【情報処理安全確保支援士】ドコモ口座不正引き出し問題について考えてみた!

資格試験

こんにちは!nagaです!

今回はドコモ口座不正引き出し問題について考えてみたいと思います。

ドコモ口座不正引き出し問題は情報処理安全確保支援士試験の題材になりそうな事例です。
情報処理安全確保支援士試験に合格した経験をもとに考えてみたいと思います!

ドコモ口座不正引き出し問題の概要

2020年9月、NTTドコモがサービスを提供するドコモ口座を通じて、銀行の預金が不正に引き出される問題が発生しました。

犯人がドコモ口座を悪用して被害者の預金を不正に引き出すというものです。

被害者がドコモ口座を利用しているかどうかは関係ないところが恐ろしいところです。

ドコモ口座を利用していなくても被害にあう可能性がある

犯人の手口

犯人はあらかじめ被害者の口座番号や暗証番号などの口座情報を何らかの方法で入手していたとされています。
(フィッシング詐欺などの手法で入手したとされています)

フィッシング詐欺とは、銀行の公式のWEBサイトとそっくりなサイトを作成するなどして、
口座番号や暗証番号を入力させて盗み出す手口です。


通常であればこれらの口座情報だけでは預金を引き出すことはできません
キャッシュカードが必要です。

そこで犯人はWEB上で本人確認なしで簡単に開設できるドコモ口座を利用しました。

・ドコモ口座はメールアドレスだけで簡単に開設できる
・運転免許証などの本人確認なしで開設できる
・ドコモユーザーでなくても開設できる

犯人は適当なメールアドレスでドコモ口座を開設し、そのドコモ口座を被害者の銀行口座と連携します。

口座番号や暗証番号などの口座情報だけで連携が可能になっていた銀行がありました
(犯人はあらかじめ被害者の口座情報を何らかの方法で入手していたとされています。)

銀行口座と連携してしまえばあとはボタンひとつで(犯人の)ドコモ口座へチャージできてしまいます。

ドコモ口座にチャージできる金額は月30万円が上限なのがせめてもの救いでした。
(被害にあわれた方の中のには2020年8月から2020年9月にかけて30万×2月分=60万円を不正に引き出されてしまった方もいるそうです)

ドコモが発表した対策

ドコモ口座開設時の本人確認の強化

ドコモ口座をメールアドレスだけで開設できるという問題がありました。
この状態だと犯人はいくらでも適当なメールアドレスでドコモ口座を開設できてしまいます。

今後は、ドコモ口座を開設する際に、運転免許証などで本人確認を行う対策をとるということです。

ドコモ口座と銀行口座を連携する時のSMS認証の導入

口座番号と暗証番号だけでドコモ口座と連携できてしまう銀行があることが問題でした。

今後は、ドコモ口座と銀行口座を連携する時にSMS認証を導入するそうです。

SMSとは携帯電話番号を利用したメッセージサービスです。

・ドコモ口座の開設時に、運転免許証などで本人確認を行うとともに携帯電話番号を登録してもらう
・ドコモ口座と銀行口座を連携する際に、システムがその携帯電話番号に認証用のコードを送信
・ユーザーは口座情報とともに、自身の携帯電話に送られてきた認証用コードを入力する
・認証用コードが一致したら連携を許可する
といった流れになると思われます。

認証用コードはユーザー本人の携帯電話に送られる。
犯人が不正に連携しようとしても認証用コードをしるすべはない。

ポイントは二要素認証

今回は認証が口座情報という一つの要素だけで行われたことにより被害が発生しました。

ATMで預金を引き出す時には、口座情報だけでは引き出すことができません。
キャッシュカードというもう一つの要素が必要です。
なのでATMでの取引は二要素認証がなりたっています。

WEB上の取引でもこの二要素認証を取り入れることがセキュリティ上とても重要です。
ドコモは今回の対策としてSMS認証を導入するとしています。
これによって口座情報とSMS認証の二要素認証が成立し今回のような被害は防止できると思われます。

さいごに

いかがでしたでしょうか?

ホットな話題すぎて情報処理安全確保支援士試験ですぐに出題されることはないと思いますが、
2、3年後に題材として出題される可能性があるのではないかと思います

情報処理安全確保支援士試験は、このように私たちの身の回りのセキュリティ事例に関して考えるきっかけにもなります!
興味を持たれた方は試験にチャレンジしてみてはいかがでしょうか?

コメント

タイトルとURLをコピーしました