【情報処理安全確保支援士】ドコモ口座不正引き出し問題について考えてみた!

ナガ

こんにちは!資格試験好き会社員のナガです

今回はドコモ口座不正引き出し問題について考えてみたいと思います。

ドコモ口座不正引き出し問題は情報処理安全確保支援士試験の題材になりそうな事例です。
情報処理安全確保支援士試験に合格した経験をもとに考えてみたいと思います!

目次(クリックで飛べます)

ドコモ口座不正引き出し問題の概要

2020年9月、NTTドコモがサービスを提供するドコモ口座を通じて、銀行の預金が不正に引き出される問題が発生しました。

犯人がドコモ口座を悪用して被害者の預金を不正に引き出すというものです。

被害者がドコモ口座を利用しているかどうかは関係ないところが恐ろしいところで、
ドコモ口座を利用していなくても被害にあう可能性がありました。

犯人の手口

犯人はあらかじめ被害者の口座番号や暗証番号などの口座情報を何らかの方法で入手していたとされています。

犯人は、フィッシング詐欺などの手法で口座情報を入手したとされています。
フィッシング詐欺とは、銀行の公式のWEBサイトとそっくりなサイトを作成するなどして、
口座番号や暗証番号を入力させて盗み出す手口です。

通常であれば口座番号や暗証番号などの口座情報だけでは預金を引き出すことはできず、
銀行のキャッシュカードが必要となります。

そこで犯人はWEB上で本人確認なしで簡単に開設できるドコモ口座を利用しました。

・ドコモ口座はメールアドレスだけで簡単に開設できた
・運転免許証などの本人確認なしで開設できた
・ドコモユーザーでなくても開設できた

犯人は適当なメールアドレスでドコモ口座を開設し、
そのドコモ口座を被害者の銀行口座と連携します。

口座番号や暗証番号などの口座情報だけで連携が可能になっていた銀行があり、
そこを犯人に利用されてしまいました。

被害者の銀行口座と犯人のドコモ口座を連携してしまえばあとはボタンひとつで(犯人の)ドコモ口座へ預金をチャージできてしまいます。

ドコモ口座にチャージできる金額は月30万円が上限なのがせめてもの救いでした。

被害にあわれた方の中には2020年8月から2020年9月にかけて、
30万×2月分=60万円を不正に引き出されてしまった方もいるそうです

ドコモが発表した対策

こうした被害の発生をうけて、ドコモは下記の対策を発表しています。

ドコモ口座開設時の本人確認の強化

ドコモ口座をメールアドレスだけで開設できるという点が問題でした。

この状態だと犯人はいくらでも適当なメールアドレスでドコモ口座を開設できてしまいます。

今後は、ドコモ口座を開設する際に、運転免許証などで本人確認を行う対策をとるということです。

ドコモ口座と銀行口座を連携する時のSMS認証の導入

口座番号と暗証番号だけでドコモ口座と連携できてしまう銀行があるという点が問題でした。

今後は、ドコモ口座と銀行口座を連携する時にSMS認証を導入するそうです。

SMSとは携帯電話番号を利用したメッセージサービスです。

SMS認証が導入された場合、

・ドコモ口座の開設時に、運転免許証などで本人確認を行うとともに携帯電話番号を登録してもらう
・ドコモ口座と銀行口座を連携する際に、システムがその携帯電話番号に認証用のコードを送信
・ユーザーは口座情報とともに、自身の携帯電話に送られてきた認証用コードを入力する
・認証用コードが一致したら連携を許可する

といった流れになると思われます。

認証用コードはユーザー本人の携帯電話に送られるため、
犯人が不正に連携しようとしても認証用コードを入力できず、不正な連携を阻止することができます。

被害を防ぐポイントは二要素認証

今回は認証が口座情報という一つの要素だけで行われたことにより被害が発生しました。

ATMで預金を引き出す時には、口座情報だけでは引き出すことができません。
銀行のキャッシュカードというもう一つの要素が必要です。
なのでATMで預金を引き出すという取引は二要素認証がなりたっています。

WEB上の取引でもこの二要素認証を取り入れることがセキュリティ上とても重要です。

ドコモは今回の対策としてSMS認証を導入するとしています。

これによって口座情報とSMS認証の二要素認証が成立し今回のような被害は防止できると思われます。

さいごに

いかがでしたでしょうか?

ホットな話題すぎて情報処理安全確保支援士試験ですぐに出題されることはないと思いますが、
2、3年後に題材として出題される可能性があるのではないかと思います。

情報処理安全確保支援士試験は、このように私たちの身の回りのセキュリティ事例に関して考えるきっかけにもなります!
興味を持たれた方は試験にチャレンジしてみてはいかがでしょうか?

興味がある方はこちらの記事もぜひご参照ください

よかったらシェアしてね!

この記事を書いた人

資格試験好き。IT系会社員です。
株式投資歴5年|プログラマー歴10年|データベーススペシャリスト|
ネットワークスペシャリスト|情報処理安全確保支援士(セキュリティスペシャリスト)|FP2級|簿記2級

コメント

コメントする

目次(クリックで飛べます)
閉じる