即時振替サービスを使って、銀行口座から現金が不正に引き出された事件。昨年5月にはりそな銀行でもドコモ口座を介した不正出金があったほか、ゆうちょ銀行によるとすでに2017年から同様の被害が確認されていたということです。しかし、抜本的な対策がとられることなく被害の補償も十分に行われてきませんでした。なぜ対策は遅れたのか? NTTドコモとゆうちょ銀行のセキュリティに対する認識を会見発言から探りました。
ドコモ「利用者を装って侵入する第三者に対するセキュリティの意識が欠けていた」
9月10日に記者会見をしたNTTドコモの丸山誠治副社長は次のように発言しています。
dアカウントやドコモ口座のセキュリティについては、相当、力を入れてみてきたつもりでございます。2段階認証、2要素認証、最近でいえばパスワードレスの認証などを入れてきたわけですが、それはいずれも口座に今、入られているお客様を守るための仕組み。従ってそういう視点ではチェックもしてやってきたわけですが、抜け落ちていた視点としてはドコモ口座に悪意で踏み台のように入られて使われる方をどうやって排除するのかというところのセキュリティは必ずしも十分でなかった。
dアカウントはドコモが提供する様々なサービスの入り口となるアカウントです。ドコモ口座を開設するにはdアカウントを取得する必要があります。dアカウントの取得はドコモの回線に加入している顧客を対象にしたものでしたが、昨年10月にオープン化しドコモ回線の利用者以外も取得できるようになりました。しかし、その結果、不正なドコモ口座がつくられて銀行口座と紐づけられ現金が盗みとられてしまいました。ドコモはサービス利用者を守ることには熱心でしたが、サ―ピス利用者を装って侵入する第三者に対するセキュリティの意識が欠けていたということです。「多くの方にサービスを利用していただきたいと考えていた。不正なお客様を排除する仕組みがなかった」「悪意のユーザーを排除する本人確認が欠落していた」と丸山副社長は述べています。
そして「キャッシュレスが日本の中で使われ、裾野が広がって多くのお客様に使っていただくためには、私どもも含めて皆さんで知恵を出して全体のセキュリティを少しでもあげながら、かつ使いやすい形で誰でも使えるようにしていくことが必要だと思っております」と述べて、業界全体でセキュリティのレベルを上げていくことが重要との認識を示しました。
ゆうちょ銀行「認証を突破されても一定の期間で止める仕組みをつくる」
ゆうちょ銀行は、キャッシュレス決済サービスに関して社長自ら指揮をとってセキュリティの堅牢性の確認や顧客の利用状況のモニタリングについて総点検をすると表明しました。9月24日に記者会見をした池田憲人社長は、どういう顧客と取引をするのか、そして認証、モニタリング、補償という4つの要素を指摘して新しい態勢作りを進めたいと述べました。池田社長はセキュリティに関して以下のように発言しています。
認証を突破されると。認証のところで止まっている限りは認証をしっかりすればいいと思いますけれど、その次の時にどうやってフィッシングとかハッカーとか起きる時に一定の期間で止めるという、こういうような仕組みをつくっていきたいと思っております。
今回、セキュリティ上の問題として認証の甘さがクローズアップされた感がありますが、サイバー攻撃はあらゆる手法を駆使して認証を突破します。認証を突破された時にいかに早期に不正を認知し、防御するのかというのはまさにEDR(Endpoint Detection and Response)の考え方と言えます。ゆうちょ銀行では認証を突破された後のセキュリティ対策について今後、取り組みを進めていくということです。
金融機関のシステムを狙ったサイバー攻撃は、国際的な銀行間の送金システムであるスイフトを使った2016年のバングラ中銀不正送金事件をはじめ、2018年にはメキシコ中央銀行の電子決済システムが狙われるなどより高度で規模の大きな攻撃が頻発しています。今回の即時振替サービスをめぐる不正出金事件はある意味、日本国内の金融システムの脆弱性が露呈したものとも言えます。
今回の事件にとどまらず国内では毎年多くのインターネットバンクの不正送金事件が起きており、警察庁によると2019年には1872件、被害額は約25億2100万円にのぼるということです。しかし、こうした不正事案の詳細は公にされることなく、その実態はほとんど知られていません。企業経営者さらには監督官庁の金融庁は、今回の事件を契機に国内の金融システムのセキュリティを改めて見直し、より抜本的な取り組みを進めていただきたいと思います。