全1908文字
PR

 「ドコモ口座」の不正出金が明るみに出てから1カ月半が経過した。運営するNTTドコモは連日被害状況を更新し、2020年10月16日の発表時点で被害総額は2850万円に上る。補償も始まっており、被害件数127件のうち124件への補償は完了したとする。

 補償が終わればドコモ口座事件はいったん収束し、今後同社がどのような対策をサービスに取り入れるかに注目が集まるだろう。ただ犯人がどのような方法で実行したか、依然として不正出金の詳細は不明だ。

 NTTドコモは、銀行の口座からドコモ口座への送金に必要だった情報は「名前」と「生年月日」「口座番号」「キャッシュカードの暗証番号」であり、犯人はこれらを不正に入手していたとした。この入手方法を明らかにしていないのだ。

 犯人はこれらの情報をどのように入手したのか。セキュリティーベンダーや専門家はこの入手方法について様々な見解を出している。1つひとつ見ていこう。

名前と生年月日は流出データから

 最初の2つの情報である「名前」と「生年月日」はドコモ口座と関係のない別のWebサービスから流出したものと推測する声がある。

 セキュリティーが脆弱なWebサービスは数多く存在する。そうしたWebサービスの脆弱性を悪用し、ログインに使うIDとパスワードが窃取される事件が相次いでいる。

 流出したIDとパスワードは別のサービスへの不正ログインの攻撃に利用される。複数のサービスで同じIDとパスワードを使い回す利用者が少なからずいるため、その場合この攻撃は成功してしまう。

 ダークウェブと呼ばれる特殊なソフトを使ってアクセスするネットワークでは、複数のサービスから流出したIDとパスワード、名前、生年月日、メールアドレス、住所などの組み合わせが取引されている。犯人はこうした情報を入手した可能性がある。