やさしく解説「ドコモ不正利用事件」の原因や手口からユーザーが学ぶべきこと

「ドコモの不正引き出しを狙うハッカー」のimage
ドコモの不正利用事件が注目を浴びています。ドコモや銀行のシステム上の問題点が指摘されていますが、不正に引き落としされた本当の原因は他にあるようです。ドコモや銀行を責めるだけでなく、ユーザーの側にも対処すべきポイントがあります。
現時点で予想される原因や犯人の手口と、ユーザーが気をつけるべき対策について、やさしく解説します。
/ins>

ユーザーがドコモの不正利用事件から学ぶこと

ドコモ不正利用事件の概要

ドコモの不正口座を悪用された不正引き落とし事件が注目を浴びています。

9月22日現在172件2776万円もの被害が公表されていますが、「ユーザーが記帳して口座取引を確認しないと不正が判明しない」ため、今後も被害はさらに増大すると見られます。

もっともセブンペイの事件以来、決済関連の損害はすべて会社側が全額負担して補償される前例ができあがっていますので、消費者側からすると安心です。

しかし今回の事件「ドコモが悪い」「銀行のチェックが甘い」と決めつけるだけでは事の本質は解決しません。

ドコモ不正利用事件の原因は一般的な不正ログインとは大きく異なる。

今回の事件の発生した経緯は、

  • ドコモ口座が銀行口座に比べて、「メールアドレスがあれば簡単に新規口座が開設できる」ため、犯人は多数の不正引き出し用のドコモ口座を作った。
  • ユーザーの銀行口座とドコモの口座番号をひも付ける際のチェックが甘く、不正引き出し用ドコモ口座とユーザーの口座が勝手に連携されて、ユーザー口座からお金が引き出された。

が原因です。

しかしドコモのサイトでは原因についてこう書かれています。

本不正利用は、第三者が銀行口座番号やキャッシュカードの暗証番号等を不正に入手し、ドコモ口座に銀行口座を新規に登録することで発生しておりました。

出展:ドコモからのお知らせ

犯人は「正しい口座番号と暗証番号」を使って不正に連携した点が気にかかります。

つまり今回の犯人は、どこかでユーザーをだまして、実在する口座番号と暗証番号を手に入れて犯行に及んでいたのです。

ドコモ事件の直接の原因は銀行口座連携の仕組みの甘さにあった

通常の不正ログインでは、犯人は膨大なパスワードのリストを次々に総当たりでログインを試みる「パスワードリスト攻撃」を使います。

しかし今回のような銀行口座間のシステム連携では、すぐに不正に気付かれてしまいますので、何度もログインを繰り返すような乱暴な方法は使えません。
ドコモも今回は「大量の攻撃が行われたものではなく、あくまでもピンポイントで連携された」と明かしています。

つまり犯行の成功には「正しい口座番号と暗証番号」が絶対に必要です。

さらにセキュリティを強化している銀行では、ドコモと銀行をつなぐ銀行口座をつなぐ際には「正しい口座番号と暗証番号」に加えて、ユーザー自身に「連携して良いかたずねる」などの複数の方法(多要素認証)で確認する手法を取り入れていました。

すべての銀行がこうしておけば、今回の事件は起こりませんでした

しかし被害にあった地方銀行では「正しい口座番号と暗証番号だけがあればOK」としてしまったことが犯人につけ込まれる原因になりました。

金融庁からも「被害は対策が甘い金融機関で起きた」と発表

金融庁が2020年12月25日に公表した報告資料によると

  • 銀行口座と連携する決済サービスを行っている117の金融機関のうち 44 金融機関(38%)で不正出金が発生。
  • そのうち89%のケースでは、一要素認証により口座連携をしていた。

出典:金融庁「銀行口座と決済サービスの連携に係る認証方法及び決済サービスを通じた不正出金に係る調査の調査結果について

つまり、「被害にあった銀行の9割は、口座番号に暗証番号だけ(一要素)で連携していた」ことが明白になったわけです。
※この点の詳細は後でご説明します。

以上の説明からは「悪いのは金融機関側か」と思ってしまいます。
しかし忘れてはならないのは、犯人が「正しい口座番号と暗証番号」を入手しなければ事件は起こらなかったこと。

ここをなんとかしなければ事件はなくなりません。

どうして「正しい口座番号と暗証番号が犯罪者に漏れてしまったのか?」引き続きご説明します。

 

ほんとうの原因となった過去のフィッシング事件

本当の原因は「地銀を狙った半年前のフィッシング詐欺」にある?

まだ本当の原因は発表されていませんが、有力な原因として、2019年末頃から大量に発生していた「地方銀行を装ったフィッシングメール」にあるのではないかと考えられています。

皆様のお手元にも、アマゾンや楽天などをかたったフィッシングメールが頻繁に届いていると思いますが、昨年末からの銀行をかたったものは特に悪質で、

  • 多数の預金者に「システムセキュリティのアップグレード」などしっかりした内容のメールが送信されてくる。
  • 文中のURLをクリックすると、見分けるのが難しい精巧に作られた銀行の偽サイトに誘導される。
  • 偽サイトを信じてしまい、「暗証番号」「口座番号」に加えて、「生年月日」「氏名」「電話番号」といった個人情報を入力して盗まれてしまう。

という典型的なフィッシング詐欺でした。

どうやら犯人はこの時獲得した「口座と暗証番号、氏名、電話番号」を使って、「連携のチェックが甘いドコモ口座と地方銀行間の口座連携手続」に一気に悪用したようです。

ネット上で不正に流通している盗まれた口座情報

フィッシングメール経由でなくとも、さまざまな方法で不正に入手された「銀行口座の情報」はネット上では頻繁に売買されています。

不正に入手されたユーザーの氏名、住所、生年月日、口座、暗証番号、パスワードなどをセットにしてリスト化した情報は「Fullz」(フルズ)と呼ばれて、ブラックマーケットで盛んに流通しています。

ハッカー達はパスワードリスト(Fullz)の更新は「自分のテクニックを誇示すると共に大きな収益を生む源泉なので」リストの精度は日々向上させています。

暗証番号はキャッシュカードの現物がないと何ら機能しないため、ネット上では価値がありません。

そこで犯人達は使い道のない「口座番号と暗証番号」を安く入手し、今回の犯罪に利用したものと思われます。

連携時に多要素認証がない銀行が狙われた

実際に今回の事件で不正が行われた銀行は、「氏名、生年月日、銀行口座番号、暗証番号」の4つが揃っていれば連携が実現する地方銀行が多く、「ワンタイムパスワード」や「本人の電話確認」などの多要素認証(二段階認証)が必要な銀行は含まれていませんでした。

ドコモ口座と連携可能な35銀行のうち、

みずほ銀行・三井住友銀行・スルガ銀行・ソニー銀行・西日本シティ銀行・八十二銀行・肥後銀行・福岡銀行

は、今回の事件には巻き込まれていません。

これらの銀行では、連携時に「ユーザーに問い合わせる」などの方法で二重三重にユーザーに確認(多要素認証)がされたからです。

しかし以下の27行は、その様な確認システムがなく(一要素認証)、不正が発生したか、不正の可能性があるため、現在ドコモ口座との連携が停止されています

■不正が発覚した銀行
ゆうちょ銀行・イオン銀行・大垣共立銀行・滋賀銀行・七十七銀行・第三銀行・鳥取銀行・みちのく銀行・中国銀行・紀陽銀行・東邦銀行
■不正は確認されていないが連携が停止されている銀行
・伊予銀行・池田泉州銀行・愛媛銀行・大分銀行・京都銀行・静岡銀行・・十六銀行・仙台銀行・但馬銀行・千葉銀行・千葉興業銀行・南都銀行・百十四銀行・広島銀行・北洋銀行・琉球銀行

今回の事件の反省を元に、各銀行ともセキュリティの強化をすすめるはずです。

ただユーザーにとっては「簡単に連携できる」「いちいち問合せが来て面倒」など利便性を失うことでもあり、「便利さと安全」のバランスが難しいところです。

ドコモ不正利用事件から学ぶユーザーができる対策とは

1.フィッシングメールやSMSにだまされて個人情報を盗まれない

今後もこのような詐欺事件は多発すると思われます。

ユーザーが巻き込まれないためには、フィッシングメールにだまされて、フィッシングサイトに個人情報を入力しないようにすることです。

まとめると実にシンプルで、、、

  1. メールやSMSの文面が信用できたとしても、通知の文中のURLをクリックして手続はしない。
  2. 面倒でも、検索してサービスの本サイトを訪れ、サイトの情報から通知の真偽を確認して、サイト内で手続を進める。

の原則を守るだけでフィッシングの被害を防ぐことができます。

ブログ内の関連記事(新しいウィンドウで開きます)

SMS(ショートメッセージ)を悪用する「スミッシング詐欺=SMSフィッシング詐欺」の被害が再び広がっています。日本郵便、Amazon、楽天の宅配の不在通知から、銀行の通知をよそおうものまで、フィッシングメール以上に被害が広がっています。[…]

スミッシング(SMSフィッシング詐欺)メールのイメージイラスト

2.ネット上で暗証番号はいかなる場合も入力しない!

銀行のキャッシュカードの暗証番号は「4桁の数字だけ」といたってシンプルです。

「パスワードは最低でも14文字」と言われている現在どうして4文字で良いのか、不思議ではないですか?

それは「暗証番号は物体であるキャッシュカードがないと使えない」からです。

ところが今回の事件では、キャッシュカードとは無関係の銀行間取引の証明として暗証番号が使われてしまいました。これはドコモや銀行の認識の甘さで、犯人はそこを巧みについて犯行を実行しました。

しかし今後も同様な「システムの甘さを狙う犯行が繰り返される」かもしれません。

「暗証番号はキャッシュカードとセットの時しか使わえない」ものです。
それをネットやメール、電話、郵便、訪問などで尋ねてくるのは「すべて怪しいフィッシング詐欺かオレオレ詐欺」に決まっています。

いかなる場合も暗証番号は人に教えない

を鉄則としてお守りください。

3.事件に便乗した詐欺にも注意する。

この事件の後

「お客様の銀行口座に不正なアクセスがありました」

「お客様の口座から送金が確認されました」

などと称し、確認のためとして口座番号や暗証番号を聞き出そうとする「便乗詐欺」が発生しました。

いかなる理由であろうとも、口座番号や暗証番号をネット上に入力したり他人に知らせることは止めましょう。

4.オンラインサービスに信頼と実績のある金融機関、決済サービスを使う

当たり前の事ですが、金融機関や決済サービスは、信頼でき実績が豊富なサービスを使いましょう。

新サービスは大規模なキャンペーンで目を引きますが、過去しばしばシステムの見落としで大きな事故を起こしています。

大切な資産を預けるサービスこそ「特典ではなく、信頼性」で選択しましょう

ブログ内の関連記事(新しいウィンドウで開きます)

セブンペイの事件の後もセキュリティに関わる事故の報道は後を絶ちません。ネット上でも「見に覚えのない通知メールが来る」とか「不正アクセスされて不正決済をされて損害を受けた」といった悲痛な声が多数上がってきています。どうしたらこのようなトラ[…]

不正アクセスを試みるハッカーのイメージ

まとめ:
セキュリティは基本を大切にしよう

ドコモ不正利用事件のように一件複雑そうな内容でも、整理すると元は「詐欺メールにだまされて口座と暗証番号を入れてしまった」が原因です。

犯罪は常に人間の隙を突いたシンプルな手法がもっとも多くの被害を生み出します。

被害を防ぐためには、ほとんどのサイバー犯罪の基本にある「隙を作ってだまされない」備えこそが大切です。

どうぞ当ブログをご参考にセキュリティの基本をおさえてください。

ブログ内の関連記事(新しいウィンドウで開きます)

SMS(ショートメッセージ)を悪用する「スミッシング詐欺=SMSフィッシング詐欺」の被害が再び広がっています。日本郵便、Amazon、楽天の宅配の不在通知から、銀行の通知をよそおうものまで、フィッシングメール以上に被害が広がっています。[…]

スミッシング(SMSフィッシング詐欺)メールのイメージイラスト
ブログ内の関連記事(新しいウィンドウで開きます)

偽造されたメールの添付ファイルから感染するマルウェアEMOTET(エモテット)が猛威を振るっています。検査をすり抜けるZIPで暗号化されたものも増えました。2021年1月27日に欧州刑事警察機構の捜査によりEMOTETをコントロールしていた[…]

ブログ内の関連記事(新しいウィンドウで開きます)

TwitterやFacebook、LINEのようなSNSで起きてしまう「SNSアカウントのなりすまし」。本人になりすまして、不正メッセージや「ここであなたを見ました」「このビデオいつでしたか」「私が見つけたものを見て」「あなただと思いま[…]

アカウントの乗っ取りを防ぐ唯一の方法「二段階認証」のイメージ

 

 

Digital Keeperお薦めのセキュリティソフト

やはりセキュリティ対策ソフトは必要です

現在のデジタル機器はセキュリティが強化され、昔のようにウイルスは簡単に感染しません。
そこで攻撃方法はユーザーをだます「フィッシング」によって、不正プログラムをインストールさせたり、偽サイトに誘導し個人情報を盗み取る手法に移行しています。

Windows10のセキュリティ機能(Windows Defender)は、ウイルスの侵入は防ぎますが、フィッシング対策はありません。

セキュリティ専門ソフトは、より強力な防御力と以下のような追加機能で、あなたとご家族の危険を確実に減らしてくれます。

  • フィッシングサイト等、ネット上の危険なコンテンツへのアクセスを止める。
  • フィッシングメールにだまされてURLをクリックしても「警告」して止める。
  • 感染しても重要な個人情報の流出や不正送金を食い止める。
  • ネット上にあなたの個人情報が流出していないか調査する。
  • お子様のネットの利用時間や不健全なサイト利用を制限する。
  • 紛失したスマホを探したり、データを削除する。
  • 外出時に使う公衆wifiをVPNを使って安全に使用する。

※iPhoneは強固な構造のためセキュリティアプリは不要とされています。Androidスマホにはセキュリティアプリは絶対に必要です。

セキュリティソフトの選び方、買い方

セキュリティソフトの選択は、価格や広告で選んではいけません!無料なアプリはかえって危険につながることもあります。

  • 世界各国で使用実績が豊富で、要求が厳しい企業向け製品にも実績のある
  • 運営会社が信頼でき、国家からの干渉がなく、個人情報やデータの秘密が守られる
  • 動作が軽く、機器使用の障害にならない
  • ご自身だけでなく、ご家族のスマートフォン、タブレットもすべてカバーできる

製品ををおすすめします。

また、タブレットやスマホまで、トータルでカバーできて「子供が無くしたスマホを探す」など家中の機器すべてをまとめてセキュリティ管理でき、費用も大幅に安くできます。

購入は、店頭販売より、ダウンロード販売の方が安く、使用環境に併せて、数や機能を選択できるため、はるかに便利です。
家庭のパソコンやスマホの数(1台~10台)や使用期間(1年~3年)にあったものをお選びください。

お奨めのセキュリティソフトは?

Digital Keeperがおすすめしているのは「ノートン(Norton)」の製品です。

ノートンは1990年から販売されている世界でも指折りのセキュリティ対策ツールです。防御力は世界各地の第三者機関のテストで常に「最上」の評価で、しかも軽量です。

またノートン セキュア VPNという、wifiを安全に使えるVPN機能が標準で含まれているのも高評価です。

ノートンストア