「ドコモ口座」事件で浮き彫りになった新たな課題--ドコモと銀行、双方にあった「隙」とは - (page 2)

狙われたのは「2要素認証」のない銀行

　市場の飽和や行政による値下げ圧力で主力の携帯電話事業を伸ばすことが難しいドコモは、成長分野の1つとして金融・決済関連事業に力を入れてきた。中でも注力している事業の1つがスマートフォン決済のd払いである。同社の2020年度第1四半期決算を見ると、d払いのユーザー数は2700万を超え、取扱高は前年同期比2.8倍の1530億円に達するなど好調な伸びを示している。

d払いはNTTドコモの注力分野の1つであり、ユーザー数や取扱高は急速な伸びを示している

　ただし、ドコモ口座がキャリアフリー化される前は、ドコモ以外のユーザーがd払いを利用するにはクレジットカードの登録が必要であるなどいくつかの制約があった。そのため、ドコモ口座のキャリアフリー化は、クレジットカードが利用できないドコモ以外のユーザーにもd払いを使ってもらい、利用者を増やすための施策であり、その拡大を急いだことが本人確認の甘さにつながったといえる。

　そのため、今回の問題に関する報道を見ていると、「ドコモがスマートフォン決済の拡大を急ぐあまり、セキュリティの甘さを見過ごした」と、ドコモ側の姿勢だけを批判する論調が目立つように感じる。だが、今回の問題では銀行側のセキュリティ認識の甘さも決して見過ごすことはできないものだ。

　ドコモ口座に限らず、スマートフォン決済のウォレットにチャージするための銀行口座振替手続きをするには、基本的に各銀行のシステムを用いる必要があり、その際に用いられる本人確認方法は銀行によって異なっている。そして、今回不正利用された銀行の多くは、名義人の名前と生年月日、口座番号、そして4桁の暗証番号があれば認証が可能となっており、犯人側が何らかの手段でこれら4つの情報を入手していれば容易に登録ができてしまう状態だったのだ。

　一方で、いまのところ不正利用されていないと見られる銀行の多くは、ワンタイムパスワードやキャッシュカードの製造番号など、口座番号や暗証番号以外の要素も求める2要素認証を実施していたところが多いようだ。暗証番号が分かっていてもキャッシュカードがなければ現金を引き落とされないのと同じように、2要素認証があれば仮に口座番号や暗証番号などが流出してしまっていても、不正に口座振替登録されることはない。

「PayPay」にソニー銀行の口座を登録しているところ。登録にはあらかじめ同行に登録したメールアドレスや、キャッシュカードの製造番号の一部を入力するなどの必要がある

　犯人がどのようにして口座番号や暗証番号などを入手したかについては、暗証番号を固定して口座番号などを総当たりで試行する「リバースブルートフォース」などが用いられたのではないかという説もあるようだが、まだ調査が進んでおらず具体的な方法については分かっていない。しかし、漏えいが起きたとしても利用者が口座を安全に利用できる体制を整えていなかったという点でいえば、銀行側のセキュリティ認識の甘さは大きく問われて然るべきだろう。