2020年9月7日から全国の地方銀行を中心に「ドコモ口座」からの不正な預金引き出し被害の報告が相次いでいる。ドコモユーザーでなくとも被害にあう可能性があり、被害規模も現時点では不明だ。セキュリティ専門家の徳丸 浩氏に、今起きていること、今できることを聞いた。
この記事は会員限定です。会員登録すると全てご覧いただけます。
2020年9月7日から全国の地方銀行を中心に「ドコモ口座」からの不正な預金引き出し被害の報告が相次いでいる。ドコモユーザーでなくとも被害にあう可能性があり、被害規模も現時点では不明だ。セキュリティ専門家の徳丸 浩氏(EGセキュアソリューションズ 代表取締役)に、今起きていること、今できることを聞いた。
――まず、今問題になっている「ドコモ口座」事件、現時点で何が起きているのでしょうか
徳丸氏: 狙われたのは「ドコモ口座と連携できる地銀の口座を持つ、ドコモ口座を利用していないユーザー」です。現時点ではほとんどの銀行が連携を停止しているため、利用者ができることはあまり多くありません。口座の残高を確認して自分が被害に遭っていないかを確認する程度になるでしょう。
――第一報では「地方銀行が狙われた」ことが注目を集めました。ゆうちょ銀行やメガバンクでも対応が進んでいますが、これはメガバンクも危ないということでしょうか
徳丸氏: 今回の事件では、地銀の利用する「Web口振受付サービス」とドコモ口座の連携部分がターゲットになっています。別のオンラインバンキングシステムを使っているメガバンクの対応が予防的なものか、それとも実際に攻撃を受けているのかは、現時点(2020年9月9日14時)では判断できません。
ただ、オンラインバンキングシステムを利用していないユーザーにもWeb取引を可能にしている銀行があることは事実です。口座番号と暗証番号、プラスアルファ(通帳に記帳した最終残高やメールアドレスの入力)などで認証を強化する施策は各行に独自性があり、それらの中で脆弱な情報が狙われた可能性はあります。
――では、今回の事件はある程度「起き得るものだった」と感じていますか?
徳丸氏: 例えば「ゆうちょペイ」は、「記号」と「番号」「暗証番号」で登録可能です。それだけ見れば脆弱かもしれませんが、スマートフォンからしか登録できないため、それが「本人だけが持つもの」という本人認証になっています。ただしそれも完全な仕組みかというと疑問が残ります。
金融以外にも、サービス連携の際に「これは脆弱ではないか」と感じることはあり、そのような場合、私は登録をやめたり脆弱性を指摘するメールを送ったりしていました。一方で少しの疑問を感じながら登録してしまったこともあり、潜在的には起き得るものだったと考えています。
――今最も注意すべきなのは、どんな人でしょうか? 該当する人は何を警戒するべきですか?
Copyright © ITmedia, Inc. All Rights Reserved.