【コラム】ドコモ口座にまつわる不正は、誰が悪かったのか

 ドコモ口座がクラック(不正利用)された。そして騒ぎになっている。

 そもそもドコモ口座とは何ぞ?

 ドコモ口座は、NTTドコモが提供するサービスで、銀行などの金融機関からお金をチャージしたり、買い物の決済に使ったりすることができるものだ。

 だったら、銀行の口座でいいじゃん! と思うところだが、銀行の口座はいろいろパッチを当てて現代ふうな外観にしているものの、発想と設計の根幹は現金主義である。手続きは面倒で、現代のお金の使い方にもマッチしていない。いろいろ要求してくる上に、サービスが悪いのである。

 だから、ドコモ口座のような中間的な形態が出てくる。昔ながらの金融機関ともやり取りできるし、キャッシュレス決済などとの接続性も良好だ。こうしたサービスがあること自体が、既存金融機関の制度疲労を表していて、不正が起こる遠因にもなっている。

 そのドコモ口座で、他人になりすましてドコモ口座を開設し、他の人の銀行口座から不正入金する事件が発生した。

 なぜ、そんなことが起きたのだろうか?

 まず、ドコモ口座のセキュリティー設計が甘かった。ドコモ口座は金融機関と接続できるサービスであるにも関わらず、メールアドレスだけで開設が可能だった。

 何らかのサービスを利用するときに、メールアドレスを使って本人確認(KYC:Know Your Customer)をすることはよくある。申請されたメールアドレスに案内メールが届いて、そこに記されたURLを踏めば良しとするアレだ。確かに、そのメールアドレスを本人が使っていることは確かめられる。

 しかしそれは、いわゆる「当人認証」である。KYCの一要素でしかない。「そのメールアドレスを使えている人」ではあるが、住所や氏名はわからない。お金を扱うサービスであれば、住所、氏名、生年月日などを登録してもらい、それが真正であるか身分証明書などを使って確かめる「身元確認」もするべきだったと考えられる。状況に応じて、当人認証だけでいいのか、身元確認もするのかは、使い分けなければならない。

 では、この事件はすべてドコモが悪かったのだろうか。やっぱりネットは危ないから、現金でやり取りすべきだという話なのだろうか。

 もちろん、そんなことはない。

 ドコモがその仕様を隠していたわけではないので、金融機関側にはリスク評価を正しく行う能力が欠如していたと考えられる。

 また、そもそも現金はハイリスクだ。名前が書いてあるわけでもなく、落としたときに利用を止めてもらうこともできない。キャッシュカードとわずか4桁の暗証番号が分かれば口座から現金を引き出せる仕組みが、高度なセキュリティー水準であるわけがない。それでも私たちは現金をそれなりにうまく使ってきた。きちんと特性を把握して、リスク管理ができているからだ。新しい技術が登場したときに、それだけで喜んだり忌避したりするのでは未来がない。面倒でもある程度の時間を割いて、リテラシーを構築していく必要がある。キャッシュレス決済は運用者も利用者も、まだそれができていないように思う。

 今回の事件で、ドコモ口座の特性を利用すれば、匿名性を保ったまま(誰かになりすましたまま)口座を開設することはできた。しかし、そこへの入金を許可する仕組みは、金融機関に依存している。被害にあった金融機関の多くは、口座番号・口座名義・暗証番号などの基本的な情報しか確認していない。口座番号や口座名義はほぼオープンな情報と言ってよいし、守りの要が4桁の暗証番号では脆弱(ぜいじゃく)すぎる。身元確認をしていない口座に対して、たいしたKYCもせずにお金を送ったのだ。

 今回のケースでは、流出した口座番号と暗証番号の使用が疑われているが、IDとパスワードの流出はよくあることで、アンダーグラウンドのマーケットでは恒常的に取引がなされている。知識は漏れやすく、漏れたら永遠に巡回し続ける。漏れていなくても、推測や試行がしやすい情報である。不正手段としてリバースブルートフォース(逆総当たり攻撃)が使われていたとしても、この構図は変わらない。そういう本人確認手段を用いておいて、「暗証番号が漏れたり、推測されたりしていたのであれば顧客が悪い」はもう通用しないだろう。

 ただ、この話の悩ましいところは、「そうか、漏れやすい知識の確認だけでは危ないのか。ではスマホにメッセージを送って、踏ませればいいのだな(スマホというモノの所持による確認)、多要素認証だ」では済まない点だ。多要素認証は確かにパスワードのみの本人確認よりは安全だけれども、場合によってはあまり意味がないこともある。何かを入れれば安全、で思考停止してしまうのではなく、ちゃんと全体の構図を見る必要があるのだ。

 ドコモはIT屋としてプロだから、ドコモ口座のセキュリティー設計の甘さはわかっていたはずだ。でもそれ以上に、セキュリティーを厳しくすれば利便性が低下し、特にITに及び腰な風土を持つ金融機関や一般利用者を顧客として獲得しにくくなることを理解していた。

 金融機関の一部は、本気でセキュリティー水準を高める気はなかったと思う。面倒で、コストもかさむことだからだ。因習的手順を守っていれば(それがどれだけ今の状況下では意味をなさなくなっていても)、なんとなく安全な手順を踏んでいるかのような気分に浸ることはできる。利用者が全体の構図など考えたくないのは理解できるが、金融機関がそれではまずいのではないか。

 今回の事件は、そうした両者の思惑や事情が密接に絡まり合うなかで顕在化した。たぶん私たちがなすべきは、近視眼的な犯人捜しをすることではなく、自分の業務手順や生活の手続きが、本当に意味のあるものになっているか、時代遅れの儀式に堕していないかを自分の頭で考え直すことである。

【注】リバースブルートフォースは、すべてのパスワードを試していくブルートフォースアタック(総当たり攻撃)に対し、よく使われるパスワードは似通っている性質を利用して、たとえば「1234」をたくさんのIDに対して試していくやり方。1つのIDに対しては1回しかパスワードを試さないため、『3回間違えると、アカウントがロックされる』といった安全機構に引っかからない。

【筆者略歴】

 岡嶋裕史(おかじま・ゆうし) 中央大学国際情報学部教授/学部長補佐。富士総合研究所、関東学院大学情報科学センター所長を経て現職。著書多数。近著に「ブロックチェーン」(講談社)、「いまさら聞けないITの常識」(日本経済新聞出版社)など。

全国選抜小学生プログラミング大会
新型コロナ特集
スポーツ歴史の検証
スポーツ歴史の検証

K.K. Kyodo News Facebookページ

ニュース解説特集や映像レポート、エンタメ情報、各種イベント案内や開催報告などがご覧いただけます。

矢野経済研究所
ふるさと発見 新聞社の本
DRIVE & LOVE
11月11日はいただきますの日
野球知識検定
キャッチボールクラシック
このページのトップへ