不正利用相次ぐ「ドコモ口座」、利用可能な全35行で新規登録停止へ
NTTドコモの電子決済サービス「ドコモ口座」で、銀行口座から預金を不正に引き出される被害が相次いでいる問題を巡り、ドコモは9日、利用可能な全35行について新規登録を10日から停止すると発表した。連携時の本人確認が不十分だったことを受け、本人確認策を強化したうえで再開時期を検討するとしている。
手口を調べたところ、
- まず、dアカウントを作成する。
- dアカウントでドコモ口座を作成する。
ここまでは誰でもいくらでも出来る。
次に、
- ドコモ口座と銀行口座を連携させる。(銀行の口座番号と4桁のパスワードが分かればOK)
ここが弱かったって話だね。
リバースブルートフォース攻撃と言って、例えばパスワードを「1234」で固定し、口座番号の方を「0000001」から順にアタックしていけば、どこかでパスワードが「1234」の口座番号がヒットする、とこういう構図なわけだ。
いやぁ、エラい穴だなぁ。(;´・ω・`)
謎のAPI連携経路
分かんないのが、どうして銀行の口座番号と4桁のパスワードでAPI連携が可能なのか?
例えば、僕って個人事業主の経理処理の為に会計フリーというクラウドソフトを使っていて、そこでは銀行口座とのAPI連携も行っている。
しかし、会計フリーでのAPI連携は、銀行側のWebシステムのIDとパスワードが必要なのよ。
例えば、みずほ銀行と連携させるには、インターネットバンキング[みずほダイレクト]のアカウントとパスワードが必要。
この「お客様番号」ってのは、口座番号ではないからね。別途存在するWebシステムのアカウントだ。
つまり、認証機能はみずほダイレクト側が提供しているのが、会計フリーでのAPI連携だ。
対して、ドコモ口座は口座番号と4桁のパスワードで認証出来ちゃう。
????
同じ口座連携なのに、どうして会計フリーとドコモ口座で方式が違うんだ????
そこが不思議。口座番号と4桁のパスワードで他システムと連携するという、その経路が存在すること自体が不思議だ。
従って、ドコモ側が作っているアプリもザルだけど、「銀行側もどうしてそんな経路を許しちゃってるの?」と、ドコモだけが悪いとは一概に結論付けられない話だと思うのよね。
再発防止策
今後だけど、再発防止策は……、どうすんだろ? 特にドコモ側。
銀行側は、「口座番号と4桁のパスワードだけの認証を外部に公開することを禁止する」とでもすれば、当面は防げる話だ。
でもドコモ側は「よく見てチェックせいや」というだけでしか無いから、ルール制定では対応出来ない。
銀行との口座連携という業務知識に詳しく、かつセキュリティにも詳しい人材が頑張ってチェックするしか無いと思うんだけど、そんな人材がおらんからこうなってるわけで……。
「通信を暗号化する」とか「セキュリティチェックスキャンを実施する」とか、そういう技術要素の話だったらルール制定で何とかなるんだけど、こういう業務要件としての穴は機械的な対応が出来ないんだよね。
あと、銀行側も、「銀行側が連携先企業をチェックできていない」という点を追求されてしまうと厳しくて、要はチェック能力が無いからチェック出来ていないんでしょ?
「チェックしろ!!」と言われたところで、遂行不能。
いやぁ、厳しいなぁ……。
対応策は、時間を掛けて強力な人材を育成する、とかそういう人間の勝負、企業としての根本部分の力量を発揮しないといけないって話になる。
凄く壮大な話だよね。(;´・ω・`)
一体どういう落とし所を見出して、再発防止策の報告書を組み立てるのか、大変気になるところである。
0 件のコメント:
コメントを投稿