何だね君はぁ!「ども!緊急事態宣言の中でも、ゲームの中なら変わらない日常があるよ。私はゲームの中なら永遠に高校 2 年生テニス部だからね!日常の大切さを嚙みしめています!」
2020 年は色々なインシデントが起きたけれど、これはまだまだ続く問題として整理しておかないといけないのが、ドコモ口座とゆうちょ銀行 mijica で発生した不正送金問題だ。他にも、PayPay などでも同様の不正送金は発生している。問題がこれだけ明るみになったのだから同様の問題は起きないだろうって、考える人は多いと思う。しかし、2 社は国内でも企業規模、顧客数でいっても超巨大企業。そしてどちらも、偶然の事故ではなく、狙われるべくして狙われた犯罪なので、何が問題で、何を残したのか、詳しく分析していくことにするよ!
●ドコモ口座不正送金を振り返る
ドコモ口座そのものは 2011 年 5 月 27 日とサービス開始から 10 年近い。2019 年 5 月には、りそな銀行で不正送金が行われて、新規登録を停止している。ここでリスクが顕在化していながら、2019 年 9 月 26 日にドコモ口座の新規登録を、NTTドコモ利用者以外にも開放した。そしてその 1 年後、2020 年 9 月 3 日、Twitter 上で不正引き出しが指摘、注目を集めて銀行が動き出す。
ここで注意しないといけないのは、報道は事件が発覚した時と、犯人が逮捕されたときのような新事実が出てきたときに出てくる。ときどき新事実はなく専門家の意見だけ添えたマトメも出てくる。だから結構整理は難しい。ざっと事件のあらましはこうだ。以下は主に 2020 年 9 月 27 日公表時点の情報による。
・犯人が何らかの方法で口座番号、名義、キャッシュカード暗証番号等を入手。(詳細は非公表 or 不明)
・銀行預金者の名義でドコモ口座を開設
・入手した銀行の口座番号、キャッシュカードの暗証番号を使って「Web 口振受付サービス」を利用し、口座預金をドコモ口座にチャージ
・被害 11 銀行 125 件 2,842 万円(9 月 27 日時点)
事件発生当初は、暗証番号は総当たり攻撃、それも逆辞書攻撃とか逆ブルートフォース攻撃といわれる攻撃の可能性が疑われたけれど、後のドコモからの公表で暗証番号のエラーは多くなかったとのことだ。どちらの攻撃も、そうそう当たるものではない!何かしらリストが漏れている可能性の方が高い。
既存顧客へのサービス継続し、被害防止の部分は速やかな対応が行われた。それでも銀行口座からのチャージ再開には 2 月 3 日からと半年近い期間を要している。
・新規の銀行口座登録を停止
・携帯電話を有する口座のみサービスを継続
・銀行口座登録済みで携帯電話を有しない会員については、eKYC か、ドコモショップで本人確認することでサービス再開(10 月 23 日)
・銀行口座の新規登録と、銀行口座からのチャージについて、2021 年 2 月 3 日から順次サービスを再開(ここは銀行との判断)
●最初の逮捕者が報道される
1 月 19 日に、最初の逮捕者、中国籍の男女 5 人が報道された。2020 年 8 ~ 9 月に、フリーメールアドレスを使ってドコモ口座アカウントを開設し、他人の銀行口座情報とひも付けたとみられ、逮捕容疑によると、留学生 2 人が計約 70 万円をチャージしたとなっている。チャージ後にドコモ口座の電子マネー「d払い」を用いて、2 人はそれぞれ約 270 万円分、約 180 万円分の電子たばこやタブレット端末を家電量販店などで購入したとのことだ。
2020 年は色々なインシデントが起きたけれど、これはまだまだ続く問題として整理しておかないといけないのが、ドコモ口座とゆうちょ銀行 mijica で発生した不正送金問題だ。他にも、PayPay などでも同様の不正送金は発生している。問題がこれだけ明るみになったのだから同様の問題は起きないだろうって、考える人は多いと思う。しかし、2 社は国内でも企業規模、顧客数でいっても超巨大企業。そしてどちらも、偶然の事故ではなく、狙われるべくして狙われた犯罪なので、何が問題で、何を残したのか、詳しく分析していくことにするよ!
●ドコモ口座不正送金を振り返る
ドコモ口座そのものは 2011 年 5 月 27 日とサービス開始から 10 年近い。2019 年 5 月には、りそな銀行で不正送金が行われて、新規登録を停止している。ここでリスクが顕在化していながら、2019 年 9 月 26 日にドコモ口座の新規登録を、NTTドコモ利用者以外にも開放した。そしてその 1 年後、2020 年 9 月 3 日、Twitter 上で不正引き出しが指摘、注目を集めて銀行が動き出す。
ここで注意しないといけないのは、報道は事件が発覚した時と、犯人が逮捕されたときのような新事実が出てきたときに出てくる。ときどき新事実はなく専門家の意見だけ添えたマトメも出てくる。だから結構整理は難しい。ざっと事件のあらましはこうだ。以下は主に 2020 年 9 月 27 日公表時点の情報による。
・犯人が何らかの方法で口座番号、名義、キャッシュカード暗証番号等を入手。(詳細は非公表 or 不明)
・銀行預金者の名義でドコモ口座を開設
・入手した銀行の口座番号、キャッシュカードの暗証番号を使って「Web 口振受付サービス」を利用し、口座預金をドコモ口座にチャージ
・被害 11 銀行 125 件 2,842 万円(9 月 27 日時点)
事件発生当初は、暗証番号は総当たり攻撃、それも逆辞書攻撃とか逆ブルートフォース攻撃といわれる攻撃の可能性が疑われたけれど、後のドコモからの公表で暗証番号のエラーは多くなかったとのことだ。どちらの攻撃も、そうそう当たるものではない!何かしらリストが漏れている可能性の方が高い。
既存顧客へのサービス継続し、被害防止の部分は速やかな対応が行われた。それでも銀行口座からのチャージ再開には 2 月 3 日からと半年近い期間を要している。
・新規の銀行口座登録を停止
・携帯電話を有する口座のみサービスを継続
・銀行口座登録済みで携帯電話を有しない会員については、eKYC か、ドコモショップで本人確認することでサービス再開(10 月 23 日)
・銀行口座の新規登録と、銀行口座からのチャージについて、2021 年 2 月 3 日から順次サービスを再開(ここは銀行との判断)
●最初の逮捕者が報道される
1 月 19 日に、最初の逮捕者、中国籍の男女 5 人が報道された。2020 年 8 ~ 9 月に、フリーメールアドレスを使ってドコモ口座アカウントを開設し、他人の銀行口座情報とひも付けたとみられ、逮捕容疑によると、留学生 2 人が計約 70 万円をチャージしたとなっている。チャージ後にドコモ口座の電子マネー「d払い」を用いて、2 人はそれぞれ約 270 万円分、約 180 万円分の電子たばこやタブレット端末を家電量販店などで購入したとのことだ。
