ドコモ口座不正出金事件の渦中の2020年9月7日より、送金・決済アプリ「Kyash(キャッシュ)」が銀行口座からの入出金に対応しました。
結果、本人確認の方法に銀行口座の登録が加わり、対象銀行にはドコモ口座で問題となった「口座番号」「名義」「4桁の暗証番号」の3点だけで登録可能な銀行も存在します(2020/9/14現在、ゆうちょ銀行、イオン銀行が対象)。
ドコモ口座不正出金類似事件化を心配します。
2020/9/15、心配が事実になってしまいました。
心配していたドコモ口座以外のサービスによる不正出金の事実が、早くもゆうちょ銀行で明らかになりました。しかも、6サービスで発生。それも、ゆうちょ銀行自身の発表でなく、ゆうちょ銀行にヒアリングを行った高市総務大臣の記者会見での発表で明らかに[…]
危険?!Kyash本人確認がドコモ口座の問題となった本人確認方法を追加
また、銀行口座の登録により「本人確認アカウント」に移行されたお客さまは、Kyash Cardお申し込み時に必要な本人確認書類のアップロードなどが不要となります。本人確認書類の都合等でKyash Cardをご利用いただけていないお客さまはこの機会に是非Kyash Cardをお申し込みください。Kyash(キャッシュ)の本人確認の方法が、2020年9月8日以前は本人確認書類のアップロードが必須であったのに対し、銀行座追加完了だけで本人確認とみなすという方法が追加となり、本人確認が甘くなりました。
そして、これは、ドコモ口座で問題となったKyashのドコモ口座で大問題となった「口座番号」「名義」「4桁の暗証番号」の3点だけで登録可能で本人確認とみなすという方法も含んでいます。
Kyashの銀行口座追加による本人確認の完了は、以前ならば、手続きが楽になってよかったと思われがちですが、今、ドコモ口座が大問題になっている渦中では、セキュリティ面での改悪とも言えるかもしれません。
本人確認が任意のKyashアプリの会員登録
Kyashは、アプリのダウンロード後、本人確認なしで、会員登録さえ完了すればプリペイドカードアプリとして使えます。本人確認は、「任意」となっています。
プリペイドカードアプリとして使う前に会員登録が必要(姓名、読み方、ユーザ名、生まれた年、携帯電話番号登録が必要)です。
しかし、会員登録は、偽名で可能で、不正利用防止のためとして携帯番号の入力を必須とし、その携帯番号へSMS(ショートメッセージ)へ認証番号を送信し入力をして会員登録を完了する仕組みになっています(ドコモ口座が今回の事件後に変更した仕組みと同じ)。
携帯番号が名義人本人の物でなくても、携帯番号さえ正しければ、名義人偽者携帯番号であったとしてもSMSは受信することが可能です。ドコモ口座で後で追加となったeKYCによる本人確認の仕組みはありません。
ドコモ口座と同じ銀行口座登録方法
偽者の名前で会員登録が完了して、銀行口座との「口座番号」「名義」「4桁の暗証番号」の3点が一致して接続・連携が完了すれば、ドコモ口座同様に、不正出金が可能になってしまいます。偽者によって勝手に作られてしまったKyashと自分の実在の銀行口座と接続・連携が完了しても、銀行から通知等の連絡は一切無し。
このような仕組みから、Kyashは、偽名で簡単に開設可能です。そして、Kyashのドコモ口座不正出金事件は、他人事で関係ないという姿勢を読み取ることができます。
Kyashへの入金対応銀行は、まだ10行(イオン銀行、ゆうちょ銀行、関西みらい銀行、埼玉りそな銀行、りそな銀行、熊本銀行、親和銀行、福岡銀行、みずほ銀行、三井住友銀行)と少ないですが、その内2行、イオン銀行とゆうちょ銀行が、ドコモ口座と同じ登録方法となっています(2020年9月14日現在)。登録可能銀行数は少なくても、日本最大の利用者数のゆうちょ銀行が含まれていることは、犯人としては、狙い目?!
このような状態に、ドコモ口座不正出金事件が全く活かされてない、他サービスも銀行も他人事のような状態、そして、ドコモ口座不正出金類似事件化を心配します。
サービスの改悪を繰り返して評判の悪いKyashですが、ドコモ不正出金の類似事件を起こして、信頼低下に繋がらないと良いのですが・・・。サービスの改悪より、致命的になる可能性が・・・。
2020年9月10日に、ドコモがドコモ口座の不正出金についての会見を行い、被害者への補償や今後の対策などについても発表しました。果たして、これだけで十分なのか?問題が解決されたのか?と筆者は、疑問に思っています。「ドコモ口座」不[…]
Kyashがドコモ口座不正出金の類似事件になる可能性
ドコモ口座と異なる点は、アプリの操作ができるのは、スマートフォンやタブレットアプリのみとなり、PCからの操作に対応していません。
ドコモ口座は、PCからも操作できたから、PCからパスワード(当事件の場合は、4桁の暗証番号)を固定し、口座番号やユーザーIDをツールなどを使って片端から試していくリバースブルートフォース攻撃を行うことができたとも考えれています。
しかし、今回の犯人は、ドコモ口座を利用して、PCからも操作できると言うことで「口座番号」「名義」「4桁の暗証番号」の一致をさがし収集するための不正プログラムを稼働させる踏み台に利用し、「口座番号」「名義」「4桁の暗証番号」の一致を確認しストックした可能性があります。
そして、今回のドコモ口座不正出金では、そのストックの一部のみを利用して、不正出金に成功した可能性があります。全部でなく一部しか利用しなかった理由は、犯行が公になることを少しでも遅らせて、ドコモ口座や銀行側に対策されるのを少しでも遅らせるためだったとしたら、どうでしょう??
そして、犯人は、ドコモ口座不正出金事件を世間が騒がなくなった頃に、ドコモ口座を踏み台にして得た「口座番号」「名義」「4桁の暗証番号」の一致の未使用のストックを利用して、ドコモ口座と同様に「『口座番号』『名義』『4桁の暗証番号』の3点がわかれば、あなたの実在の口座と接続・連携できてしまうサービスを利用して、あなたの実在の口座からの不正出金を企むかもしれません。
まだ、犯人が、「口座番号」「名義」「4桁の暗証番号」の一致のストックを持って使う機会を狙っているとしたら、銀行からの入金サービスを始めたばかりで、サービスと銀行口座との接続・連携している人が少なくてドコモ口座の時と同じ仕組みが利用できるサービスのKyashが一番都合良いことになります。ドコモ口座の時は、ドコモ口座を使っている人でなく、ドコモ口座を使ってない人が被害者となってしまいましたが、Kyashの場合、他のサービスに比べて知名度も引く、Kyashそのもの利用者も他サービスより少なく、その上、銀行入金サービスを始めたばかりで銀行口座との連携・接続をしている人も少ない、となれば、犯人が悪用するには都合の良いサービスになってしまいます。
・Kyashの知名度は他サービスより低く、銀行入金サービスは始まったばかりで、利用者が少ないので悪用できる確率は高い
・ドコモ口座と同じ方法の「口座番号」「名義」「4桁の暗証番号」さえ一致ですれば、接続・連携できる銀行あり
・ドコモ口座で不正出金に成功したゆうちょ銀行やイオン銀行が、ドコモ口座と同じ方法で接続・連携が可能
(登録可能銀行数は少なくても、日本最大の利用者数のゆうちょ銀行が含まれている)
また、PCだから、パスワード(当事件の場合は、4桁の暗証番号)を固定し、口座番号やユーザーIDをツールなどを使って片端から試していくリバースブルートフォース攻撃ができるプログラムが稼働できたという考えは、甘いです。
今やスマホやタブレットも進化し、PCと同等の処理能力を持つようになってきました。Macには、CPUを、intel系CPUからiPhoneやiPadと同じCPUのARM系に順次切り替えようとしている計画があるくらい、スマホやタブレットのCPUの処理能力は進化しています。
このような状態で、スマホやタブレットとしか接続できないという考えは成り立たないでしょう。
Kyashの不正利用が現実に、Kyashの迅速な対応だけは評価
Kyashの不正利用を心配していたら、本当に現実になってしまいました。
Kyashの不正出金の心配が現実となり、ゆうちょ銀行がゆうちょ口座からのKyashによる不正出金公表後、Kyashの対応は、セキュリティの甘い(「口座番号」「名義」「4桁の暗証番号」の一致だけで口座との接続・連携が可能になってしまう銀行)ゆうちょ銀行とイオン銀行を対応銀行から外した対応の早さは評価します。
ドコモ口座では、対応の遅さに、あれだけ非難を受けたのだから、Kyashは最速で対応したのだと思います。
※2020年9月15日現在、KyashのWebサイトでは、対応銀行として「イオン銀行」と「ゆうちょ銀行」が残っていますが、アプリでは既に消えていて、接続・連携が実際にできません。
「ドコモ口座」不正出金の類似事件に巻き込まれないように利用者が簡単にできること
もし、犯人が、今回のドコモ口座不正出金で使用しなかった、まだ未使用の「口座番号」「名義」「4桁の暗証番号」の一致をストックし、PayPay、LINE Pay、Pringなどの他のサービスを利用して、再び不正出金が出来る機会を企んでいたとしたら、本当に怖いことです。
問題となった地銀ネットワークサービスの「Web口振受付サービス」の「『口座番号』『名義』『4桁の暗証番号』の3点がわかれば、あなたの実在の口座と接続・連携できてしまう」という危険な仕様がすぐに変更になると考えられない、システム変更は容易でないでしょう。
しかし、これに対して、我々銀行利用者が、簡単に対策することができます。「4桁の暗証番号」を変更し、犯人が持っている「口座番号」「名義」「4桁の暗証番号」の一致を壊してしまうことです。「口座番号」や「名義」の変更は簡単にできませんが、「4桁の暗証番号」の変更は簡単にできます。
ドコモ口座で問題となった銀行(対象銀行は、以下の通り)の利用者の全てが、一度、4桁の暗証番号を変更すべきです。なぜならば、先程から書いていますが、あなたの銀行口座の情報は、犯人によって、次の犯行用にストックされてしまっているかもしれないからです。
「4桁の暗証番号」は、銀行のATMで変更ができます。暗証番号の変更は、これを機会に、より安全な暗証番号を設定するようにしましょう。
この「口座番号」「名義」「4桁の暗証番号」の一致を壊してしまえば、犯人が、あなたの銀行口座について一致した状態の新たな新たな情報を得ることは難しくなります。
「ドコモ口座」不正出金の類似事件防止のために銀行が簡単にできる対策
ドコモ口座不正出金事件で被害者を出してしまった銀行は、地銀ネットワークサービスの「Web口振受付サービス」を利用し「『口座番号』『名義』『4桁の暗証番号』の3点がわかれば、実在の口座と接続・連携できてしまう」という仕様をそのまま利用していました。
しかし、「Web口振受付サービス」を利用しドコモ口座と接続・連携を可能にする地方銀行の中でも、京都銀行と広島銀行は、「口座番号」「名義」「4桁の暗証番号」以外に、「銀行に登録されたお電話(登録手続き中に、銀行より電話番号にお電話があります)」の登録及び確認の電話を実施し、セキュリティを高めていました。
以下は、PayPayへの京都銀行の口座の登録案内
他行においても、手間は増えるけれど、この方法ならセキュリティー向上として、早期に導入できる方法であり、すぐにでも取り入れるべきだと考えます。
また、何かのサービスが口座と接続・連携された場合、後日でも口座名義人への連絡を必須とすべきと考えます。
今回のドコモ口座不正出金事件で誰もが不安に思ったことは、偽者によって勝手に作られてしまったドコモ口座と自分の実在の銀行口座と接続・連携が完了しても、銀行から通知等の連絡は一切無しということ!被害者の中には、「ドコモ口座」の名前さえ聞いたことなくて、口座から不正に出金され通帳記帳して不正な記録を見つけて初めて、何か変、銀行に問合せをして、ドコモ口座と接続・連携されていたという事実を知った方もいました。こんな大事なことが知らされないなんて、本当に怖いことです。
筆者の心配が、全て杞憂で終わることを願っています。
2020年9月15日、ゆうちょ銀行が、ゆうちょ口座からKyashによる不正出金被害が発生したことを発表。
心配が事実となってしまい、被害拡大を心配するばかりです。