全8289文字

本人確認やID管理、認証・認可はITエンジニアにとって「基礎科目」である。7payやドコモ口座など、基礎ができていないがゆえに引き起こされたトラブルは少なくない。過去の事件を原因を含めて振り返るとともに、日米の本人確認ガイドラインや身元確認手法などを解説する。進化する「本人確認」技術に追随してこそ安心安全なデジタル化につながる。

 2020年9月に判明したNTTドコモの電子決済サービス「ドコモ口座」の不正送金問題について、このほど日経コンピュータの取材で新事実が明らかになった。

 銀行口座からドコモ口座に送金(チャージ)する際に入力しなければならない情報は幾つかあり、ドコモは攻撃者がどのようにそれらを入手したかを明らかにしていない。情報の1つが銀行口座のキャッシュカードの暗証番号(4桁)で、これまで攻撃者が暗証番号の認証を突破する手法として「ブルートフォース(総当たり)攻撃」の一種だと推測されていた。

 これに対し、ドコモ口座問題に詳しいある金融関係者は「ブルートフォース攻撃はなかった」と明かす。暗証番号の入力エラーの履歴は多くなかったというのがその理由だ。

 実際、犯行に使われた顧客の暗証番号が携帯電話代理店から漏れていた可能性が指摘されている。ソフトバンクは2021年3月4日、同社を含む複数事業者の携帯電話代理店業務をしていた人物が、ソフトバンク契約者の銀行口座情報や、携帯の設定変更用暗証番号など6347件の個人情報を不正に持ち出していたことを明らかにした。

図 ドコモ口座の不正利用の流れ
図 ドコモ口座の不正利用の流れ
4桁の暗証番号の入手方法の解明が進む(出所:NTTドコモの資料を基に日経コンピュータ作成)
[画像のクリックで拡大表示]

 警視庁がこの人物を電子計算機使用詐欺などの容疑で逮捕した。報道によれば、この情報がドコモ口座不正の容疑者に渡ってなりすましに使われ、携帯電話の設定変更用暗証番号と銀行口座の暗証番号が同一だった顧客などが被害に遭った恐れがあるという。

 ただ攻撃手法にとらわれていては問題の本質を見誤る。ドコモ口座問題が生じた大きな要因は、サービス提供形態を大幅に変更したにもかかわらず、身元確認といった認証レベルを見直さなかった点にある。

 ドコモ口座問題はオンラインでサービスを展開する企業にとって、当人認証の在り方を見直す契機になる。なおドコモは2021年1月29日、ドコモ口座についてセキュリティーを強化して銀行口座の新規登録と銀行口座からのチャージを再開すると発表している。