ドコモ口座の不正引き出し事件から、エンジニアとセキュリティを考える

駒鳥です。

ドコモ口座が攻撃され、地銀を中心に不正な引き落としが相次いでいることが明らかになっています。

「ドコモ口座」で不正利用
NTTドコモは8日、電子決済サービス「ドコモ口座」を使った銀行口座の不正利用が複数起きていると明らかにした。少なくとも七十七銀行(仙台市)や中国銀行(岡山市)、大垣共立銀行(岐阜県大垣市)で確認され

この事件はかなりの被害規模になりそうです。
しかし、これをきっかけに、IT業界のセキュリティに対する意識もさらに高まりそうです。

スポンサーリンク

ドコモ口座の脆弱性、根本の問題

まず、今回のドコモ口座の不正引き出し事件、システムとしてどの部分が脆弱性で、根本の問題だったのか。
少しだけエンジニア視点で考えてみます。

ニュースからだとなかなか読み取れません。

事前に口座番号と暗証番号が漏れている?

ドコモが発表したお知らせを読んでみましょう。

ドコモからのお知らせ : 一部銀行の口座情報を使用したドコモ口座の不正利用について | お知らせ | NTTドコモ

本件は、不正に取得された銀行口座番号やキャッシュカードの暗証番号等を悪用したものであり、当社システムに不正アクセスされ情報を取得されたものではございません。

今回の不正引き出し事件以前に、口座番号とキャッシュカードの暗証番号がすでに漏れていて、それが悪用された、というように読めます。
実際にそうなのだとしたら、ドコモ口座以前の大問題であるように感じます。

しかし、もともと口座番号とキャッシュカードの暗証番号の組み合わせが大量に漏れている、しかも複数の地銀で漏れている、という状況はちょっと考えづらいように思います。
(そうであってほしくないというのもあるけど。)

リバースブルートフォース攻撃が行われた?

実態は、以下の記事にあるようなものなのではないでしょうか。

『ドコモ口座』の不正利用、誰が被害に遭う?→『ドコモ口座』を使ってない人(篠原修司) - Yahoo!ニュース
NTTドコモの電子マネーサービス『ドコモ口座』にて、地方銀行の口座から不正に引き出しが行われる被害が9月3日より報告され、8日に正式発表されました。

ただ、今回の事例は暗証番号の不正取得ではなく、ひとつの固定した暗証番号(例えば「0000」など)をさまざまな口座でログインできないか試していくリバースブルートフォース攻撃が行われたのではないかとみられています。

リバースブルートフォース攻撃というのは、パスワードを固定し、対応するID、ここでは口座番号を、辞書ツールなどを利用して片っ端から当てはめていく攻撃のことです。

ドコモ口座の脆弱性とは

実際のところドコモ口座の脆弱性とは何だったのか。

ドコモ口座側は、口座と本人情報の連携の段階で、本人確認を厳格化する、と言っています。

ドコモ口座、35行で連携停止 本人確認強化で再発防止へ | 共同通信
NTTドコモは9日、電子マネー決済サービス「ドコモ口座」との連携に対応する35の銀行全てで、新規のひ...

つまり、リバースブルートフォース攻撃によって口座番号と暗証番号の組み合わせが判明した時点で、その操作を行ったユーザーが、口座の持ち主であると確定させる仕様であったこと自体が、ドコモ口座の脆弱性であったと言えそうです。

連携先の銀行によっては2段階認証を採用していたため、口座と暗証番号が特定できても、本人と認められなかったパターンもあるようですね。

9月10日、ドコモは記者会見を開き、謝罪しました。

「ドコモ口座」不正預金引き出し、記者会見の一問一答まとめ
NTTドコモが提供する電子決済サービス「ドコモ口座」で発生した現金の不正引き出し事件について、同社が記者会見を開催した。質疑応答を一問一答でまとめた。
スポンサーリンク

キャッシュレス、電子マネーが増える中、不正取引も拡大している

ドコモ口座の件に限らず、キャッシュレス・電子マネー普及に流れに沿うように、システムの脆弱性を狙った攻撃が成功する例が増えています。

キャッシュレス実態調査へ 消費者庁、トラブル増加で
キャッシュレス決済を巡るトラブルが増加しているとして、消費者庁がスマートフォン決済やクレジットカードなど国内外の決済業者全般を対象にした実態調査に乗り出すことが6日までに、関係者への取材で分かった。

政府がキャッシュレス決済の普及を推し進める中、「身に覚えのない請求があった」「代行業者が返金対応しない」といったトラブルの相談は増え続けている。
消費者庁によると、スマホ決済や電子マネーに関する相談は昨年、過去最多の3491件に上った。

スポンサーリンク

セキュリティエンジニアの価値はますます高まっている

キャッシュレスは、今後もどんどん加速していくでしょう。
それにあわせて、より堅牢なセキュリティ能力を持ったサービスを作ることの重要性が日々高まっています。

これはつまり、セキュリティ部門に対して専門性の高いエンジニアの市場価値も高まっている、今後更に高まっていくということだと思います

今回のドコモ口座のような事件につながる危険性もあるため、責任も非常に大きくなっていますが、その分価値もある仕事となっていくでしょう。

また、専門のエンジニア、とまで行かずとも、エンジニアであればセキュリティに対する意識を高め、日々の業務で活かせるように基礎を勉強しておくとよいのかもしれませんね。

それでは。

コメント

タイトルとURLをコピーしました