現時点で予想される原因や犯人の手口と、ユーザーが気をつけるべき対策について、やさしく解説します。
ユーザーがドコモの不正利用事件から学ぶこと
ドコモ不正利用事件の概要
ドコモの不正口座を悪用された不正引き落とし事件が注目を浴びています。
9月22日現在172件2776万円もの被害が公表されていますが、「ユーザーが記帳して口座取引を確認しないと不正が判明しない」ため、今後も被害はさらに増大すると見られます。
もっともセブンペイの事件以来、決済関連の損害はすべて会社側が全額負担して補償される前例ができあがっていますので、消費者側からすると安心です。
しかし今回の事件「ドコモが悪い」「銀行のチェックが甘い」と決めつけるだけでは事の本質は解決しません。
ドコモ不正利用事件の原因は一般的な不正ログインとは大きく異なる。
今回の事件の発生した経緯は、
- ドコモ口座が銀行口座に比べて、「メールアドレスがあれば簡単に新規口座が開設できる」ため、犯人は多数の不正引き出し用のドコモ口座を作った。
- ユーザーの銀行口座とドコモの口座番号をひも付ける際のチェックが甘く、不正引き出し用ドコモ口座とユーザーの口座が勝手に連携されて、ユーザー口座からお金が引き出された。
が原因です。
しかしドコモのサイトでは原因についてこう書かれています。
本不正利用は、第三者が銀行口座番号やキャッシュカードの暗証番号等を不正に入手し、ドコモ口座に銀行口座を新規に登録することで発生しておりました。
出展:ドコモからのお知らせ
犯人は「正しい口座番号と暗証番号」を使って不正に連携した点が気にかかります。
つまり今回の犯人は、どこかでユーザーをだまして、実在する口座番号と暗証番号を手に入れて犯行に及んでいたのです。
ドコモ事件の直接の原因は銀行口座連携の仕組みの甘さにあった
通常の不正ログインでは、犯人は膨大なパスワードのリストを次々に総当たりでログインを試みる「パスワードリスト攻撃」を使います。
しかし今回のような銀行口座間のシステム連携では、すぐに不正に気付かれてしまいますので、何度もログインを繰り返すような乱暴な方法は使えません。
ドコモも今回は「大量の攻撃が行われたものではなく、あくまでもピンポイントで連携された」と明かしています。
つまり犯行の成功には「正しい口座番号と暗証番号」が絶対に必要です。
さらにセキュリティを強化している銀行では、ドコモと銀行をつなぐ銀行口座をつなぐ際には「正しい口座番号と暗証番号」に加えて、ユーザー自身に「連携して良いかたずねる」などの複数の方法(多要素認証)で確認する手法を取り入れていました。
すべての銀行がこうしておけば、今回の事件は起こりませんでした。
しかし被害にあった地方銀行では「正しい口座番号と暗証番号だけがあればOK」としてしまったことが犯人につけ込まれる原因になりました。
金融庁からも「被害は対策が甘い金融機関で起きた」と発表
金融庁が2020年12月25日に公表した報告資料によると
- 銀行口座と連携する決済サービスを行っている117の金融機関のうち 44 金融機関(38%)で不正出金が発生。
- そのうち89%のケースでは、一要素認証により口座連携をしていた。
つまり、「被害にあった銀行の9割は、口座番号に暗証番号だけ(一要素)で連携していた」ことが明白になったわけです。
※この点の詳細は後でご説明します。
以上の説明からは「悪いのは金融機関側か」と思ってしまいます。
しかし忘れてはならないのは、犯人が「正しい口座番号と暗証番号」を入手しなければ事件は起こらなかったこと。
ここをなんとかしなければ事件はなくなりません。
どうして「正しい口座番号と暗証番号が犯罪者に漏れてしまったのか?」引き続きご説明します。
ほんとうの原因となった過去のフィッシング事件
本当の原因は「地銀を狙った半年前のフィッシング詐欺」にある?
まだ本当の原因は発表されていませんが、有力な原因として、2019年末頃から大量に発生していた「地方銀行を装ったフィッシングメール」にあるのではないかと考えられています。
皆様のお手元にも、アマゾンや楽天などをかたったフィッシングメールが頻繁に届いていると思いますが、昨年末からの銀行をかたったものは特に悪質で、
- 多数の預金者に「システムセキュリティのアップグレード」などしっかりした内容のメールが送信されてくる。
- 文中のURLをクリックすると、見分けるのが難しい精巧に作られた銀行の偽サイトに誘導される。
- 偽サイトを信じてしまい、「暗証番号」「口座番号」に加えて、「生年月日」「氏名」「電話番号」といった個人情報を入力して盗まれてしまう。
という典型的なフィッシング詐欺でした。
どうやら犯人はこの時獲得した「口座と暗証番号、氏名、電話番号」を使って、「連携のチェックが甘いドコモ口座と地方銀行間の口座連携手続」に一気に悪用したようです。
ネット上で不正に流通している盗まれた口座情報
フィッシングメール経由でなくとも、さまざまな方法で不正に入手された「銀行口座の情報」はネット上では頻繁に売買されています。
不正に入手されたユーザーの氏名、住所、生年月日、口座、暗証番号、パスワードなどをセットにしてリスト化した情報は「Fullz」(フルズ)と呼ばれて、ブラックマーケットで盛んに流通しています。
ハッカー達はパスワードリスト(Fullz)の更新は「自分のテクニックを誇示すると共に大きな収益を生む源泉なので」リストの精度は日々向上させています。
暗証番号はキャッシュカードの現物がないと何ら機能しないため、ネット上では価値がありません。
そこで犯人達は使い道のない「口座番号と暗証番号」を安く入手し、今回の犯罪に利用したものと思われます。
連携時に多要素認証がない銀行が狙われた
実際に今回の事件で不正が行われた銀行は、「氏名、生年月日、銀行口座番号、暗証番号」の4つが揃っていれば連携が実現する地方銀行が多く、「ワンタイムパスワード」や「本人の電話確認」などの多要素認証(二段階認証)が必要な銀行は含まれていませんでした。
ドコモ口座と連携可能な35銀行のうち、
は、今回の事件には巻き込まれていません。
これらの銀行では、連携時に「ユーザーに問い合わせる」などの方法で二重三重にユーザーに確認(多要素認証)がされたからです。
しかし以下の27行は、その様な確認システムがなく(一要素認証)、不正が発生したか、不正の可能性があるため、現在ドコモ口座との連携が停止されています
ゆうちょ銀行・イオン銀行・大垣共立銀行・滋賀銀行・七十七銀行・第三銀行・鳥取銀行・みちのく銀行・中国銀行・紀陽銀行・東邦銀行
・伊予銀行・池田泉州銀行・愛媛銀行・大分銀行・京都銀行・静岡銀行・・十六銀行・仙台銀行・但馬銀行・千葉銀行・千葉興業銀行・南都銀行・百十四銀行・広島銀行・北洋銀行・琉球銀行
今回の事件の反省を元に、各銀行ともセキュリティの強化をすすめるはずです。
ただユーザーにとっては「簡単に連携できる」「いちいち問合せが来て面倒」など利便性を失うことでもあり、「便利さと安全」のバランスが難しいところです。
ドコモ不正利用事件から学ぶユーザーができる対策とは
1.フィッシングメールやSMSにだまされて個人情報を盗まれない
今後もこのような詐欺事件は多発すると思われます。
ユーザーが巻き込まれないためには、フィッシングメールにだまされて、フィッシングサイトに個人情報を入力しないようにすることです。
まとめると実にシンプルで、、、
- メールやSMSの文面が信用できたとしても、通知の文中のURLをクリックして手続はしない。
- 面倒でも、検索してサービスの本サイトを訪れ、サイトの情報から通知の真偽を確認して、サイト内で手続を進める。
の原則を守るだけでフィッシングの被害を防ぐことができます。
SMS(ショートメッセージ)を悪用する「スミッシング詐欺=SMSフィッシング詐欺」の被害が再び広がっています。ドコモ、日本郵便、Amazon、楽天の宅配の不在通知から、銀行の通知をよそおうものまで、フィッシングメール以上に被害が広がって[…]
2.ネット上で暗証番号はいかなる場合も入力しない!
銀行のキャッシュカードの暗証番号は「4桁の数字だけ」といたってシンプルです。
「パスワードは最低でも14文字」と言われている現在どうして4文字で良いのか、不思議ではないですか?
それは「暗証番号は物体であるキャッシュカードがないと使えない」からです。
ところが今回の事件では、キャッシュカードとは無関係の銀行間取引の証明として暗証番号が使われてしまいました。これはドコモや銀行の認識の甘さで、犯人はそこを巧みについて犯行を実行しました。
しかし今後も同様な「システムの甘さを狙う犯行が繰り返される」かもしれません。
「暗証番号はキャッシュカードとセットの時しか使わえない」ものです。
それをネットやメール、電話、郵便、訪問などで尋ねてくるのは「すべて怪しいフィッシング詐欺かオレオレ詐欺」に決まっています。
を鉄則としてお守りください。
3.事件に便乗した詐欺にも注意する。
この事件の後
「お客様の銀行口座に不正なアクセスがありました」
「お客様の口座から送金が確認されました」
などと称し、確認のためとして口座番号や暗証番号を聞き出そうとする「便乗詐欺」が発生しました。
いかなる理由であろうとも、口座番号や暗証番号をネット上に入力したり他人に知らせることは止めましょう。
4.オンラインサービスに信頼と実績のある金融機関、決済サービスを使う
当たり前の事ですが、金融機関や決済サービスは、信頼でき実績が豊富なサービスを使いましょう。
新サービスは大規模なキャンペーンで目を引きますが、過去しばしばシステムの見落としで大きな事故を起こしています。
大切な資産を預けるサービスこそ「特典ではなく、信頼性」で選択しましょう。
セブンペイの事件の後もセキュリティに関わる事故の報道は後を絶ちません。ネット上でも「見に覚えのない通知メールが来る」とか「不正アクセスされて不正決済をされて損害を受けた」といった悲痛な声が多数上がってきています。どうしたらこのようなトラ[…]
まとめ:
セキュリティは基本を大切にしよう
ドコモ不正利用事件のように一件複雑そうな内容でも、整理すると元は「詐欺メールにだまされて口座と暗証番号を入れてしまった」が原因です。
犯罪は常に人間の隙を突いたシンプルな手法がもっとも多くの被害を生み出します。
被害を防ぐためには、ほとんどのサイバー犯罪の基本にある「隙を作ってだまされない」備えこそが大切です。
どうぞ当ブログをご参考にセキュリティの基本をおさえてください。
SMS(ショートメッセージ)を悪用する「スミッシング詐欺=SMSフィッシング詐欺」の被害が再び広がっています。ドコモ、日本郵便、Amazon、楽天の宅配の不在通知から、銀行の通知をよそおうものまで、フィッシングメール以上に被害が広がって[…]
TwitterやFacebook、LINEのようなSNSで起きてしまう「SNSアカウントのなりすまし」。本人になりすまして、不正メッセージや「ここであなたを見ました」「このビデオいつでしたか」「私が見つけたものを見て」「あなただと思いま[…]
「私のスマホやパソコンがハッキング、感染しているかも、、」本当にハッキングされているか確実に調べる方法は?
ネット上のデマや悪質業者の広告を信じてはいけない!
当ブログでご説明しているとおり、スマホやパソコンに突然現れる「ハッキングやウイルスの警告」は広告目的の詐欺警告がほとんどです。
しかし、まれとは言え、時には「不正なアプリをインストールされた」「アカウントを乗っ取られた」などが原因で本当にハッキングされることもあります。
「本当にハッキングされているかも、、」とどうしても心配なときは、ハッキングやウイルス感染などの調査を行っている専門会社に調査を依頼しましょう。
しかし、ネットで調べると、ハッキング調査を探偵や興信所が行っているところが見つかりますが、パソコンやスマホのセキュリティが強化されている現在、ログ解析などのハッキング調査は高度な技術と実績を持つ専門家しかできません。
より正確な情報を安全に調べるには、ハッキング調査の専門業者に相談しましょう。
おすすめのハッキング調査会社:デジタルデータフォレンジック
デジタルキーパーも貴重な情報を提供いただいている「デジタルデータソリューション株式会社 の《デジタルデータフォレンジック》」は、官公庁、警察・捜査機関からの信頼も厚い、国内随一の高い技術と実績を持つサービスです。
累計の相談件数は1万4,000件以上。国内売上11年連続No.1のデータ復旧技術を利用して、デジタル遺品の調査・データ抽出を受け付けています。
相談~調査の見積もりまでは無料で対応してくれるので、まずは一度相談してみるとよいのではないでしょうか。
「※本サイトはアフィリエイト広告を利用しています。」
