ドコモ口座側の落ち度
目次
「ドコモ口座」は悪くないのか
最近、「ドコモ口座」を介した銀行口座の不正引き出しの被害が相次いで報告されている。
・NHKニュース:
電子決済サービス「ドコモ口座」通じて預金不正に引き出し | IT・ネット | NHKニュース
・ITmedia:
「ドコモ口座」を使った不正出金が発生 中国銀行、七十七銀行、東邦銀行で確認される - ITmedia Mobile
本事案の電子決済サービスと銀行との連携において、銀行側の認証が安全性に問題があると報道されている。
具体的には、銀行口座の名義、口座番号、キャッシュカードの暗証番号さえ知っていれば、対象の銀行と連携でき、「ドコモ口座」を介して預金を引き出すことができるとのこと。
セキュリティの一般常識で考えると、銀行側の認証が不十分であることは事実である。
一方、「ドコモ口座」側は以下の声明を発表している。
・NTTドコモ:
ドコモからのお知らせ : 一部銀行の口座情報を使用したドコモ口座の不正利用について | お知らせ | NTTドコモ
特に目についたのが、2段落目である。
本件は、不正に取得された銀行口座番号やキャッシュカードの暗証番号等を悪用したものであり、当社システムに不正アクセスされ情報を取得されたものではございません。
確かに全て事実だと思うが、深読みして要約すると「銀行のシステムに欠陥があり、当社システムには欠陥がありません。」と対比して書かれているように思える。
はたして「ドコモ口座」に欠陥はなかったのか。
否、あったのである。(あくまで筆者の見解。)
これから「ドコモ口座側の落ち度」を説明する。
認証と本人確認
「ドコモ口座側の落ち度」を説明するにあたって、先ず以下の2つの用語を説明する必要がある。
- 認証
- 本人確認
認証
意味:対象が本当に正しいか確認する行為のこと。
更なる概要は、下記サイトを参照。
・総務省:
認証の仕組みと必要性|IDとパスワード|どんな危険があるの?|基礎知識|国民のための情報セキュリティサイト
認証と認可、多要素認証など、奥深い世界で非常に重要な用語がたくさんあるがこれ以上の説明は割愛する。
そして、銀行側のシステムでもはやセキュリティの常識である多要素認証を導入すれば今回の被害を防げたのは事実であり、銀行側に落ち度があったのは確かである。
(多要素認証導入で本当に被害を防げるのかは、様々な前提をきちんと明らかにする必要があるがそこも割愛する。)
あともう1つ、銀行側に明確な落ち度があり、パスワードがキャッシュカードの暗証番号数字4桁に設定していることである。
本事案では、以下の3つの情報があれば銀行システムと「ドコモ口座」が連携できたといわれている。(あくまで連携時の話であり、通常のWEBサイト/アプリからのログインとは認証の仕組みが異なると思われる。)
- 銀行口座の名義、
- 口座番号
- キャッシュカードの暗証番号
この中で上2つは、銀行側で業務する上で他社と頻繁にやり取りする情報であり、かつ振込先の名義を表示する機能を悪用することで知ることができる、ある意味公開されている情報である。そして、変更されることが滅多にない情報でもある。
よって認証の安全性は、キャッシュカードの暗証番号に依存する。
この数字4桁のパスワードの強度は、セキュリティの常識としてはあまりにも弱すぎる。10,000通りしかないため、オンラインの総当たり攻撃であれば突破することは非常に容易である。(今回はリバースブルートフォース攻撃、パスワードスプレー攻撃と呼ばれる少しひねった攻撃らしい。)
一方、ドコモ口座の認証も同じくID/PWにより認証である。ただし、IDはdアカウントのIDで公開されていないかつ知ることが難しい情報であり、PWも数字4桁という制限もないので例えば24桁の英数字を組み合わせた非常に強固なパスワードを設定可能である。
このことから、「ドコモ口座」に不正アクセスされていないことは事実であろう。
(推奨のパスワードは、下記サイトを参照。)
本人確認
意味:本人確認書類で対象の氏名、住居、生年月日などを確認し、本当に本人なのか確かめること。
・全銀協:
本人確認書類って何? | F.銀行で手続き | 一般社団法人 全国銀行協会
本当かどうか確認するという目的は、どちらの用語でも同じである。
大きく異なるのは、その手続き/行為である。
なぜ異なるのか。そもそも背景が異なるのである。
- 認証:セキュリティの用語
- 本人確認:法律の用語
本人確認は、「犯罪による収益の移転防止に関する法律」という法律が大きく関わっている。(略称:犯収法)
この法律により、銀行口座を開設する際に銀行側は本人確認をする必要がある。
ただ筆者は法律の専門家ではないので、これ以上の説明はやめておく。
本人確認書類が運転免許証、パスポートなどであることや、氏名、住居、生年月日などが本人特定事項であることが、この法律で説明されている。
(合ってますよね?)
・警察庁:
犯罪収益移転防止法 同施行令同施行規則など|JAFIC 警察庁
この本人確認について、銀行側は確かに行っている。(この法律を知らない銀行員はいない。)
一方、「ドコモ口座」はどうか。
報道では「ドコモ口座」はWEBサイトからユーザ登録でき、運転免許証といった本人確認種類の提出はないとのこと。
このことから、「ドコモ口座」は本人確認をしていないことは事実であろう。
ちょっと待って!
「ドコモ口座」でアカウント登録する時は、本人確認する必要あるの?
ドコモ「口座」ではあるものの銀行口座ではないので、法律上の本人確認は不要ではないでしょうか。
仰るとおり、「ドコモ口座」が本人確認していないのは法律上問題ない。
(もう少し補足すると、NTTドコモさんは「電子決済等代行業」であり、銀行の「銀行業」と比べると法律の規制が緩い。また銀行側で本人確認しているので、連携先の「ドコモ口座」の方でもわざわざ本人確認する意義はほとんどないと言える。)
仮に本事案が裁判になったとしても、「ドコモ口座」に法律上の落ち度はないだろう。
ただもっと視野を広げ、顧客保護の観点で考えてほしい。
顧客保護
ついに私が一番言いたかったことを言うが、電子決済サービスである「ドコモ口座」が本人確認をしていないのがおかしいのである。
「ドコモ口座」のユーザ登録時はまだ本人確認をする必要はないが、さすがに銀行連携時は本人確認をすべきであると個人的には思う。
本人確認は法律で求められている手続きであるが、銀行システムの認証の安全性にも寄与しており一石二鳥なのである。
ところが「ドコモ口座」を介することで銀行システムの認証の安全性が低下し、本人確認もないことから警察の捜査も難しくマネーロンダリングが容易になるという危険性を「ドコモ口座」は有している。
犯人がこの「ドコモ口座」に目を付けるのは容易に想像できる。
「ドコモ口座」が銀行連携によって銀行口座と同等の機能を有することになるにも関わらず、本人確認をしないのは「犯収法」の趣旨を逸脱していると言わざるを得ない。
そしてあのNTTドコモさんが「犯収法」を知らないわけがない。
推測だが、銀行による連携時のセキュリティチェックの際に、NTTドコモさんは本人確認がないことを指摘されたことがあるだろう。
しかしそこは天下のNTTドコモさん、法律には書かれていない、そのようなこと言うならば連携の話はなかったことにしてドコモユーザを手放す気なのですねなどと言って真っ当な指摘を意にも介さなかっただろう。
つまり、「ドコモ口座」はユーザ獲得を優先するために、法律の趣旨を知っていながら逸脱して本人確認というユーザにとって煩わしい手続きを省いたのである。(もちろん企業側にとってもコスト面で負担が大きい手続きである。)
この法律の趣旨の逸脱は、組織のコンプライアンスが正常に機能していないことを表している。
本当の顧客保護を考えるのであれば、たとえ法律に明記されていなくてもやるべきことをやるべきなのである。
NTTの体質を根本的に変えない限り、今後もNTTの看板を掲げた邪悪なサービスが現れるだろう。
銀行業界が悪い
本事案で一番悪いのは、不正引き出しを行った犯人であることは言うまでもない。
次に悪いというか残念なのが、今時総当たり攻撃で突破される連携システムを作った銀行である。
金融庁の指針やFISCの安対基準に従い、ガチガチすぎるセキュリティなシステムを作っているはずなのに、なぜこんなシステムが出来上がってしまったのか。
(まあ地方銀行レベルの担当者はシステムやセキュリティをNTTデータさんに丸投げしてるので、残念ながら想定の範囲内ではある。)
頑張ってもこんなシステムしか作れないのは、銀行業界が抱える根が深すぎる問題が原因である。
銀行員は半沢直樹を観て、クラウドにバックドアが仕掛けられていないかをSIerに確認している場合ではない。
そして筆者が一番残念だと思ったのが、NTTドコモさんである。
本事案は、銀行システムと「ドコモ口座」のどちらかが適切な対策を講じていれば防ぐことができた事案であり、日本ITの最先端を行っているはずのNTTドコモさんが関わってしまったことに非常にがっかりしている。(NTTドコモさん銀行を信じ過ぎではないでしょうか。NTTデータさんと話し合ってください。)
(筆者が就活時に合格していれば、防ぐことができたかもしれない。。。!)
NTTドコモさんがIT技術においてアメリカに負けないレベルの技術力を持っていることは確かである。(と仮定しておく。)
ただITサービスでは技術力だけでなくユーザファーストのマインドも重要だと筆者は考えており、今回ユーザファーストが大きく欠けていると感じた。
このままだと「ドコモ口座」が世界でメジャーになることは難しいだろう。(そもそも筆者は本事案で初めて「ドコモ口座」を知ったんだが。)
これでは金融庁が準備した「電子決済等代行業」も形無しである。
NTT頑張れ!銀行に負けるな!世界でメジャーなアプリを何か作れ!
あとがき
本ブログでは法律の趣旨の逸脱など勢いで書いてしまった部分が多々あるが、NTTドコモの声明文に違和感を覚えたこと、テレビで多要素認証と本人確認の違いを説明していなかったので筆を執ってみた次第である。
銀行側はすでにいろいろと言われているので、あえてNTTドコモさんに対してコメントしてみた。
銀行が残念であること、日本のITを代表するNTTドコモさんも残念であることが分かってしまったダブル残念な事案だった。
NTTドコモさんにはこのまま終わりにしないで、プライドを持ってアプリを作っていってほしい。
最後に、犯人が捕まること、被害者が救済されることを切に願う。
参考サイト
piyolog:
ドコモ口座を悪用した不正送金についてまとめてみた - piyolog
・金融庁(電子決済等代行業関連):
(上記リンクの電子決済等代行業者等の一覧にNTTドコモさんが記載されている)