ユーザーブロマガは2021年10月7日(予定)をもちましてサービスを終了します

【ICT用語辞典 番外編1】銀行のセキュリティがガバガバすぎる! ドコモ口座以外も要注意
閉じる
閉じる

新しい記事を投稿しました。シェアして読者に伝えましょう

×

【ICT用語辞典 番外編1】銀行のセキュリティがガバガバすぎる! ドコモ口座以外も要注意

2020-09-14 23:30
  • 1

金融システムは狙われやすいので,他システムよりもちゃんとセキュリティ考えて欲しいですね。

【ICT用語辞典 番外編1】銀行のセキュリティがガバガバすぎる! ドコモ口座以外も要注意

---- SKA’s blomaga written on 2020/09/14 ----

はいみなさんこんにちは。SKA’s blomagaへようこそ。この記事はICT用語をゆる〜く解説する「ICT用語辞典」の番外編で,今回は用語解説ではありません。また,長くなったことも含め諸事情により今回はバーチャル版動画はありません。

前置き

今日のテーマはこちら。「銀行のセキュリティがガバガバすぎる! ドコモ口座以外も要注意」てことで,

何が言いたいのかって話をしますと,
ニュースではドコモ口座が悪いかのような報道がされていて,しかも一時的な対策としてドコモ口座との連携を中止したという話を聞きましたが,
この問題は圧倒的に銀行のセキュリティが悪いんですよ。もちろんすべての銀行が悪いわけではなくて,主に地方銀行とか,今回被害に遭った銀行のことです。

で,そういうことなので,ドコモ口座との連携を止めたところで,銀行のセキュリティが改善されるまでは他サービス経由で同様の被害が出ますよって話です。

ちょっと過激なことを言うとですね,「ドコモが悪い」とか「ドコモ口座との連携を止めたので安心してください」とか言ってる銀行があったら,その銀行は絶対に信用してはいけないってことです。

○○Payの仕組みって?

ではまず,ドコモ口座は若干違いますが,流行りのQR決済がだいたいどういう仕組みかって話をしたいと思います。

登場人物は4人です。利用者と金融サービスと銀行とお店とかですね。ちなみに,この動画ではドコモ口座だとかQR決済みたいなサービスを金融サービスと定義します。

利用者は金融サービスに対して,アカウントを作成することと,ログインして各種操作をすることができます。
金融サービスは銀行に対して,連携することができます。
銀行は金融サービスに対して,お金をあげるというか引き出すことができます。
最後に,金融サービスはお店とかに対して,決済や送金ができます。

だいたいこんな感じになってます。

ところでですね,去年問題になった「7Pay」はこの図のどこが悪かったのでしょうか。

答えを言ってしまうと,ここですね。ログインに問題がありました。
具体的には2段階認証になってなかったので,別の人が自由にログインできるようになっていました。

2段階認証って?

2段階認証って何か気になる人もいると思うので,説明したいのですが,そのためにまずログインって何なのかって話をしますね。

ログインは自分専用のデータにアクセスしたり,自分専用の操作をするための認証のことです。
例えば,SNSや動画共有サイトでログインしなくても公開されている他人の投稿は見れますよね。でも,自分が投稿したり,コメントしたり,いいねしたりっていう自分にしか許されていない行為はログインしないとできないですよね。まぁそういう感じです。

なので,ログインには「自分にはあって他人にはないもの」が必要です。
例えばパスワードは「自分には分かって他人には分からない知識」のように一見思えますよね。それでよく使われるのですが,パスワードってランダムではなくて偏りがかなり大きいんですよ。
例えば,よくわからないから「1234」にする,とか,探索ゲームでよくありますが,好きな人の誕生日にする,とかですね,まぁ人間が考えるので,けっこうな確率で他人と同じ考え方で作られたパスワードになります。
なので,戦略的にテキトーな文字列入れれば,わりと通ったりします。

よって,パスワードだけでは「自分にはあって他人にはないもの」とは言えないので,別のものを用いて「自分にはあって他人にはない」ことを証明しないといけないわけですね。それが2段階認証です。

2段階認証にもいくつかあるのですが,有名なものは「ワンタイムパスコード」ですね。これは自分しか持っていないモノに対して一定時間の間しか使えない乱数を送る方式です。

これも2つあって,ひとつはSMS認証ですね。
SMSは電話番号を使って短いテキストを送れるサービスで,それを使って乱数を送ります。電話番号はモバイル回線を契約するときにスマホやモバイルルーターに入れるSIMカードにひもづいています。なので,「自分は持っていて他人は持っていないSIMカード」である可能性が非常に高いと言えます。

もうひとつはアプリ認証ですね。
同様に一定時間しか使えない乱数を使うのですが,SMSではなく専用のアプリを使います。この場合「自分は持っていて他人は持っていない端末」であることが非常に高いと言えます。

ただ,誤解しないでいただきたいのですが,このワンタイムパスコードで言えるのは「アカウント作成時に持っていたモノを持っているかどうか」でしかないので,アカウント作成時の本名や年齢といった身分確認には使えません。

ドコモ口座の問題点は?

7Pay問題で話題になった2段階認証はそういうものです。このあとまた2段階認証の話が出てくるので説明しましたが,ドコモ口座の話に戻ります。
ドコモ口座問題はどこが悪かったのでしょうか。

ここ,アカウント作成も若干怪しいところではあったのですが,
主にはここ,銀行口座と連携する処理の銀行側です。
〇〇Payみたいなプリペイドサービスを使ったことある人は分かると思いますが,コンビニで入金したりとか色々ありますが,銀行口座から入金することもできますよね。「この口座から引き下ろしてね」って言うわけですけど,そのときの銀行側の承認があまりにもガバガバすぎる状態の銀行があまりにも多かったわけです。

具体的にどうガバガバだったのかと言うと,口座名義と口座番号と暗証番号が一致していれば連携できたんですね。加えて生年月日も必要な銀行も被害出ましたが,まぁはい,ってところです。

いちおう言っておくと,名義は例えば佐藤さんとかですけど,この名前の人が多いみたいな統計ってありますよね。
口座番号や生年月日は決まった形式です。
暗証番号なんてたった数字4桁で,これもこの数字が人気みたいな統計があります。
ようはただのパスワードと同じく「自分にはあって他人にはないもの」ではないんですね。

あとは「暗証番号は3回間違えたら終わりなんだから大丈夫でしょ」って思う人がいるかもしれませんが,大丈夫なんてことはありません。
ひとつは暗証番号を固定して口座番号を変えて試せばいいですね。例えば,暗証番号が「1234」の「山田太郎」さんの口座番号はこれかなー,こっちかなーって総当たりすればいいですね。
もうひとつは情報漏洩してしまった口座情報を使えばいいですね。今回はどちらだったのか,あるいは両方組み合わせてきたのか,まだ分かりませんが,
ぶっちゃけこれはどっちでもいい話です。
どちらにしろ銀行が「他人が自由にお金を引き出せる状態」にしていたことに変わりはないので。

対策は?

では今回被害が出てしまった銀行はどう対策するべきでしょうか。

結論を言うと,ATMと同じ状態にすればいいですね。
ATMはキャッシュカードや通帳が必要ですよね。これはもちろん「自分は持っていて他人は持っていないキャッシュカードや通帳」っていう状態になります。つまりワンタイムパスコードと本質的に同じなんですよ。
なので,ワンタイムパスコードを圧倒的に導入すべきです。

そもそもの話なんですけど,「2段階認証が通らないとオンラインバンキングできない」っていうくらいのことすべきだったんですよね。
逆に今までがキャッシュカードや通帳がなくても使えるATMみたいな状態だったんですね。
名前と口座番号と暗証番号を入れたら,その口座から自由に引き出せるATMがあったらどうしますか? まぁ私は人の金を引き出そうとは思いませんが,ガチャみたいな感覚でこの名前と口座番号と暗証番号で引き出せるかって挑戦する人が出てくるのではないでしょうか。実際にそういう人が出てきたから,今回被害が出たわけです。

では今回被害が出てしまった銀行の利用者はどう対策するべきでしょうか。というかそれは私のことなので,考えてみました。

さっき図で説明した通り,銀行口座と連携する部分のセキュリティがガバガバなので,逆にすべての金融サービス,例えばLINE PayとかPayPayとかと銀行口座を連携させてしまえばいいです。
なぜなら,普通にデータベース設計したら2重連携はできないからです。
例えば,太郎さんが太郎さんの口座をドコモ口座と連携させた後に,第三者の次郎さんが太郎さんの口座をドコモ口座と連携しようとしても,できないはずなんですよ。
そこが今回の問題の面白いところですね。ドコモ口座をすでに使っていた人は被害に遭わないはずなんですね。逆にドコモ口座を使ってない人のお金が勝手に盗まれていました。
なので,すべての金融サービスと銀行口座を連携させれば,同じ手口では盗まれなくなりますが,もちろん時間のムダですし,いろいろな場所に口座情報を提供するので,情報漏洩のリスクが増し増しになります。
あるいはそのときに偽サイトにアクセスしてしまったら確実に悪用されます。
Web検索サービスってトップに広告欄がありますよね。広告も検索結果と同じ形式で表示されてますよね。つまり,偽サイトが検索サービスに広告を出せば,検索結果のトップは公式サイトですが,さらにその上に偽サイトが表示されますからね。
たった3か月前にもWeb会議のZoomの偽サイトが広告でトップに出てたっていうことがあったので,フィッシングのリスクを考えたら,すべての金融サービスと連携するっていうのはやらないほうがまだ安全だと思います。

次に,銀行がシステム改善するのを待つっていう方法があります。
でもそもそも信用できますか?
さっきも言いましたが,「情報漏洩してしまった口座はどうぞ世界中の人ご自由にお使いください!」って言っていた銀行ですよ。直接言ってないですけど,そう言ってたと同義のことをしてますからね。まぁそういう精神論はおいておくとして,
システム改善を待っている間に被害に遭う可能性があります。悪いのは銀行なので,ドコモ口座以外の,例えばLINE PayとかPayPayとかでも同じ手口が使えます。なので,待っている間に被害に遭う可能性があります。

最後に,セキュリティのしっかりした銀行を使うっていう方法があります。それが一番確実ですね。それこそLINE PayとかPayPayとかのサイトに「口座登録のやり方」みたいなヘルプページがあって,そこに「必要なもの」が書いてあります。必要なものにSMSとか専用のアプリがある銀行はちゃんと考えているってことです。
まぁそうは言ってもいろいろな手続の関係上,銀行口座って簡単には変えられないですよね。そういう場合でも少なくとも「0000」とか「1234」みたいな暗証番号の人は今すぐに変更したほうがいいです。

まとめ

ということで,今日はICT用語辞典の番外編ってことで,今話題のドコモ口座問題に関して,情報システムの観点で,主に銀行のセキュリティについてお話させていただきました。

まとめると,認証の基本は,知識でも物理的なモノでもあるいは体,例えば指紋認証とか顔認証みたなものでもなんでもいいんですけど,とにかく「自分にはあって他人にはないもの」でなければならないってことですね。

パスワードはみんな似たような考え方をしてしまうので,他人にはない知識とは言いがたいです。なので,2段階認証しないと認証の基本を満たせません。

今回これだけ被害が出たので,認証の基本すら満たせていないあまりにもガバガバな銀行があまりにも多かったってことが分かりましたね。

もちろん銀行側の欠陥なので,今後ドコモ口座以外のサービスを使って,似たような被害が出る可能性があります。

これは今回の問題の面白い点ですが,ドコモ口座をすでに利用していた人は被害に遭っていないはずです。逆に,ドコモ口座を使っていない人が被害に遭っています。

最後に,各種QR決済の「口座登録の仕方」みたいなページを見ると,各銀行のセキュリティレベルが分かります。これから新規に口座を作る人はそういうところを確認しましょう。

感想

はいということで,技術的な話以外しないと言っておきながら,最後に感想というか,この動画を作った経緯なんですが,
Twitterで2段階認証がって言ってる人がいて,「2段階認証って何を証明するんだったっけ?」って1分くらい考えて,「初回登録のときに持っていたスマホを持っている人かどうか」を判断するためのものだなーって分かって,
じゃあそもそもログインってなんだろうって考えて,自分だけの操作をするための認証だなって分かって,だから「自分にはあって他人にはないもの」が必要だと再認識できたわけですけど,
じゃあ銀行はどうなんだろうって考えたら,名前と口座番号と暗証番号だけって他人も知りうる知識だから,「あれ? ドコモドコモって騒がれてるけど銀行が悪くね?」って思って,急遽動画撮ったって感じです。
何が言いたいかっていうと,情報システムに詳しくて,抽象的な思考ができる人であれば,5分考えれば銀行のシステムがおかしいって気づくわけですよ。
つまり,今回被害が出た銀行は詳しい人がいなかったか,
詳しい人に5分すら考える時間を与えさせなかったか,
詳しい人の意見が潰されるような状況だったか,ってことですね。
まぁそれ以上は言いませんが,察してください。

てことで,もしよかったらフォローやコメントしてくれると大変励みになります。
今回は内容が内容で,銀行関係の人はオコだと思うので,YouTubeの動画に低評価押してもらっても全然構いませんが,暴言や怒りにまかせたコメントは控えていただけると幸いに思います。
てことで,ではまた!

素材提供

  • 画像
    • いらすとや
  • 使用フォント
    • 千都フォント「ヒラギノ角ゴ」

---- SKA’s blomaga ----

トップページへ

広告
×
ためになった(小並感
7ヶ月前
コメントを書く
コメントをするには、
ログインして下さい。