AI時代の生き方 セキュリティ ライフハック リスク管理

ネット金融のセキュリティで注意すべき3つの大原則 – NTTドコモ事件の反省

投稿日:2020年9月10日 更新日:

2020年9月10日現在、NTTドコモのd払いが何者かに勝手に不正に使われ、その利用金額が銀行から引き落とされるセキュリティ事件がありました。

管理人はサラリーマン時代に金融機関でのセキュリティに関与してきており、今でも情報が入ってきますが、ユーザー側で絶対に注意すべきことがあります。

金融機関側もさまざまなセキュリティ施策はしていますが、ユーザー側が注意し、自己防衛しないとどうにもならないこともあります。今回もNTTドコモと地方銀行の本人確認の甘さが命取りになりました。

ネットの世界では、世界中から攻撃者が狙っていますが、残念ながら日本の警察がカバーできるのは国内限定の上、圧倒的に攻める側が多く、その力は及びません。治安の悪い国に滞在しているという心構えが必要です。

オンラインでの金融サービスはとても便利であり、今後のキャッシュレス化の流れは止まらないと思いますが、さまざまなところから狙われているということも忘れないでください。

NTTドコモ事件の問題点

まず今回の問題点ですが、ドコモ側も不正利用された金融機関も本人確認を怠っていたというところを真っ先に挙げたいと思います。

リアルな世界での犯罪者、特に組織犯罪やテロの資金洗浄に金融サービスが使われることを防ぐことが、世界的に共通の課題になっています。いわゆるアンチ・マネーロンダリングというものです。

不正利用される際の共通点は、本来のユーザーのふりをしてそのサービスを使う、いわゆる「なりすまし」です。

この「なりすまし」を防ぐために、まず金融機関としては、口座申込みの際に、自動車免許証、パスポート、自撮り写真、その他の本人確認書類や本人限定受取郵便などを使って、本人の身元確認を行います。

これはKYC(ケーワイシー)と呼ばれます。Know Your Customerの略です。これは法令で定められた金融機関や金融サービス業者の義務ですが、同時に、まず自分が不正利用されないための第一歩でもあり、ユーザーを守るためのものです。

今回のサービスのような、本人確認(KYC)のないサービスは、「なりすまし」をされても照合すべき情報がないのですから、セキュリティ的には土台が脆いということになります。

いろいろ注意をしていても、攻撃者の数は多く、攻撃手法も日々進化していてこれで大丈夫、という絶対的な決め手はないですが、少なくてもここを注意しておけば攻撃を成功させる確率を大きく下げることができるというポイント3つを説明します。

逆にいうと、いろいろ対策しようとすればキリはないですが、最小限、これだけは注意してください、ということです。

1. IDとパスワードはサイト毎に使い分ける

多くのサービスでは、ID(ネット上でその人であることを示す情報)としてメールアドレスを使います。

たとえばネットサービスを使うにしても、Gメールや他のGoogleサービスを使う、Amazonや楽天での買い物、FaceBookやインスタ、LINEといったSNSサービス、どれも同じメールアドレスを使っているかもしれません。

ところがこれらのサービスでは過去に大規模なハッキングが起きて、そのメールアドレスやパスワードが流出しています。またタチが悪いことに、報道された情報以外にも、誰にも知られないところでこっそりデータが盗み出されている可能性も否定できません。

それらのメールアドレスやパスワードは、ネット犯罪者の間で売買されたり容易に交換できるようになっています。

ですから、たとえば過去にどこかのサイトから流出したIDとパスワードを使い続けていると、そのデータを入手したネット犯罪者が大手のサイトに連続してログインできないか試行した場合、そのIDとパスワードでログインされてしまうことになります。

IDは同じメールアドレスを使うのは仕方ないとして、パスワードは必ず使い回さず、サービス毎に異なるものを設定しておいてください

万が一流出しても、被害をそのサイトだけに限定させることができます。

2. 2要素認証があれば必ず利用する

上で見たように、IDとパスワードだけのセキュリティでは、何かの弾みで流出した際に、他のサービスまで被害を受けてしまいます。

これを防ぐために、最近は多くのサイト、特に金融サービスのオンラインサービスでは、2要素認証を採り入れるところが増えています。

たとえば最初にIDとパスワードで認証され、次に電子メールに書かれているランダムな数字を入れるとか、登録した携帯電話の電話番号宛にショートメールを送信し、そこに書かれているランダムな数字を入れる、あるいはランダムな数字を繰り返し生成する認証専用アプリをスマホに入れて、ログイン時にその番号を入れる、等、2つの要素が一致しないと本人ではないと判断して、ログインさせない、というものです。

管理人の金融業界での経験の時も、過去に流出したリストで総当たり攻撃を何度か受けました。その際に防御の決め手になったのは2要素認証を設定していた人でした。IDとパスワードだけの人は突破されていました。

というわけで、2要素認証が設定できるサービスであれば、必ずこれを設定してください。けっこう面倒ですが、1つやっておけばそれ以外も分かるようになるでしょうし、突破されるリスクがかなり低くなります。

もう1つ注意すべきは、2番めの認証手段では電子メールでなくスマホのショートメールか認証アプリを使うことです。

同じIDとパスワードを使い回している場合、ネット犯罪者は電子メールにもアクセスできている可能性が高くなります。そうなると犯罪者はその金融サービスにアクセスし、認証コードを電子メールに送り、その数字も電子メールサービスにログインして見えてしまうので、せっかくの2要素認証の意味がなくなります。

携帯電話の場合は、さすがになくしたり奪われたりすると分かるので、携帯を止めておけば突破される可能性は低くなります。

もっとも、スマホ自体がコンピュータウィルスに感染して、中の情報がネット犯罪者から見えてしまうこともあるので、100%安全とはいえないのですが。

3. 出金の上限額を設定する

これだけ注意しても、うっかり本物そっくりに巧妙に作られたフィッシングサイトなどに引っ掛かって、うっかりIDもパスワードも認証コードも取られ、ネット犯罪者に不正ログインを許してしまうかもしれません。

<参考>
【警告】「Apple IDがロックされています」という偽メールに注意

最後の防衛の手段として、1日の出金制限額を最低限に設定し、また利用した場合には確認メールが携帯などに送られてくるように設定しておくことをお勧めします。

たとえばキャッシュレスの支払いサービスであれば、そもそも1万円とか2万円しか入金しておかないようする、オンラインバンキングでも1日の出金制限をATMと同じ用に10万円にするとか、キャッシュカードでも1日の利用限度額を設定するとかしておきます。

被害をゼロにすることはできませんが、戦艦のように内部をたくさんの区画に区切って、万が一攻撃されても被害を一部のエリアに限定することで、被害を小規模に留めることができます。

まとめ

オンライン金融サービスはとても便利で、一度使ってしまうともう以前の世界には戻れないかと思います。さまざまなフィンテックが開発されて、ますます便利になってくるのは間違いないでしょう。

それでもお金が絡む限りは、不正利用を目論む犯罪者、闇の世界の組織犯罪者、テロリスト、それを支援するテロ支援国家等、さまざまなところが総力を結集して今もスキのあるところを探して、狙っています。

ここで説明した3つのルールは、最小限のものです。他にもできることはやるといいのですが、ネットの金融サービスを使う場合は、絶対に、少なくてもここの注意だけでも実施していただきたいと思います。この最低限の措置を取らずに利用することは、治安の悪い土地で武器も持たずに自分の財産を晒すことと同じだということです。

-AI時代の生き方, セキュリティ, ライフハック, リスク管理
-, , , ,

執筆者:


comment

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA


関連記事

no image

【リブログ】ベーシックインカムが導入された世界(本田晃一さんブログより)

こんにちは。IT/経済ジャーナリストで投資家の渡辺です。 前向きな著作で元気付けてくれる、いつも明るい作家の本田晃一さんが働き方改革とベーシックインカムについて、簡潔に、でも結構本質的な内容をブログに …

no image

【AI人生戦略】人生100年時代で年金もなく80才まで働かなければいけないなら

こんにちは。IT/経済ジャーナリストで投資家の渡辺です。 昨日、ねんきん定期便を受け取りました。フリーになる前はそこそこ大きな企業のサラリーマンでしたので、65歳からは年額150万円強くらいの年金を受 …

no image

【雑感】つらい仕事を辞めるための準備 〜森友に絡む財務官僚自死に思う

こんにちは。IT/経済ジャーナリストで投資家の渡辺です。 森友問題で、その案件を担当していた50代の担当者の方が悩んだ末に自死したことが報道されました。 森友事件の方は正直、編集人個人の活動や利益には …

no image

【AIサバイバル術】AIに仕事を奪われる前に資本家になろう

こんにちは。IT/経済ジャーナリスト、投資家でミニ資本家の渡辺です。 AIの普及で失業する人が240万人という試算が出たことを紹介しました。 ご参考:【AIサバイバル術】AIの普及で2030年までに2 …

no image

AIは野村監督の野球頭脳を持つのか? 〜AIピッチングマシンを有効活用するには

こんにちは。IT/経済ジャーナリストで投資家の渡辺です。 人工知能(AI)には、音声認識とか将棋プログラムのような、ある限られた範囲での特定の用途で使われるものと、会話するロボットなど特に範囲のない、 …