2020年9月10日現在、NTTドコモのd払いが何者かに勝手に不正に使われ、その利用金額が銀行から引き落とされるセキュリティ事件がありました。
管理人はサラリーマン時代に金融機関でのセキュリティに関与してきており、今でも情報が入ってきますが、ユーザー側で絶対に注意すべきことがあります。
金融機関側もさまざまなセキュリティ施策はしていますが、ユーザー側が注意し、自己防衛しないとどうにもならないこともあります。今回もNTTドコモと地方銀行の本人確認の甘さが命取りになりました。
ネットの世界では、世界中から攻撃者が狙っていますが、残念ながら日本の警察がカバーできるのは国内限定の上、圧倒的に攻める側が多く、その力は及びません。治安の悪い国に滞在しているという心構えが必要です。
オンラインでの金融サービスはとても便利であり、今後のキャッシュレス化の流れは止まらないと思いますが、さまざまなところから狙われているということも忘れないでください。
NTTドコモ事件の問題点
まず今回の問題点ですが、ドコモ側も不正利用された金融機関も本人確認を怠っていたというところを真っ先に挙げたいと思います。
リアルな世界での犯罪者、特に組織犯罪やテロの資金洗浄に金融サービスが使われることを防ぐことが、世界的に共通の課題になっています。いわゆるアンチ・マネーロンダリングというものです。
不正利用される際の共通点は、本来のユーザーのふりをしてそのサービスを使う、いわゆる「なりすまし」です。
この「なりすまし」を防ぐために、まず金融機関としては、口座申込みの際に、自動車免許証、パスポート、自撮り写真、その他の本人確認書類や本人限定受取郵便などを使って、本人の身元確認を行います。
これはKYC(ケーワイシー)と呼ばれます。Know Your Customerの略です。これは法令で定められた金融機関や金融サービス業者の義務ですが、同時に、まず自分が不正利用されないための第一歩でもあり、ユーザーを守るためのものです。
今回のサービスのような、本人確認(KYC)のないサービスは、「なりすまし」をされても照合すべき情報がないのですから、セキュリティ的には土台が脆いということになります。
いろいろ注意をしていても、攻撃者の数は多く、攻撃手法も日々進化していてこれで大丈夫、という絶対的な決め手はないですが、少なくてもここを注意しておけば攻撃を成功させる確率を大きく下げることができるというポイント3つを説明します。
逆にいうと、いろいろ対策しようとすればキリはないですが、最小限、これだけは注意してください、ということです。
1. IDとパスワードはサイト毎に使い分ける
多くのサービスでは、ID(ネット上でその人であることを示す情報)としてメールアドレスを使います。
たとえばネットサービスを使うにしても、Gメールや他のGoogleサービスを使う、Amazonや楽天での買い物、FaceBookやインスタ、LINEといったSNSサービス、どれも同じメールアドレスを使っているかもしれません。
ところがこれらのサービスでは過去に大規模なハッキングが起きて、そのメールアドレスやパスワードが流出しています。またタチが悪いことに、報道された情報以外にも、誰にも知られないところでこっそりデータが盗み出されている可能性も否定できません。
それらのメールアドレスやパスワードは、ネット犯罪者の間で売買されたり容易に交換できるようになっています。
ですから、たとえば過去にどこかのサイトから流出したIDとパスワードを使い続けていると、そのデータを入手したネット犯罪者が大手のサイトに連続してログインできないか試行した場合、そのIDとパスワードでログインされてしまうことになります。
IDは同じメールアドレスを使うのは仕方ないとして、パスワードは必ず使い回さず、サービス毎に異なるものを設定しておいてください。
万が一流出しても、被害をそのサイトだけに限定させることができます。
2. 2要素認証があれば必ず利用する
上で見たように、IDとパスワードだけのセキュリティでは、何かの弾みで流出した際に、他のサービスまで被害を受けてしまいます。
これを防ぐために、最近は多くのサイト、特に金融サービスのオンラインサービスでは、2要素認証を採り入れるところが増えています。
たとえば最初にIDとパスワードで認証され、次に電子メールに書かれているランダムな数字を入れるとか、登録した携帯電話の電話番号宛にショートメールを送信し、そこに書かれているランダムな数字を入れる、あるいはランダムな数字を繰り返し生成する認証専用アプリをスマホに入れて、ログイン時にその番号を入れる、等、2つの要素が一致しないと本人ではないと判断して、ログインさせない、というものです。
管理人の金融業界での経験の時も、過去に流出したリストで総当たり攻撃を何度か受けました。その際に防御の決め手になったのは2要素認証を設定していた人でした。IDとパスワードだけの人は突破されていました。
というわけで、2要素認証が設定できるサービスであれば、必ずこれを設定してください。けっこう面倒ですが、1つやっておけばそれ以外も分かるようになるでしょうし、突破されるリスクがかなり低くなります。
もう1つ注意すべきは、2番めの認証手段では電子メールでなくスマホのショートメールか認証アプリを使うことです。
同じIDとパスワードを使い回している場合、ネット犯罪者は電子メールにもアクセスできている可能性が高くなります。そうなると犯罪者はその金融サービスにアクセスし、認証コードを電子メールに送り、その数字も電子メールサービスにログインして見えてしまうので、せっかくの2要素認証の意味がなくなります。
携帯電話の場合は、さすがになくしたり奪われたりすると分かるので、携帯を止めておけば突破される可能性は低くなります。
もっとも、スマホ自体がコンピュータウィルスに感染して、中の情報がネット犯罪者から見えてしまうこともあるので、100%安全とはいえないのですが。
3. 出金の上限額を設定する
これだけ注意しても、うっかり本物そっくりに巧妙に作られたフィッシングサイトなどに引っ掛かって、うっかりIDもパスワードも認証コードも取られ、ネット犯罪者に不正ログインを許してしまうかもしれません。
<参考>
【警告】「Apple IDがロックされています」という偽メールに注意
最後の防衛の手段として、1日の出金制限額を最低限に設定し、また利用した場合には確認メールが携帯などに送られてくるように設定しておくことをお勧めします。
たとえばキャッシュレスの支払いサービスであれば、そもそも1万円とか2万円しか入金しておかないようする、オンラインバンキングでも1日の出金制限をATMと同じ用に10万円にするとか、キャッシュカードでも1日の利用限度額を設定するとかしておきます。
被害をゼロにすることはできませんが、戦艦のように内部をたくさんの区画に区切って、万が一攻撃されても被害を一部のエリアに限定することで、被害を小規模に留めることができます。
まとめ
オンライン金融サービスはとても便利で、一度使ってしまうともう以前の世界には戻れないかと思います。さまざまなフィンテックが開発されて、ますます便利になってくるのは間違いないでしょう。
それでもお金が絡む限りは、不正利用を目論む犯罪者、闇の世界の組織犯罪者、テロリスト、それを支援するテロ支援国家等、さまざまなところが総力を結集して今もスキのあるところを探して、狙っています。
ここで説明した3つのルールは、最小限のものです。他にもできることはやるといいのですが、ネットの金融サービスを使う場合は、絶対に、少なくてもここの注意だけでも実施していただきたいと思います。この最低限の措置を取らずに利用することは、治安の悪い土地で武器も持たずに自分の財産を晒すことと同じだということです。
コメント