會原 
ドコモ口座を開設し、地銀と紐付け、引き落とす不正利用の手口が相次いでいます。
SNS上では、ドコモ口座を利用していない、ドコモと契約していないユーザーが「不正にドコモ口座にお金を引き落としされた」との被害報告が1週間前から相次いでいます。Togetterにもまとめられています。
(出典:七十七銀行)
不正に盗み出したユーザーの口座番号と暗証番号を使い、ドコモ口座を利用した不正な引き落とし被害が発生しているとして、七十七銀行は、Web口振受付サービスの利用を一時停止しました。七十七銀行のほか、中国銀行、東邦銀行、滋賀銀行、鳥取銀行が同様の被害があったと正式発表。
これら地銀は、ドコモ口座との紐付け認証において、口座番号と4桁の暗証番号入力のみで認証が可能であるため、根本的に地銀側のセキュリティが低いことが考えられます。
イメージはこんな感じか。
●ブルートフォース
🤔000〜999まで試せば必ず開くんじゃね?●リバースブルートフォース
🤔片っ端から123って入れたらどれかは開くんじゃね?前者は100%暗証番号が分かってしまうので、何らかの対策が取られている事がほとんど。後者は対策されてない場合も多い、と。 pic.twitter.com/9TrlPcjH59
— chairwarmer@リングフィット筋肉痛 (@chairwarmer2) September 7, 2020
また、今回の一連の被害はドコモ口座に集中しており、ドコモ口座側の仕様にも問題があるものと見られます。ドコモ口座は、電話番号での認証もなく、本人確認をせずにメールアドレスでいくらでも無数に開設できる仕様。これによってリバースブルートフォース・パスワードスプレーが行われた可能性があります。
さらに、本人確認をしなければ一部機能が利用できない仕様ではあったものの、その本人確認が「銀行口座の登録で完了」。紐付けのためのセキュリティが不十分な地銀とドコモ口座は連携しているにも関わらず、ドコモ口座はその連携をもって「本人確認」と見做す仕様だったわけです。
(銀行口座の登録で本人確認完了)
NTTドコモは発表で以下のように主張しています。
本件は、不正に取得された銀行口座番号やキャッシュカードの暗証番号等を悪用したものであり、当社システムに不正アクセスされ情報を取得されたものではございません。
当社は、これまで不正アクセスに対する二段階認証やアカウントロック等、様々なセキュリティ対策を講じておりますが、お客さまにより安心・安全にご利用頂けるよう、更なる対策強化に努めてまいります。
また、被害に関する調査、対策については、銀行と連携して対応してまいります。
数日前に七十七銀行での被害が判明した時点でドコモ口座が速やかにサービスを停止、対策を打つべきだったのではないでしょうか?現在、被害にあっていない各銀行が、続々とドコモ口座との新規紐付けの停止を発表。以下の通り。
- 七十七銀行
- 中国銀行
- 東邦銀行
- 大垣共立銀行
- 滋賀銀行
- 鳥取銀行
- 但馬銀行
- 大分銀行
- 北洋銀行
- 池田泉州銀行
- 第三銀行
- 仙台銀行
- みちのく銀行
- イオン銀行
ドコモ口座と各地銀の両者それぞれに問題がある以上、双方が「各地銀のドコモ口座の新規紐付けだけ停止」では、対応として不十分に思います。地銀側もセキュリティ対策導入まではドコモ口座以外のセキュリティが不十分な類似サービスとの紐付けも停止すべきではないでしょうか。
