フィンテックで変わる財務

「SBIや三菱UFJも被弾」相次ぐ不正出金のウラに隠れたもう1つの危ない現実古田拓也「今更聞けないお金とビジネス」(2/3 ページ)

» 2020年09月18日 07時00分 公開
[古田拓也ITmedia]

 この種の攻撃は、主に他の場所でパスワードを使い回しているユーザーが被害に遭いやすい性質がある。

 確かに、セブンペイの事例では二段階認証機能を軽視したセブンペイ側や、攻撃者に責任があることが大前提である。しかし、パスワードの使い回しなどによりリスト型攻撃を許す隙を与えてしまった利用者側にもわずかながら責任があるといえるだろう。

 一方で、ドコモ口座の事例は、セブンペイよりもはるかに深刻だ。本件では、攻撃者側がドコモ口座を作成すれば銀行顧客への攻撃が成立してしまうため、ドコモ口座を利用していない顧客の口座からお金が不正に引き出される可能性もあることになる。

 この脆弱性に対し、ドコモ口座側はSMSによる二要素認証およびeKYC(電子的な本人確認)を導入することで無尽蔵に匿名アカウントを作成できる現状を改善し、金融機関側はログインや送金時にSMSなどによる二要素認証を用いる”合わせ技”で不正出金のリスクを抑制するという。

 17日現在では、ドコモ口座においてワンタイムパスワードやSMSによる二要素認証を導入していたみずほ銀行、三井住友銀行などでは被害は確認されていない。現時点で判明している被害状況をみると、攻撃の対象は地方銀行を中心とした二要素認証を導入していない銀行に集中している。

 ワンタイムパスやSMSによる二要素認証を破るには、口座のIDとパスワードだけでなく、専用端末やスマートフォンそれ自体またはその情報も入手する必要があり、不正出金の難易度が一気に上昇する。したがってこれらの対策は有効打にはなりそうだ。

Copyright © ITmedia, Inc. All Rights Reserved.