携するシステムへの変化が起こったのだ。その結果、これまでにはなかった、オープンネットワークにおける外部からの攻撃も考慮しなければならなくなった。

 こうした歴史的経緯から、金融関連の開発会社にはオープンネットワークに関する危険性を察知する能力があまりない可能性があり、このような事態に陥っているのかもしれない。ATMで1万人の暗証番号を試すことはほぼ不可能だが、インターネットからの認証であれば、短時間で実行が可能だ。だからこそ、今回のドコモ口座の不正問題が発生したのである。

 そう考えると、金融業界は今回もNTTドコモの個別事例とみなすのではなく、業界全体で品質管理とセキュリティー対策ポリシーの見直しに取り組み、日本におけるインターネットを活用した取引や電子マネーに対する信頼を取り戻さなければならない。金融庁も、各金融システムに問題ないかどうかを再点検するように監督していく必要がある。

7payのサービス廃止を伝えるページ
7payのサービス廃止を伝えるページ
(セブン・ペイのWebサイト画面のキャプチャー)
[画像のクリックで拡大表示]

狙われる日本のシステムと経営者の低いITリテラシー

 だが、この問題は金融のシステムにとどまらない。今やインターネットにつながっていないシステムなどないに等しい。あらゆるインフラや情報が、外部からの不正アクセスにさらされる可能性がある。

 そうした中で、日本のシステムは今や世界から「狙い目」だとみなされていると思ってよいだろう。攻撃者の目線で見た場合、優先的に狙うのは「容易に突破可能なところ」であり「報酬が大きいところ」だ。日本のシステムがそう捉えられるのは残念でならない。今後も、少しでも隙を見せると相当な資金が奪われて反社会組織に流出したり、日本のさまざまな機能が停止したりすることも考えられる。いや、実は気付いていないだけで、もうシステムに侵入されているかもしれない。

 こうした事態を招く原因は、なんといっても日本社会全体におけるITリテラシー不足にある。中でも、会社経営者のITリテラシーの低さである。昔からこういった問題が発生する度に指摘されてきた。経営者のITリテラシー不足が、技術者軽視をもたらし、他人任せを招いてきた。

 技術者自身の能力の課題ももちろんある。だが、それ以上に大きいのが、経営者自身の問題だ。こうした問題が起きる根本の原因は、筆者の経験上から経営者のITリテラシーが低いが故の予算不足や人員不足、開発期間の不足、教育不足にあることが多い。事実、人員不足のために実務経験がほとんどないプログラマーを派遣業者から雇って実践投入しているケースがある。システム開発を発注している企業も、そうした“無免許運転”に近い人間がシステム開発の中枢に携わっていることに気付いていない。とても笑えない。

 こうした状態を放置する限り、7payやドコモ口座のような問題が日本で起こり続けるだろう。いや、増えていく可能性がある。この問題の最終的な責任は社長にある。会社経営に携わる人間はそのことをよく理解し、技術者への待遇改善や教育の予算確保、体制の充実、無理のないプロジェクト運営のための管理・監督強化などを今すぐ行わなければならない。もう一度言うが、既に攻撃を受けているかもしれないし、侵入されているかもしれないのだ。もはや一刻の猶予も許されない。