ドコモ口座だけではない〜ネットバンキングの危険な実情

ニッポン放送「飯田浩司のOK! Cozy up!」(9月11日放送)に外交評論家・キヤノングローバル戦略研究所研究主幹の宮家邦彦が出演。NTTドコモの「ドコモ口座」を悪用した不正引き出しのニュースについて、ジャーナリストの須田慎一郎を電話ゲストに迎えて解説した。

【ドコモ口座不正引き出し】会見するNTTドコモの丸山誠治副社長=2020年9月10日午後、東京都千代田区 写真提供:産経新聞社

NTTドコモの「ドコモ口座」を悪用した不正な引き出し、被害者に全額補償へ

丸山副社長)被害を受けられた方にお見舞い申し上げますとともに、補償については銀行と連携の上、全額を補償するよう真摯に対応して参りたい。

 

「ドコモ口座」を悪用した不正出金が多発している問題で、NTTドコモは会見を開き、被害はこれまでに66件、総額1800万円に及んでいることを明らかにした。被害者への対応については銀行と連携し、全額を補償するということである。

飯田)本人確認が甘いままサービスを始めてしまい、反省していると、9月10日の会見で丸山副社長は述べております。安全性が不十分だったということですけれども。

宮家)焦ったのですかね。ほとんどの競争相手のキャリアがその方向で動いているから、早くやらなくてはいけないと。しかし、スマホは小さなコンピューターです。この能力、とくにそのCPUのスピード、メモリー、アプリ等を考えて、100%、200%のセキュリティなど簡単には維持できないと思います。スマホ以外のPCなどの方法ですら、第2次、第3次のチェックが必要なわけでしょう? 私は怖いのでまだ使いませんよ。

飯田)セキュリティがもっときちんとしてから。

宮家)デジタル化は進めるべきだと思います。しかし、それは同程度以上のセキュリティの問題があるという前提でなければ使えません。ですから、やはり焦ったのだろうと思います。

飯田)その辺りも含めて、この問題を取材中の経済ジャーナリスト、須田慎一郎さんにお話を伺います。須田さん、おはようございます。

須田)おはようございます。

飯田)今回の事件を、須田さんはどうご覧になっていますか?

ニッポン放送「飯田浩司のOK! Cozy up!」

ドコモ口座における2つの問題点〜開設時のセキュリティがあまりにも緩い

須田)いま宮家さんがおっしゃったように、100%の安全が確保できていない。まさにその部分に問題があると思います。ポイントが2つあって、1点目はご指摘にあるように、NTTドコモのドコモ口座の開設部分で、セキュリティがあまりにも緩かったということです。きちんと本人確認ができないまま、メールアドレスだけでお金を使える口座が開設されてしまったというところが、大きな問題点の1つです。

ニッポン放送「飯田浩司のOK! Cozy up!」

暗証番号がどこから漏れたのか〜40年以上前に開発された銀行セキュリティ「RSA方式」の問題

須田)2つ目に、金融ビジネスのタブー中のタブーと言われていて、メディアがそこに触れないのですが、なぜ暗証番号が漏れてしまったのか。銀行口座を持っている人の口座番号は、公表されているような情報ですから仕方がない。しかし、なぜ暗証番号まで漏れてしまったのか。これはいまだにわからないのです。どこから漏れたのか。銀行側に問題があったのか、あるいは利用者に問題があったのか。これも明らかになっていませんし、もちろんこれは銀行側の問題なのですが、昨日(10日)の記者会見ではその辺りについて、一切明らかにされませんでした。ここで問題なのは、この種の口座決済における銀行のセキュリティは「RSA方式」と言って、基本的な仕組みは1977年につくられたものなのです。

飯田)そんなに古いのですか。

ニッポン放送「飯田浩司のOK! Cozy up!」

暗証番号を解読するソフトウェアが入手できてしまう〜セキュリティが不完全な銀行のネットバンキング

須田)40年以上前につくられたものですから、穴だらけなのです。銀行の口座番号と暗証番号、この2つが登録しているものと一致すれば、自由に自分のデータを書き換えられる。つまり預金を入金したり、出金したりすることができるという仕組みです。穴だらけなものですから、一定期間しか使えない暗証番号である「ワンタイムパスワード」などで補っています。しかし、それも100%の安全を確保できているわけではないのです。例えば、暗証番号は4桁ですが、番号を忘れてしまった場合に、それを解読するためのソフトウェアを我々が入手することもできるのです。

飯田)そうなのですか。

須田)1万回試せば暗証番号を発見できるという部分を利用して、それを解読するためのソフトウェアがあります。総当たり攻撃とも言うのですが、それで簡単に暗証番号が割り出されてしまうのです。そういう状況を放置して、なおかつ今回のように、NTTドコモが緩い口座開設を認めてしまったものですから、まさに「不正利用してください」という状況ができてしまったのですね。

飯田)そうすると、わかった部分だけで66件、1800万円の被害ということですが、もっと多い可能性はありますか?

須田)もっと出て来る可能性もあるでしょう。ですから、今後もこういうリスク、安全性が担保されていない状況が続くと、また新たな抜け穴を攻撃して来るというケースもありますね。

りそな銀行本社ビル(りそな銀行-Wikipediaより)

2019年にもりそな銀行とドコモ口座の間で不正引き出しが

飯田)昨日(10日)の会見でも指摘されていましたが、2019年5月にも、りそな銀行との間で同じような不正引き出しがあったということです。そのときに対処できなかったのですね?

須田)ドコモ口座の開設には、2つのパターンがあります。1つは回線契約、つまりNTTドコモの携帯電話を使っている人向けです。そしてもう1つが、回線を持っていない人向けのドコモ口座。回線を持っていない人のドコモ口座で起こっているのが、今回の一件なのですが、りそなで起こったのは回線契約を持っている人の口座なのですよ。

飯田)そうなのですね。

須田)ですから、実を言うとその辺りについては、穴を塞いでいるのです。

飯田)そこで対処をしたということになっていた。

須田)そうですね。それについては、「本人確認を強化することによって、自分たちでは対処をした」と言っている。本当に対処できているかどうかはわかりませんが。

飯田)もっと巨大な穴が、脇にあったということですか?

ニッポン放送「飯田浩司のOK! Cozy up!」

不正を前提としているために設けられている入金の上限〜電子マネー決済サービスのセキュリティの実情

須田)ええ。銀行口座からドコモ口座への入金は、1回10万円、1ヵ月で30万円という上限が設けられています。なぜ上限を設けているかと言うと、不正引き出しが行われることを前提としているからです。

飯田)被害を最小限にするため、ということですか。

須田)そうです。安全性が確保できているのならば、無制限でもいいはずです。すでにこの辺りで、「この制度は不完全です」と言っているのと同じです。

飯田)しかし、それをサービスとして出してよかったのですか?

須田)同じようなケースはたくさんあるではないですか。例えば、交通系カード。あれもチャージできる金額に上限がありますよね。

飯田)確かにそうですね。

須田)要するに、不正行為が起こることを前提に電子マネー、電子マネー決済というサービスがあるのだということを、利用者は理解するべきですね。いつ何時、不正が行われるかわかりません。「自分のお金を盗まれることがあるのだ」ということを前提に利用するべきだと思います。

関連記事(外部サイト)