ドコモ口座や銀行口座で何が起こっているのか#2
前回のあらすじ
ドコモ口座では開設時に本人確認をされていなかった。
流動性を扱う資金決済業者が行うには、浅はかな認識であったと言えよう。見事に不正利用者へのバックドアをどうぞと開けてしまったものだ。
だが、真の問題は、そこだけではない。ドアを開けた先にもう1つ今までは問題にならなかった古びた扉があったのだ。
銀行システムという老朽化した小屋がそこにあった。
銀行システムとは
銀行システムとは、なんだろう?
銀行システムは、銀行口座を開いた人の口座が記録されているシステムがある。俗に勘定系システムというシステムである。
そこに、その銀行のすべての口座の記録、そして、振込や引き出しが行われるとそこに書き込みが行われる。
あなたの給料は、ほとんどの場合銀行振込で行われている。それも勘定系システムに書き込まれる。しかし、それだけではない。あなたがATMで振込をするときに、振込先を指定して振込分の金額を入れるだろう。そうして、相手先に振り込まれるのだ。
では、ドコモ口座の場合、銀行口座と連携してあなたは銀行口座の振替のときにいちいち銀行口座を指定するのだろうか?
答えは否である。ドコモ口座と銀行口座を最初の一度結びつけて、あとはドコモに任せる、という手続きがなされる。
このときに使われるシステムが、銀行によって名称が違うが、「口座振替受付サービス」である。
口座振替受付サービスの利便性とリスク、そして脆弱性
口座振替受付サービスの利便性は、利用者が毎回振替するときに振替口座を指定する必要がないことだ。一度登録すれば企業と銀行がしてくれる。そういう仕組だ。
裏を返すと、一度登録さえできてしまえば、ばれない限りいくらでも振替できる、というリスクを持っている。これはこのサービスの利益を享受する以上は絶対に発生する利用者も銀行も企業も許容すべきリスクだ。
それだけに、強いセキュリティが求められる…はずだった。
この「口座振替登録時に脆弱性がある」と言われている。
リバースブルートフォースアタック
リバースブルートフォースアタックの疑いが騒がれている。先立って言及しなければならないのは、そういった事実をどの銀行も公表しているわけではないことだ。つまり、現在のところ「ただの推測」の域を出ない。
リバースブルートフォースアタックとはなにか。その前に「ブルートフォースアタック」に言及しなければならない。
ブルートフォースアタックは日本語で書くと「総当たり攻撃」である。
銀行口座の例で言えば、1つの銀行口座に対して総当りで暗証番号を試みる、という攻撃方法である。
しかしながら、これは銀行も対策を取っている。ご存知の通り、数回暗証番号を失敗した場合、一度その口座は凍結される。それを解除するには、銀行に直接申請手続きを取る必要がある。
このとおり、ブルートフォースアタックの防御方法の1つは「回数制限」があげられる。総当りさせなければ、いいわけだ。
さて、だが攻撃者は考えた。「逆にしたらいいじゃない」と。
リバースブルートフォースアタックである。
何を逆にしたか、というと暗証番号を固定し、あらゆる銀行口座番号に攻撃を試みたのである。これだと、見た目上は1つの口座に1回失敗しているようにしか見えず、対処できない銀行も多かった-おそらく殆どの銀行-ということだ。
そして、たまたまあった暗証番号と銀行口座番号を手に入れられればあとは情報を入れるだけである。
口座振替サービスのずさんさ
その情報は、銀行ごとに異なる。というより、銀行の裁量なわけである。
今回、ドコモ口座で被害が目立った銀行の口座振替サービスには「銀行口座」と「暗証番号」だけでよい。という銀行もあった。つまり、リバースブルートフォースアタックさえ当たれば登録できてしまう、ということだ。
逆に、被害に遭っていない銀行もある。例えば生年月日や電話番号、口座の最終振込金額などを入れさせるなど、入力させる情報を増やしてより「本人である」という保証を取っていた銀行もあった。
この差が被害のあった銀行とそうでない銀行の違いの「ひとつ」であった。
この登録の時点で「利便性を優先」して、簡便な情報だけで済ませたことによる功罪がここに現れたわけだ。
もっともそれで問題なかった、ともいえる。普通は、そんなに何度も入れることのできる仕組みではないからだ。
それが先に述べた「ドコモ口座」がずさんにドアを開けたばっかりに、システム的に無制限にリバースブルートフォースアタックを試みることができた…という推測がされている。
事前に防ぐことはできたか
リバースブルートフォースアタックについては、結論からいえば当然できた。
被害の遭っていない銀行は、先に述べたとおり、よりたくさんの情報を入れさせたわけだ。銀行によっては二段階認証をさらに求めているところもあった。普通の泥棒も空き巣に入るとき「しっかりとしたセキュリティのできているところ」を泥棒は狙わない。
泥棒が狙うのは「防犯意識の薄い家」に入るのだ。
このリバースブルートフォースアタックがなされたと仮定するならば、銀行の経営層の責任である。
当然このようなセキュリティ要件は、銀行の経営層が判断してしかるべき要素である。それをシステムの費用の節約などで実装しなかったことが悪い。あるいは、そもそも「そういう事が起こりえるだろう」という想像すらできていなかったかもしれない。ともすれば、銀行の情報セキュリティ意識の低さが招いた結果であろう。
システムの外部委託という功罪
地方銀行のシステムは勘定系システムを含めて、多くが外注されている。自前で作っている(手動して開発している)銀行はメガバンクくらいだ。地方銀行で自前でシステムを持っている銀行はほとんどなく、ベンダー任せになっている。また、地方銀行が連合体としてベンダーが開発した1つのシステムを共同利用しているようなベンダーもいる。それだけ、システムにかける体力が小さな銀行にはないのだ。そして、ベンダー任せになっている彼らには、もう情報システムに関するノウハウはないかもしれない。
だとしても、ベンダーもそのセキュリティを実装するならば「金」がいる。もし銀行が「出せない」と言われたらどれだけわかっていてもセキュリティ対策は実装はできないのだ。
故に、銀行は「セキュリティ要件」をちゃんと意識しなければならない義務がある。それを怠った結果、と言える。
二要素認証が必須条件に
何度もいうように「リバースブルートフォースアタック」は推測の域を出ない。もう一つ、大きな脆弱性があるからだ。それは利用者を狙った脆弱性だ。それについては、また次の回で記載しよう。
ただ「リバースブルートフォースアタック」にせよ「利用者の脆弱性」を狙ったにせよ、防御できる手段が1つある。
二要素認証の実装である。
二要素認証は、たとえばワンタイムパスワードというのがそれにあたる。すでにドコモ口座によって鍵のない扉を抜けられたとしても、もう一つ本人しか持ち得ない「ワンタイムパスワードトークン」あるいは「SMS認証」などによってリバースブルートフォースアタックも利用者の脆弱性を防ぐことは可能だ。
銀行口座預金の直近の額を入れさせる、というのもある意味二要素認証だ。それが堅牢かと言われると少し考える余地があるが、ないよりはマシなのは間違いない。
今後、銀行は暗証番号運用だけでなく、二要素認証を実装されることになるだろう。そうでなければ、銀行口座の構造上守れないからだ。
銀行口座の仕組み自体がすでに弱い
これは余談である。もはや銀行にはどうしようもない構造の話である。
先にも述べたとおり、銀行口座と4桁の暗証番号さえあれば、思い通りにされてしまうのだ。じゃあ、この暗証番号の運用を変える必要があるのではないだろうか?
現実的に考えればそれは難しいだろう。
- 多くの利用者が-特に高齢者など-4桁の番号になれきって変えられない。
- ATMにテンキー以外の入力装置を設置できない
- システムの改修に根本的な変更が必要となりコストに合わない
様々な要素からこのデファクトスタンダードともいえる4桁暗証番号の運用を変えることはできない。そして、今後もそのリスクを銀行も利用者も抱え続けなければならない。
そのために、二段階認証などの「もう一つの鍵」を実装するという方法が提案されているのだ。これを銀行経営者は軽視してはならない。なぜなら、そのような方法でしかセキュリティ強化はもうできないからだ。
次回予告:利用者の脆弱性
ドコモや銀行の罪を説明した。しかし、もう一つの脆弱性を忘れてはならない。
我々利用者の脆弱性である。
4桁の暗証番号に誕生日やゾロ目などあてていないだろうか?
そもそも銀行口座番号や暗証番号を正しく管理できているだろうか?
「銀行からの電話」に応答していないだろうか? 本当にその相手は銀行なのだろうか?
自分の身を守るのは最終的には自分である。その話を次回、しよう。
コメント
コメントを投稿