ドコモ口座の騒動から見える脆弱性 ドコモ口座関係なく銀行口座があれば被害になる得る

ドコモ口座での被害が10日12時時点で被害は66件、被害額が1800万円と明らかになりました。

連日ドコモ口座について報道されていますが、なぜこのような事件が起きているのか、昨日やっと35行の銀行で連携が停止されました。

ドコモ口座が騒がれている割にその危険性はあまり報じられていません。

今回の騒動は他人事では無いのです。

ドコモ口座を持っていないから関係無いとは言えないのです。

 

ドコモ口座不正引き出し

今回のドコモ口座不正引き出しを知るうえでドコモ口座について知る必要があります。

 

ドコモ口座とは?

ドコモ口座は、ネット上でお買い物や送金ができるバーチャルなお財布です

ドコモのアカウント「dアカウント」を使ってドコモ口座を作る事が出来ます。

そしてドコモ口座に「チャージ」することで買い物などが可能になります。

チャージ方法は以下

  1. 銀行口座
  2. セブン銀行ATM
  3. コンビニ
  4. ペイジー

 

dアカウント

dアカウントとはドコモのサービスを受ける上で必要なアカウントです。

良く勘違いされる方がいるのですが「dアカウント」はドコモ回線を持っていなくても誰でも作れます

メールアドレス(フリーメールも可)だけで作れます。

 

ドコモ口座

ドコモ口座は「dアカウント」があれば誰でも作れます。

対応金融機関の口座番号と名義、暗証番号のみで本人確認されます。

ドコモ口座対応金融機関一覧

※今後は対策するでしょうね。

追記 今後の対策として、ドコモ回線を契約していない人については、口座登録時に、本人確認をWeb上で行う「eKYC」と、電話番号を用いた「SMS認証」を導入するそうです。

また、銀行と連携して全額補償するそうです。

責任の擦りあいになく補償して欲しいですね。

 

ドコモ口座不正引き出しの手口

ここまでの流れを見たら勘が良い方はわかるでしょう。

ドコモ口座はメールアドレスさえあれば誰でも作る事が出来ます

 

 

でも肝心の銀行の口座番号とキャッシュカードの暗証番号がわからないとどうにもならないと思いますよね。

しかし銀行口座は、名義と口座番号は実質的に開示されている状態。(筆者は今日まで知りませんでした。開示方法も知りません)

そうなると残りは暗証番号

 

暗証番号については憶測になります。

通常暗証番号は4桁の数字で1万通りになります。

そして3回間違えるとロックされます。

これを逆に考えてみましょう。

暗証番号を固定して犯人はすべての口座番号に対して攻撃します。

「リバースブルートフォース」とういうハッキング攻撃になります。

パスワードを固定してユーザーIDに対して片っ端から試してログインする方法。

機械的にプログラムでやるので速いでしょうね。

今回はID=「口座番号」ですね。

 

4桁しかない暗証番号に対して攻撃するのは簡単ですが3回間違えるとロックされてしまうので効率が良くないのです。

これによりログイン可能になった口座番号に対する暗証番号はわかっているのでその口座情報をドコモ口座に紐づけます

 

あとはドコモ口座を経由すれば犯人の思うがままです。

 

まとめ

ドコモ口座を持っていなくても被害が出ている事からもドコモ口座「対応金融機関」の口座があれば被害者になり得る可能性が大きいです。

現在は対応金融機関の連携が停止されているので大丈夫かと思いますが残高の確認のために記帳したほうが良いでしょう。

  1. ドコモ口座を持ってない。 ←逆に危ないです(対象銀行と既に紐付けされているとその銀行は新たにドコモ口座と連携出来ない)
  2. ドコモを使ってない。 説明したように関係無いです。
  3. スマホや携帯で決済した事が無い。 説明したように関係無いです。

ドコモ口座対応金融機関で無ければ被害には合わないです。

ドコモはセキュリティに対して今後、強化はもちろんするでしょう。

しかし被害にあっている方は「騒がれているがドコモ口座なんて持ってないから関係ない」とか「ITに詳しくなく、記帳もめったにしないお年寄り」だと被害にあっているのに気づいていない可能性が大きいです。

被害額は報道よりも大きくなる可能性があります。

手軽さ故のドコモ口座を踏み台にした事件と言えます。

しかし今後も同じような事件が起こり得る手口とも言えます。

7payのセキュリティ問題は登録した人だけが被害にあいましたがドコモ口座の問題は「ドコモ口座ユーザーだけでなく対応金融機関に口座を持っていただけで被害にあう」と言う結果になりました。

今後はドコモはもちろん、金融機関にも更なるセキュリティが望まれます。