ドコモ口座不正、66件に拡大 計1800万円、副社長が陳謝
コメント
選択しているユーザー
注目のコメント
ドコモの会見だからといって誤解してはいけないのが、今回の不正被害はドコモ利用者に限らないということ。「ドコモ口座」という単語だけが独り歩きしていて誤解している方が多そうです。該当の銀行口座を持っている方は被害に遭う可能性があります。66件、1800万円というのは、あくまでも現時点でドコモが把握している内容ということでしょう。
一転、謝罪・全額補償の方針が示されましたが、会見でドコモ副社長が「当初は銀行口座とドコモ口座の名義が一致しなくてもいいという緩いかたちで運用を始めた」と発言したことには驚きました。
ドコモ側の本人確認が「甘かった」ことはわかりましたが、銀行側の情報管理に問題がなかったか早急に検証が必要です。今回の問題が発覚し、通帳の中身を確認して初めて被害に気付く方は、まだいるかもしれません。
4年前にコンビニATMから不正に現金が引き出された事件。被害額は18億円以上にのぼり、日本から北朝鮮に入国した男が主導したと言われています。
今回と関連があるか分かりませんが、アメリカは最近、北朝鮮によるサイバー攻撃「ファスト・キャッシュ」戦略が活発化していることを警戒しているようです。
警察当局はドコモや銀行から話を聞くなど、情報収集中です。簡単にいうと
・ドコモ口座というキャッシュレスサービスがある。
・ドコモ口座は、メールアドレスさえあればドコモユーザーじゃなくても使えるサービス。
・誰かの銀行口座名義、銀行口座番号、暗証番号がわかれば、ドコモ口座に紐付けができる。
・ドコモ口座に紐付けできれば、銀行口座からお金を引き出せる。
・銀行口座からドコモ口座に引き出せれば、セブン銀行ATMなどで出金できる。
・銀行口座番号と暗証番号の特定にはリバースブルートフォースアタックが使われた可能性がある。
・リバースブルートフォースとは例えばよく使われそうな「1234」とか「1357」とか、そういう暗証番号に対して口座番号「1111111」「1111112」「111113」みたいに総当りで試していく方法。だから犯人が試してみたい暗証番号に運悪くロックオンされると、危険。(ブルートフォースがIDに対して暗証番号やパスワードを総当たりで試す攻撃。これはアカウントロックで対応されるが、リバースブルートフォースはいちアカウントに対しての攻撃は一回なので、保護は難しい)
・口座番号がわかれば、振り込みを試してみたりすれば口座名義名も分かる。
犯人が手口としてドコモ口座を使っているのであって、ドコモ口座を使っている人が被害に遭うわけではない。
結局は銀行側の本人確認方法次第なので、自らの防衛は難しいです。これまでの手口だと、被害にあった人は口座から「ドコモコウザ」で引き出しされるようなので、自らの口座を確認しましょう。(今後、別の手口で引き出される可能性もあります)
※追記
上田さんが「webにしても本人確認をちゃんとすればある程度は防げるはずなのに、簡単な登録でセキュリティホールを開けたのはドコモで、だから責められるべきはドコモです」と書かれていますが、僕は50:50かそれ以上に地銀の認証の甘さが問題だと思っています。