電子決済サービスの被害拡大(20/09/27) [ニュース]
電子決済サービスによる不正引き出し被害は、発端となったドコモ口座のみにとどまらず、PayPay、LINE Payなど10の決済業者に範囲が拡大、預金を引き出された銀行も、件数・金額が突出しているゆうちょ銀行をはじめ、10以上にのぼる。
今回の事件は、次のようにして起きた。まず、犯人が何らかの方法で銀行預金者の口座番号を入手、その名義を使って決済業者用のアカウントを開設し、銀行口座をチャージ元に指定した。このとき、銀行によっては、暗証番号など単純な認証をクリアすれば、預金が引き出せるようになる。事件の背景に、決済業者と銀行それぞれの側で、本人確認が徹底されていないという問題があった。
決済業者側の問題としては、本人確認を充分に行わないまま、アカウント開設と銀行口座への紐付けを行った点がある。ドコモ口座の場合、メールアドレスさえあれば本人確認なしにアカウント開設が可能となり、口座番号と名義がわかれば銀行口座に紐付けできる。本人確認なしで決済できる電子マネーサービスは以前からあるが、これは、事前に決済業者への支払いが行われるプリペイドのケースであり、残金不足だと銀行口座からチャージできるのに本人確認が杜撰というのは、決済業者の手落ちと言わざるを得ない。
ただし、決済業者以上に問題の多いのが、銀行側である。公共料金の自動振り込みを利用している人はわかるはずだが、口座から引き落とされるようにするには、たとえ水道局のような信頼できる事業者が相手であっても、事前に所定の書類に必要事項を記入し捺印することが求められる。この面倒な手間があるからこそ、これまで銀行預金の不正な引き出しは滅多に起きなかった。ところが、今回、いくつかの銀行が、口座番号と暗証番号さえ正しければ出金に応じたため、被害が広がった。
口座番号は、それだけわかっても不正引き出しは(通常は)できないため、必ずしも秘密にされない。入金を受け付けるために、不特定の人に通知することも少なくない。口座番号と結びついた暗証番号は秘匿すべきだが、犯人は、何らかの方法(おそらく、多数の口座番号を入手し、特定の暗証番号に対して次々と口座番号を試す「逆総当たり攻撃」)によって、2つの番号の正しい組み合わせを見つけたのだろう。
安全を保つためには、多要素認証が必須だとされる。例えば、キャッシュカードで現金を引き出す場合、キャッシュカード(現物)と暗証番号(情報)という2つの異なった要素を組み合わせることで、本人確認を行う。2要素だけでは不充分となると、さらに静脈パターン(生体)などを使った認証を行う。SMSを利用した本人確認も、携帯電話という現物を所有しているかどうかで判定する手段である。何かと批判の多いハンコだが、現物による本人確認の手段として、サインより確実性が高い(意思を確認するための単なる認め印は、サインに置き換えてかまわないが)。ついでに言うと、クレジットカードは、カード番号や有効期限などカードに記載される情報だけでネット通販の支払いが可能になるので、認証はないに等しい。不正引き出しの防止は、実際上、カード発行会社の対策に委ねられる(「クレジット」とは、本来、借主が信用できることを意味するが、昨今の情勢を鑑みるに、悪用されないために貸主たる発行会社の信用性の方が重要となる)。
今回の不正引き出しでは、2要素認証を行っていなかった銀行が狙い撃ちにされたようだ。ドコモ口座などで利用されたネット口座振替受付サービスの場合、SMSによる2要素認証を行うことが多いものの、固定電話しか登録していない預金者はSMSが使えない。大手銀行の場合、預金者に送付したトークンにワンタイムパスワードを表示する2要素認証が利用されるが、地方銀行の中には、暗証番号という1要素だけで済ませていたところがあり、不正引き出しの温床となった。マイナンバーカードのように認証が複雑すぎると利便性が損なわれるため、利便性と安全性を秤にかけながら、最適な解を模索する必要がある。
【補記】筆者(吉田)は、キャッシュカードを利用する際には暗証番号に加えて静脈認証を併用する。装置のないATMでは静脈認証なしに引き出せるが、その際の上限金額はせいぜい食事代程度。クレジットカードは厳重に保管してあり、外部に持ち出すことはしない。ネット通販で無名の会社から購入する際には、クレジットカードではなくプリペイド電子マネーなどを利用する。ネットバンキングで使うログインパスワードは専用ソフトで作成した英数字混交のもので、ブラウザを介して外部に流出しないように、パスワード入力時にはグーグルアカウントなどからログオフしておく。振り込みの際には必ずワンタイムパスワードを利用し、一度に振り込める金額にも上限を設けてある(そのせいで、親の葬儀代を“分割払い”するハメになったが)。
今回の事件は、次のようにして起きた。まず、犯人が何らかの方法で銀行預金者の口座番号を入手、その名義を使って決済業者用のアカウントを開設し、銀行口座をチャージ元に指定した。このとき、銀行によっては、暗証番号など単純な認証をクリアすれば、預金が引き出せるようになる。事件の背景に、決済業者と銀行それぞれの側で、本人確認が徹底されていないという問題があった。
決済業者側の問題としては、本人確認を充分に行わないまま、アカウント開設と銀行口座への紐付けを行った点がある。ドコモ口座の場合、メールアドレスさえあれば本人確認なしにアカウント開設が可能となり、口座番号と名義がわかれば銀行口座に紐付けできる。本人確認なしで決済できる電子マネーサービスは以前からあるが、これは、事前に決済業者への支払いが行われるプリペイドのケースであり、残金不足だと銀行口座からチャージできるのに本人確認が杜撰というのは、決済業者の手落ちと言わざるを得ない。
ただし、決済業者以上に問題の多いのが、銀行側である。公共料金の自動振り込みを利用している人はわかるはずだが、口座から引き落とされるようにするには、たとえ水道局のような信頼できる事業者が相手であっても、事前に所定の書類に必要事項を記入し捺印することが求められる。この面倒な手間があるからこそ、これまで銀行預金の不正な引き出しは滅多に起きなかった。ところが、今回、いくつかの銀行が、口座番号と暗証番号さえ正しければ出金に応じたため、被害が広がった。
口座番号は、それだけわかっても不正引き出しは(通常は)できないため、必ずしも秘密にされない。入金を受け付けるために、不特定の人に通知することも少なくない。口座番号と結びついた暗証番号は秘匿すべきだが、犯人は、何らかの方法(おそらく、多数の口座番号を入手し、特定の暗証番号に対して次々と口座番号を試す「逆総当たり攻撃」)によって、2つの番号の正しい組み合わせを見つけたのだろう。
安全を保つためには、多要素認証が必須だとされる。例えば、キャッシュカードで現金を引き出す場合、キャッシュカード(現物)と暗証番号(情報)という2つの異なった要素を組み合わせることで、本人確認を行う。2要素だけでは不充分となると、さらに静脈パターン(生体)などを使った認証を行う。SMSを利用した本人確認も、携帯電話という現物を所有しているかどうかで判定する手段である。何かと批判の多いハンコだが、現物による本人確認の手段として、サインより確実性が高い(意思を確認するための単なる認め印は、サインに置き換えてかまわないが)。ついでに言うと、クレジットカードは、カード番号や有効期限などカードに記載される情報だけでネット通販の支払いが可能になるので、認証はないに等しい。不正引き出しの防止は、実際上、カード発行会社の対策に委ねられる(「クレジット」とは、本来、借主が信用できることを意味するが、昨今の情勢を鑑みるに、悪用されないために貸主たる発行会社の信用性の方が重要となる)。
今回の不正引き出しでは、2要素認証を行っていなかった銀行が狙い撃ちにされたようだ。ドコモ口座などで利用されたネット口座振替受付サービスの場合、SMSによる2要素認証を行うことが多いものの、固定電話しか登録していない預金者はSMSが使えない。大手銀行の場合、預金者に送付したトークンにワンタイムパスワードを表示する2要素認証が利用されるが、地方銀行の中には、暗証番号という1要素だけで済ませていたところがあり、不正引き出しの温床となった。マイナンバーカードのように認証が複雑すぎると利便性が損なわれるため、利便性と安全性を秤にかけながら、最適な解を模索する必要がある。
【補記】筆者(吉田)は、キャッシュカードを利用する際には暗証番号に加えて静脈認証を併用する。装置のないATMでは静脈認証なしに引き出せるが、その際の上限金額はせいぜい食事代程度。クレジットカードは厳重に保管してあり、外部に持ち出すことはしない。ネット通販で無名の会社から購入する際には、クレジットカードではなくプリペイド電子マネーなどを利用する。ネットバンキングで使うログインパスワードは専用ソフトで作成した英数字混交のもので、ブラウザを介して外部に流出しないように、パスワード入力時にはグーグルアカウントなどからログオフしておく。振り込みの際には必ずワンタイムパスワードを利用し、一度に振り込める金額にも上限を設けてある(そのせいで、親の葬儀代を“分割払い”するハメになったが)。
//////////////////////////////////////////////////////////////////////////////////////////////////// 姉妹ページに「科学と技術の諸相 -Q&A-」があります。
2020-09-28 09:13
