「なりすまし」が可能であることは、インターネットが抱える最も深刻な問題です。
これを防ぐためにさまざまな措置がとられているのですが、それらの措置が突破されてしまったのです。
今回の事件については、次のとおりです。
(1)氏名、口座番号、パスワードが正しくないと、銀行口座からの引き出しはできないようになっています。しかし、犯人は、この正しい組み合わせを見出し、それを用いて預金を引出しました。
具体的には、フィッシング詐欺でパスワードを入手し、次に、このパスワードを固定して口座番号の総当たり攻撃をすることによって正しい組み合わせを見い出したと考えられます(これは、「リバースブルートフォース攻撃」と呼ばれるものです)。
(2)ドコモ口座の開設は、メールアドレスさえあればできるようになっていました。メールアドレスの取得は簡単にできるので、犯人は偽名の口座を開設したのです。
今回の事件に関しては、ドコモ口座の開設手続きが甘すぎたことが批判されています。
確かにそうですが、預金引き出しの際の本人チェックも、万全なものとは言えません。「口座番号とパスワードの組み合わせでは、なりすましを防げない」ということが明らかになったのです。
なお、ゆうちょ銀では、ドコモ口座以外に、ペイペイなどを通じても不正引き出しがありました。また、ペイペイを通じては、ゆうちょ銀以外からの不正引き出しもありました。
SBI証券では、顧客口座にあった金融資産が何者かに売却され、ゆうちょ銀行と三菱UFJ銀行に不正に開設した銀行口座に資金が移されていました。
「中央集権型ID」では、事故を根絶できない
今回の事件を受けて、金融システムのセキュリティーの強化が必要との認識が、急速に高まりました。
そして、次のような方法によってセキュリティーを強めることが必要だと言われています。
(1)銀行口座からの引出しについては、口座番号、パスワードの他に、ワンタイムパスワードなどを導入する。これは、有効期限が極めて短いパスワードです。
(2)ドコモ口座などの開設にあたっては、2段階認証の手続きを導入する。これは、開設者のスマートフォンにワンタイムパスワードを送信し、その入力を求めるものです。
確かに、こうした手段によって、セキュリティーは、これまでよりは向上するでしょう。
しかし、決して完全なものとはいえません。事実、ワンタイムパスワードを用いていたにもかかわらず、不正に預金を出金された例が報告されています。
無料会員登録はこちら
ログインはこちら