非金融系FPそばこと不確実な日々

2019年2月にCFPを取得しました。FPとして知っておいた方が良さそうなことを色々と書いていきます。

ドコモ口座による不正出金と金融機関のセキュリティ

ドコモ口座による不正出金による被害が確認されてからしばらく経ちましたが、問題は更に広がっているようです。

ドコモ口座という口座に銀行口座から入金することで、d払いによる決済や、送金などが出来るというサービスです。

どこに問題があったのかという点ですが、本人確認をせずに口座を作れた点にあったと言われています。

金融系の口座、つまりお金のやり取りがされるアカウントを作る時は免許証やマイナンバーカードなどの本人確認書類の提出を求められることが一般的であるという認識です。しかしドコモ口座ではそれがなかったことで他人になりすまして口座を作れたことが、ひとつの問題のようです。

なるほど、他人の名義で口座を作れてしまったわけです。ではなぜ銀行口座から不正に出金できたのでしょう。ドコモ口座を作れたとしても銀行口座との連携がなければ出金は不可能なはずです。

これには銀行側のセキュリティの問題があったとされています。

被害のあった銀行では二段階認証がされていなかったと言われています。

例えば、私の使っている銀行のネットバンキングだとID、パスワードの他に、「ワンタイムパスワード」というものがあります。これは一時的に発行されるパスワードで例えば発行してから30秒間だけ有効なパスワードだったりします。

またSMSによる一時的な番号を発行して、それを入力することを認証に求めているものもあります。

こういった二段階認証を破ることも出来るのでしょう。それでも敷居は高くなる、よって不正なアクセスを受ける可能性は下がったのでしょう。

また、1つのパスワードに対して、大量のIDを試して、当たりが出るまでひたすら実行する「リバースプルートフォース攻撃」があったのではないかとも言われています。これは同じアクセス先から何度もログインミスがあれば、不正アクセスを疑ってアクセスを禁止するなどの対策を採っていれば避けられるもので、もしこの手法による被害であればいただけないなとは思います。

不正出金がされた場合であっても銀行の通帳には記録が印字されていたこともあり、果たして巧妙な手口であったのか怪しいところではあります。逆に巧妙ではない手口にやられたのだとすると随分ひどい話だなと思うところです。

セキュリティなんて、どれほど頑張っても破られるのでしょう。それでも何もしないのは、特に大企業で多くの人が信用している企業のあり方としては良くないですね。

騒ぎが大きくなってきて、謝罪や説明が始まりましたが、当初は問い合わせに対して、あまり良いとは言えない対応だったようで、企業としての信用も堕ちてしまったと言えるでしょう。

ところで、ドコモ口座の騒ぎ以降、特にゆうちょ銀行での被害が大きく取り上げられています。それもドコモ口座だけではなく、他のサービスからも不正出金があるようです。また今回の騒ぎが大きくなる前からの問題だったようで、隠蔽していたのか、気付かなかったのか、不安が隠せません。

個人的にはセキュリティの甘さもさることながら、知らないうちに自分の口座からお金を引き出されるという被害を受けた方に対する、これら企業の姿勢に疑問を感じます。

一方、このような事件では、セキュリティの甘さにより被害を受けた側が責められるケースが多いです。でも本当に悪いのは不正を働いた人達なわけです。ただ犯人を見つけるのは困難で、とりあえず責めやすいところを責めるというのはあまり気分のいいものではありません。

こういった事件により便利なはずのものが、セキュリティでガチガチにされて不便になってしまうということであれば残念ではあります。