fbpx

やさしく解説「ドコモ不正利用事件」の原因や手口からユーザーが学ぶべきこと

「ドコモの不正引き出しを狙うハッカー」のimage
ドコモの不正引き出し事件が注目を浴びています。ドコモや銀行のシステム上の問題点が指摘されていますが、不正引き落としの本当の原因は他にあるようです。ドコモや銀行を責めるだけでなく、ユーザーの側にも対処すべきポイントがあります。
現時点で予想される原因や犯人の手口と、ユーザーが気をつけるべき対策について、やさしく解説します。
/ins>

ユーザーがドコモの不正口座引き落とし事件から学ぶこと

ドコモ不正ログインの概要

ドコモの不正口座を悪用された不正引き落とし事件が注目を浴びています。

9月22日現在172件2776万円もの被害が公表されていますが、「ユーザーが記帳して口座取引を確認しないと不正が判明しない」ため、今後も被害はさらに増大すると見られます。

もっともセブンペイの事件以来、決済関連の損害はすべて会社側が全額負担して補償される前例ができあがっていますので、消費者側からすると安心です。

しかし今回の事件「ドコモが悪い」「銀行のチェックが甘い」と決めつけるだけでは事の本質は解決しません。

ドコモ不正事件の原因は一般的な不正ログインとは大きく異なる。

今回の事件の発生した経緯は、

  • ドコモ口座が銀行口座に比べて、「メールアドレスがあれば簡単に新規口座が開設できる」ため、犯人は多数の不正引き出し用のドコモ口座を作った。
  • ユーザーの銀行口座とドコモの口座番号をひも付ける際のチェックが甘く、不正引き出し用ドコモ口座とユーザーの口座が勝手に連携されて、ユーザー口座からお金が引き出された。

が原因です。

しかしドコモのサイトでは原因についてこう書かれています。

本不正利用は、第三者が銀行口座番号やキャッシュカードの暗証番号等を不正に入手し、ドコモ口座に銀行口座を新規に登録することで発生しておりました。

出展:ドコモからのお知らせ

つまり、犯人は「正しい口座番号と暗証番号」を使って不正に連携した点が気にかかります。

通常の不正ログインでは、犯人は膨大なパスワードのリストを次々に総当たりでログインを試みる「パスワードリスト攻撃」を使います。

しかし今回のような銀行口座間のシステム連携では、すぐに不正に気付かれてしまいますので、何度もログインを繰り返すような乱暴な方法は使えません。

銀行口座間のやりとりでは、「正しい口座番号と暗証番号」が最初からそろっていないログインはできません。
ドコモ側も今回は「大量の攻撃が行われたものではなく、あくまでもピンポイントで連携された」と明かしています。

つまり今回の犯人は、どこかでユーザーをだまして、実在する口座番号と暗証番号を手に入れて犯行に及んでいたのです。

 

原因となった過去のフィッシング事件

本当の原因は地銀を狙った半年前のフィッシング詐欺にある?

まだ本当の原因は発表されていませんが、有力な原因として、2019年末頃から大量に発生していた「地方銀行を装ったフィッシングメール」にあるのではないかと考えられています。

皆様のお手元にも、アマゾンや楽天などをかたったフィッシングメールが頻繁に届いていると思いますが、昨年末からの銀行をかたったものは特に悪質で、

  • 多数の預金者に「システムセキュリティのアップグレード」などしっかりした内容のメールが送信されてくる。
  • 文中のURLをクリックすると、見分けるのが難しい精巧に作られた銀行の偽サイトに誘導される。
  • 偽サイトを信じてしまい、「暗証番号」「口座番号」に加えて、「生年月日」「氏名」「電話番号」といった個人情報を入力して盗まれてしまう。

という典型的なフィッシング詐欺でした。

どうやら犯人はこの時獲得した「口座と暗証番号、氏名、電話番号」を使って、連携のチェックが甘いドコモ口座と地銀間の連携手続に一気に悪用したようです。

ネット上で不正に流通している盗まれた口座情報

フィッシングメール経由でなくとも、さまざまな方法で不正に入手された「銀行口座の情報」はネット上では頻繁に売買されています。

ブラックマーケットではさまざまな悪事に利用できる口座が活発に売買されています。

暗証番号はキャッシュカードの現物がないと何ら機能しないため、ネット上では価値がありません。
そこで犯人達はこのような経路からも安く口座番号と暗証番号を獲得したのかもしれません。

連携時に二段階認証(二要素認証)がない銀行が狙われた

実際に今回の事件で不正が行われた銀行は、「氏名、生年月日、銀行口座番号、暗証番号」の4つが揃っていれば連携が実現する地方銀行が多く、「ワンタイムパスワード」や「本人の電話確認」などの二段階認証(二要素認証)が必要な銀行は含まれていませんでした。

ドコモ口座と連携可能な35銀行のうち、

みずほ銀行・三井住友銀行・スルガ銀行・ソニー銀行・西日本シティ銀行・八十二銀行・肥後銀行・福岡銀行

は今回の事件には巻き込まれていません。
これらの銀行では、連携時にいろいろな方法で二重三重にユーザーに確認がされるからだと思われます。

しかし以下の27行は、その様な確認システムがなく、不正が発生したか、不正の可能性があるため、現在ドコモ口座との連携が停止されています

不正が発覚した銀行
ゆうちょ銀行・イオン銀行・大垣共立銀行・滋賀銀行・七十七銀行・第三銀行・鳥取銀行・みちのく銀行・中国銀行・紀陽銀行・東邦銀行
不正は確認されていないが連携が停止されている銀行
・伊予銀行・池田泉州銀行・愛媛銀行・大分銀行・京都銀行・静岡銀行・・十六銀行・仙台銀行・但馬銀行・千葉銀行・千葉興業銀行・南都銀行・百十四銀行・広島銀行・北洋銀行・琉球銀行

今回の事件の反省を元に、各銀行ともセキュリティの強化をすすめるはずです。

ただユーザーにとっては「簡単に連携できる」利便性を失うことでもあり、「便利さと安全」のバランスが難しいところです。

ドコモ事件から学ぶユーザーができる対策とは

1.フィッシングメールやSMSにだまされない

今後もこのような詐欺事件は多発すると思われます。

ユーザーが巻き込まれないためには、フィッシングメールにだまされて、フィッシングサイトに個人情報を入力しないようにすることです。

まとめると実にシンプルで、、、

  1. メールやSMSの文面が信用できたとしても、通知の文中のURLをクリックして手続はしない。
  2. 面倒でも、検索してサービスの本サイトを訪れ、サイトの情報から通知の真偽を確認して、サイト内で手続を進める。

の原則を守るだけでフィッシングの被害を防ぐことができます。

2.ネット上で暗証番号はいかなる場合も入力しない!

銀行のキャッシュカードの暗証番号は「4桁の数字だけ」といたってシンプルです。

「パスワードは最低でも14文字」と言われている現在どうして4文字で良いのか、不思議ではないですか?

それは「暗証番号は物体であるキャッシュカードがないと使えない」からです。

ところが今回の事件では、キャッシュカードとは無関係の銀行間取引の証明として暗証番号が使われてしまいました。これはドコモや銀行の認識の甘さで、犯人はそこを巧みについて犯行を実行しました。

しかし今後も同様な「システムの甘さを狙う犯行が繰り返される」かもしれません。

「暗証番号はキャッシュカードとセットの時しか使わえない」ものです。
それをネットやメール、電話、郵便、訪問などで尋ねてくるのは「すべて怪しいフィッシング詐欺かオレオレ詐欺」に決まっています。

いかなる場合も暗証番号は人に教えない

を鉄則としてお守り下さい。

 

 

お薦めのセキュリティソフト

セキュリティソフトはコンピューターウイルスやマルウェアの侵入を防御してくれるだけでなく、

  • フィッシングメールに惑わされてフィッシングサイトのURLをクリックした際に警告する。
  • 重要な個人情報の流出や不正送金を食い止める。

といった大切な働きであなたのパソコンやスマホを守ってくれます。

いろいろなセキュリティソフトがありますが、選択に当たっては、下記のように老舗で世界各国で使用されてユーザー数の多いものをお薦めします。

セキュリティソフトはパッケージ版よりダウンロード販売の方が価格も安く、ご自宅の環境に併せて選択できるため便利です。

またご本人のパソコンだけでなく、ご家族のスマートフォン、タブレットもすべてカバーできる製品は、トータルの家中の機器をもれなく一括してセキュリティ管理できるため、特におすすめです。

下記のリンクから、お使いの環境(1台~10台)や使用期間(1年~3年)にあったものをお選び下さい。

 

 

 

まとめ:
セキュリティは基本を大切にしよう

ドコモ不正事件のように一件複雑そうな内容でも、整理すると元は「詐欺メールにだまされて口座と暗証番号を入れてしまった」が原因です。

犯罪は常に人間の隙を突いたシンプルな手法がもっとも多くの被害を生み出します。

被害を防ぐためには、ほとんどのサイバー犯罪の基本にある「隙を作ってだまされない」備えこそが大切です。

どうぞ当ブログをご参考にセキュリティの基本をおさえて下さい。

ブログ内の関連記事(新しいウィンドウで開きます)

この頃「スミッシング=SMSフィッシング詐欺」という言葉が聞かれるようになりました。「dアカウントやセキュリティコードについてログインした方に送信しています」「ドコモからの重要なお知らせ」といったSMSがきた」「うっかりクリックして詐欺[…]

スミッシング(SMSフィッシング詐欺)メールのイメージイラスト
ブログ内の関連記事(新しいウィンドウで開きます)

偽造されたメールの添付ファイルから感染するマルウェアEMOTETが猛威を振るっています。EMOTETに感染すると情報漏えい以外にも多くの脅威にさらされてしまいますが、その特徴や感染の手口を知っていれば、十分に対処することができます。[…]

ブログ内の関連記事(新しいウィンドウで開きます)

TwitterやFacebook、LINEのようなSNSで起きてしまうアカウントの乗っ取り。本人になりすまして、不正メッセージや「ここであなたを見ました」「このビデオいつでしたか」「私が見つけたものを見て」また「となりのトトロの動画」の[…]

アカウントの乗っ取りを防ぐ唯一の方法「二段階認証」のイメージ

 

 

「このブログより役に立って、デジタル終活もできるサービスがあるって?」

Digital Keeperバナーそれは日経新聞やテレビで「独創的でこれから必要」と取り上げられたDigital Keeper®です!
週3回「スマホの安全」「不正ログインを防ぎ方」「OSやアプリのアップデート情報」など、役立つセキュリティ情報が届き、さらに「わかっていてもやってない、スマホやアカウントのデジタル終活」も実現できるオンラインサービスです。

会費は月々わずか167円(年2000円)。1ヶ月無料で試用できます。アフターコロナにそなえ、ぜひご体験下さい。

詳しくはこちら