地銀大丈夫?・・・
ケータイWatchの記事に、「ドコモ口座」を使った銀行口座の不正引き出し被害が発生、七十七銀行と中国銀行で てのがありました。
NTTドコモが提供する電子マネーサービス「ドコモ口座」において、銀行口座を不正に登録される金融被害が発生したそうです。
コレちょっとわかりにくいですよね。システムを理解していないと、「ドコモ口座」から何かしらの情報が漏れたと勘違いする人も出てきそうですがそうではありません。
「ドコモ口座」は、ネット専用のVisaプリペイドカードや携帯電話代の支払いに充当できる口座として誕生したサービスで、銀行口座と連携させることで銀行からのチャージを実現しています。
同様の銀行連携サービスは「PayPay」や「メルペイ」「LINEペイ」などのQRコード決済サービスでも利用されています。
つまり、「ドコモ口座」は既存の銀行口座と連携させる必要があるわけですが、この銀行口座と連携させる際の認証方法に問題がありました。
初めにドコモ口座以外の銀行連携サービスの登録方法を見てみましょう。ここでは「PayPay」に「みずほ銀行」の口座を登録する方法を例に取ります。登録の流れは以下のようになっています。
1. 支店名・口座番号、口座名義/生年月日を入力、「みずほ銀行へ」
2. 個人情報の取り扱い同意のチェックボックスにチェックを入れ「カード暗証番号ログイン」
3. 店番号・口座番号、生年月日、キャッシュカード暗証番号、通帳最終残高を入力してログイン
4. お申込み内容を確認し、メールアドレスを入力、みずほ銀行からのご案内を受け取るかを選択して「次へ」
5. 預金口座振替約定の確認と、お申込み内容の確認のチェックボックスにチェックを入れ「口座振替申込」
6. 収納企業のサイトへ戻る」を押して完了
上記で重要なのは、ログインする際の認証要素が多いことです。上記では、認証要素に 店番号、口座番号、口座名義、生年月日、キャッシュカード暗証番号、通帳最終残高 の6項目を必要としています。
当然ながら、銀行口座からキャッシュをチャージする機能を有効化するわけですから、この程度の認証要素は不可欠と言ってもいいでしょう。
では、今回のドコモ口座での登録の際に、問題のあった「地銀」での認証要素はといいますと・・・
口座番号、暗証番号、氏名の3項目のみ
だったのです。コレはヤバイです。銀行口座連携機能を利用するのにこのたった3要素のみで連携を可能にしてしまうのは、さすがにセキュリティがガバガバ過ぎませんか?ダークウェブに行けばこの手の情報は手に入るものも多くあります。
ドコモ口座側にも本人確認の不備があり、決して万全な体制ではなく問題があることは間違いありませんが、それ以上に地銀のセキュリティには呆れるばかりです。
脅すわけではありませんが、今回問題になった銀行口座をお持ちの方は、口座の内容を念の為、ご確認になってみてはいかがでしょう?