【名探偵ハギーのパソコン事件簿】
皆さまの預金は本当に大丈夫ですか?

皆さま、毎度おなじみの「名探偵ハギー」です。今回は今年2020年9月に発生しました「不正預金流出事件」について解説を行います。すると、「そんなものネットに山ほど解説が掲載されている」「新聞、雑誌も取り上げているので今更?」とお思いの方々、特にパソコン整備士会員のWeb記事をご覧頂いている方々は、一般の方に比べこういう方面には精通されていらっしゃるとは思います。しかし、しかしです・・・10月15日木曜日現在、自分なりにネット検索して何十もの解説記事を読みましたが
・解説記事が結構見解相違されているものが多い(当事者や警察の解説を除く)
・突っ込みが不十分な記事が多い

それでは皆様の「好奇心」を満足させられていないのではないか?と、そこで元三菱UFJ銀行システム部に20年以上も在籍していたハギーがちょっと解説を致したい・・・そう考えたわけです。

1.そもそも、今年9月に発生した預金流出事件とは


きっかけはある企業(今更、社名を隠す必要はないかも知れませんが)が電子決済サービスを開始致しました。それはその企業が管理する「口座」(これもどこからも突っ込みがないのですが、事典や辞書に定義している口座は金融機関と限定されております。
ただし、「〇〇口座」の方が一般の方々は納得しやすいのでそういうネーミングにしたと思われます)に自身の銀行口座からその〇〇口座にチャージ(入金)をし買い物をしたり、送金した金額をその〇〇口座から引き落とすというだけのものです。殆どの利用客はスマホでこのサービスを利用しており、利便性は確かに良くなったといえそうです。
要するにこうした背景の中、加害者はなりすましで被害者の銀行口座から〇〇口座へのチャージを行い、そこから買い物や送金をして逃げるという事件です。

テレビや新聞報道では                   
〇〇口座と連携可能な銀行       35行
不正利用(疑い含む)発表/報道された銀行 11行
不正利用件数               125件
不正利用被害総額         2,842万円
となっている。

 

 

 

2.犯罪の概要


これは新聞やネットにも記載されている通り、

なんらかの方法で「口座番号」「暗証番号」を入手

一部の報道機関では「口座名義人」も記載されているが、これは銀行によっては簡単にATM
で調べられてしまうので意味がない。なぜなら銀行によっては口座番号から振込先の名義を照会できるサービスを提供しており、これは振込間違いを防ぐためのサービスではあるが、悪意のある人からすれば、口座番号から名義が調べられる道具とし使われていることは世間にはあまり知られていない。

また「暗証番号」は「リバースブルートフォース攻撃」(下記注1)により、知らなくても攻撃できるというサイトもあった。ただし、この攻撃を行えば銀行側はそのアクセスログから簡単に攻撃されたことを確認することができ、対処できてしまえるので加害者としては極めてまずい結果となる。

しかし、記者会見の席上執行役員プラットフォームビジネス推進部長は「大量の攻撃が行われたものではなく、あくまでもピンポイントで連携された」とコメントしているので、発表を信じるのであれば大量攻撃の可能性はまず有り得ない。NHKの情報では、「数分間隔で○○口座と銀行口座とをひもづける手続きが行われ、その際に4けたの暗証番号をほとんど間違えていなかったことから、犯罪者は事前に番号を入手していた可能性が高い。」
※参照(NHK)https://www3.nhk.or.jp/news/html/20200916/k10012620061000.html

多分「フィッシング詐欺」などで被害者本人も気がつかない例が急増している。
余談ですが、私は仕事柄偽メールの収集も自動的に行っているパソコンがあるが、最近では1日に200通もの詐欺メールが届いている。しかも本物と間違える可能性の高い巧妙な物も多い。
例えばアマゾンで購入すると翌日に「あなたのクレジットカードが利用できなくなった。」と、そこで再登録して欲しいとか、ネットバンキングを利用した翌日に「システムの不具合のため口座情報を再登録してくれ。」とか

いう類、しかも発信元メールアドレスが正規のアドレスの場合もあった。(メールの「from」情報は簡単に偽造できるのだ)
そしてその極一部は本当にクレジットカードの更新時期で、郵送されたクレジットカード情報を入力しなければならないタイミングで偽メールがきたこともあり、先方まで電話で確認をするしかなかった時もあった。

(注1)「リバースブルートフォース攻撃」・・・暗証番号は金融機関により一部回数が異なるが、数回入力して暗証番号が一致しないとその口座自体にロックがかかる。その回避策として暗証番号を固定し口座番号を次々と入力する。それがこの攻撃方法だ。使われやすい番号なら数百回試行すれば多分ビンゴしてしまうのである。ネット記事では使われやすい番号20個で1万種の暗証番号全体の26%にもなるというから驚きである。
※参照(らばQ)http://labaq.com/archives/51867326.html

被害者の名前で〇〇口座を開設

電子決済サービス側の新規開設のハードルは低く、たとえその電子決済サービスを利用していなくてもメールアドレスだけで開設可能であった。

入手した銀行の「口座番号」「暗証番号」を利用して〇〇口座にチャージする

 

実際に買い物や送金をして儲ける 

 

3.なにが悪かったのか?


突っ込みどころ満載な事件であるが、シンプルに纏めると次のようになる。

 

■  〇〇口座の電子決済サービス側
規模を早く拡大し、ここでの主導権を握りたい・・・こうした思いがセキュリティを無視した結果となり「メールアドレス」さえあればサービス利用をしていない人でもすべて
お客様として受け入れてしまったこと・・・これに尽きるでしょうか。
この時点でセキュリティをしっかりしていれば被害は殆どなかったと思います。
■  銀行側
銀行側にも大きな責任があります。金融機関でない〇〇口座開設企業より、金融機関側の
セキュリティをしっかりしていればこれも被害を防げたと思うのです。

これに関しては報道では被害者が相談しても
銀行側:「正規引き落としであり、ドコモから情報が漏れたのではないか」と指摘。
電子決済サービス側:「銀行から情報が漏れたのではないか」と電話で回答。窓口担当者も「口座開設者本人ではないと確認できたため、お金の流れは開示不可、調査も行えない」と回答。
この対応が本当なら「馬鹿やろう」(私の口癖)ではないだろうか?

4.もっと突っ込むと・・・


2019年5月にみずほ銀行で同様な被害が発生していた
〇〇口座開設者はスマホのドコモ保有者に限定されていたことから本人確認がスマホの本人確認をもって行われるとしてそれ以上の対策は取らなかった。
多額の被害があったが具体的な説明はこれまで受けたことがないと地銀担当者はコメントしている。
当時、電子決済サービス側は銀行の口座名義と〇〇口座の名義不一致が許されており、そこで起きた問題であり、今回の不正利用問題とは別と認識していた。

簡単にいうなら「事件の横展開」がまったくされず、同じような犯罪に対しての防御策がないままに放置されていた・・・更に別の視点で突っ込むとこれまでのネット系の犯罪を良く検討している私達のような人間なら今までの状態が堅牢だったからといって、「環境(この場合はインターネットの取引)」が変化しても堅牢だとは思ってはいけないということである。

銀行のシステムは昔作ったシステムであり、その時のまま「堅牢」であるという保証はないということ。
私は数万人月の大規模プロジェクトにいくつも携わった人間として、プログラムや設計においては「自分の身は自分で守れ」という精神で構築していた。
大昔はメモリの制約から1ステップでも少ないプログラムを作成していたが、その後は誰もが保守しやすい構造となった。その時に見逃しやすいものがある。それは機能の重複を避けるのはいいが、それがどのレベルまで確証できるかを見極めていないということ。言葉では難しい表現なのであるが、
例えばあるプログラムの入力は今まではデータベースの内容だった。日付のチェックをして
「口座開設から10年以上なら△△を実行する。」でもこれをネットで利用すると、日付チェックにおいて「本当に日付が入力されるのか?」ということなのである。自分のロジックを守るためにはその入力は「絶対に数字しかこない」「13月というデータは有り得ない」という前提で組まれているからネット上ではそこに漢字コードがくることも有り得る。しかしこないという前提だからその後、ロジックがどう動くのかはわからないのである。

今回の事件もそう見えるのだ。キャッシュレス決済を前提としていない銀行のシステムにおいて、キャッシュレス決済のデータが飛んできたら、二重チェックかも知れないが再度本人認証をきめ細かに実施すべきなのである。システム全体を通して見るという体制ができていない。だからせっかくの今までの貴重な経験も台無しとなり、システム相互間のロジックの調整も多分されていない。(というより、そういう発想自体がない)
このシステムは銀行のシステムだから検証はする必要が無い・・・そう話していたと思われる当時のシステム屋さんが浮かんでくるのは妄想なのだろうか?

もういい加減にして欲しいのだ。システムを甘くみてはいけない。その先鋭が情報セキュリティではないだろうか、頑張って「想定外」を「想定内」にして「対応策は万全」とさせて頂ければ幸いである。

最後に・・・
ゆうちょ銀行では、連携する12のサービスのうち「〇〇口座」と、「PayPay」、「メルペイ」、「Kyash」、「LINE Pay」、「PayPal」、「支払秘書」で合わせて136件、2150万円の被害が確認されています。
いくつかの新聞にも掲載されておりますが、今回は個人の防衛策は殆どありません。強いて言うなら

●フィッシング詐欺には十分に注意。偽メールのリンク先や連絡先ではなく、本家のサイトの連絡先に確認してください。
●セキュリティの脆弱な銀行の利用は避けた方が望ましいと思います。
●ネットでも記帳でも構いませんが必ず月1回以上は残高と明細を確認して不審な明細は問い合わせをするべきです。

飽くまで、上述の様な取引をしていないからというのは、全く関係がありませんのでくれぐれもご用心ください。

 

萩原栄幸(はぎわら えいこう)
23年間、三菱東京UFJ銀行に勤務し、先端技術の調査・研究の実験室「テクノ巣」の責任者、および内部犯罪調査を現場で指導実績を積む。現在は情報セキュリティや内部犯罪、サイバー攻撃、FinTech、IoT、仮想通貨、AIなどについて独自の検証を踏まえ執筆や講演を精力的にこなす。地銀や信金などの金融機関を主体に製薬業等でのコンサルティングを実施し、学会でも2013年から16年まで学術講演会などの座長を務め精力的に活動中。

 

特定非営利活動法人 パソコン整備士協会