649のつづき

二要素認証を”省いた”銀行
2つ目の問題は銀行側にある。銀行口座とドコモ口座をつなぐ際に、セキュリティの弱い方法を用いていた。被害が確認された12の銀行は、「Web口座振替受付サービス(以下Web口振)」
というシステムで口座接続をしていた。接続に必要なのは氏名、口座番号、生年月日、4桁の暗証番号。それらの情報を不正に入手すれば、第三者が勝手に口座接続ができる状態だった。
銀行口座と外部サービスを接続する際にセキュリティを高めるうえで、二要素認証は欠かせない。ドコモ口座との接続でも二要素認証を用いる銀行はあった。現時点で被害の出ていないみ
ずほ銀行は、自社のインターネットバンキングを経由して、ドコモ口座と接続しており、取引ごとに使い捨ての「ワンタイムパスワード」を発行していた。インターネットバンキングを契約してい
ない顧客には認証の条件として物理的な通帳を求めており、通帳に記帳されている最終残高を入力しなければならない方式を取っている。つまり、被害のあった12行は簡易的な方法を選
択したために狙われた形だが、現実的には「Web口振を使うしかなかった」(地方銀行幹部)という。「決済サービスが増え、すべてに自前で接続するのはコストがかかる」(同)からだ。 そう
した地銀では、「メルペイや楽天Edyをはじめ、ほかの決済サービスもWeb口振でつないでいる」(中堅地銀行員)という。対策として「Web口振を継続しつつ、最終残高の入力など二要素認
証を加える検討をしている」(前出の地銀幹部)と言うが、別の地銀関係者からは「すぐに実装するのは難しいかもしれない」という本音も漏れる。その間、接続する決済事業者のセキュリテ
ィが甘ければ、同様の手口が使われる可能性も残っている。3つ目は根本的な問題だ。そもそも「口座番号などの情報がどこから流出したのか」ということが現時点で明らかになっていない。
被害のあった七十七銀行や大垣共立銀行は「自社のシステムからの情報漏洩は確認されなかった」と説明する。ドコモ側も「そうした情報は保有していないため、ドコモから流出していない」
としている。

当事者意識はどこまであるのか
では、どこから漏れたのか。まず考えられるのが、犯罪者が「リバースブルートフォース攻撃」を仕掛けている可能性だ。これはパスワードや暗証番号を固定したうえで、氏名や口座番号を
総当たり的に入力していくことで認証を潜り抜けるものだ。最後の可能性はフィッシングサイトを通じた情報漏洩だ。メールなどで偽のサイトに誘導し、口座情報などを入力させ、個人情報を
入手する。実は、2019年秋頃からインターネットバンキングでの不正送金の被害が急増している。警察庁によれば、被害の多くがフィッシングによるものだという。つまり、今回の事件はドコ
モ側、銀行側それぞれのセキュリティに対する甘さが招いたものだ。前出の徳丸氏は「お互いに、相手が(本人確認を)やってくれるだろうという意識が確実にあった」と指摘する。事件発覚
後、両者が危機意識を高めて協力しあう状況にはなっていない。ドコモはWeb口振の利用について「各銀行がそれぞれの事情で決める話」(丸山副社長)としている。銀行側は「われわれは
(Web口振の)システムに乗っかっているだけ。セキュリティはある程度(ドコモなどの)決済事業者に依存してしまう」(中堅地銀行員)と言ってのける。セキュリティ強化を相手に委ねる形で
サービスを続けていては、同様の問題が発生しかねない。ひとまずドコモは対応策を示し、ほかの決済事業者の水準に合わせた形だ。今後は地銀を中心とする銀行側の対応姿勢が問われ
そうだ。