口座振替による銀行からの預金の不正引き出し事件について思うこと(情報セキュリティ)
地方銀行を中心として銀行口座から第三者により不正に預金が引き出されている事件がニュースで報じられていますが、いろいろ考えてしましました。
この事件は特定の銀行口座と紐づけてNT〇 DoCo〇o(企業批判に終始したくないのでとりあえず伏字にしておきます)のDoCo〇o口座というサービスに預金を充当(口座振替)する仕組みのセキュリティ上の甘さを突いた攻撃です。
本人ではない悪意のある第三者が架空の名義でDoCo〇o口座を勝手に開設し、何らかの方法で誰かの銀行口座と紐づける(口座振替)情報を入手して銀行口座と紐づけたあと預金を引き出してしまうという手口でした。
銀行口座とDoCo〇o口座を紐づける情報ですが、銀行口座の口座番号や暗証番号が必要になっていましたが、おそらく「パスワードリスト攻撃」や「リバースブルートフォース」で窃取されたと言われています。
※「パスワードリスト攻撃」:異なるサイトで使いまわされている他人のユーザIDとパスワードを何らかの方法で入手して不正ログインする攻撃
※「リバースブルートフォース」:よく使用されるパスワードを固定してユーザIDを総当たりで入力してログインを成功させる攻撃。パスワードを一定回数以上間違えるとロックがかかるセキュリティを突破できる。
この事件の問題点は、いろいろあるのですがYuubariが考える問題点は以下の点かなと思います。
・DoCo〇o口座のサービスの利用者では無い人が勝手に自分の銀行口座から預金を第三者に引き出されてしまう。そのため今回ターゲットとなった特定の銀行にお金を預けているだけで誰でも被害者になり得る。
・この事件で起きたことがやや理解しにくいので(報道機関もその危険性を詳しく報道しない)、多くの人が自分には関係ないと思ってしまいがち。
・事件の詳細(金融の仕組み)がわかりにくいため被害(自分の口座から預金が不正に引き落とされる)にあっても気づきにくい。
Yuubariもそうですが複数銀行口座を持っている人は各口座の残高や入出金のチェックを定期的にする必要があります・・・・
DoCo〇o口座の開設の本人確認が甘すぎる。
最大の問題はNT〇 DoCo〇o の DoCo〇o口座サービスの仕組みの甘さだと思います。
このシステムにおいて二要素認証以上の認証のセキュリティ対策を以てDoCo〇o口座の本人認証をしていればここまで大規模な問題にはならなかったと思います。
口座振替の本人認証は特に厳しくあるべきです。
また、銀行側も他企業との口座連携について提携先企業のシステムのセキュリティの仕組みをしっかり認識し、セキュリティ的に問題があるならば提携を拒否するような対応をそもそも取るべきだったと思います。
はっきりいってこの事件は全く高度なセキュリティ攻撃ではないですよね。
システム開発における情報セキュリティからみた作りの甘さという意味では7pay / PayPayサービス開始時の不正引き出し事件のときとシステムの作りの甘さという点で根本は同じです。
利用者のお金が絡むシステム、特に銀行と連携して口座振替の機能を持つシステムは開発の上流工程の時点で第三者の情報セキュリティの専門家の監査・承認を経てから基本設計に着手すべきだとYuubariは強く思います。
こういった開発の仕組みにおける情報セキュリティの観点からみた法整備も今後行われてしかるべきなのではないでしょうか。
Yuubariはこの問題について、「身に覚えのない取引があれば連絡を」という企業側・銀行側の態度はとても不誠実に感じます。
そもそもこの事態を引き起こしたのはこうした情報セキュリティ軽視した企業・銀行側の知見の貧しさです。
もちろん最も悪いのは不正な引出しをしている悪意のある第三者ですが、関係した企業・銀行がきちんと謝罪した上で一刻も早く不正な引き落としに会った人を自ら洗い出して補償すべきだと強く感じます。
※ただし不正な引き落としと正当な引き落としを区別・判断するのは大変難しいとは思いますが。
すくなくとも対策がきちんと取られ、完全に被害が終息するまでDoCo〇o口座サービスの全機能凍結はすぐに行っても良いのではないでしょうか。
「被害に会われた方が被害を名乗り出るまで補償しません」という態度は許されないと思います。