ドコモ口座や銀行口座で何が起こっているのか#3
前回のあらすじ
銀行口座でもドコモ口座との結びつけのときには本人確認はされず、二段階認証がなかった。
また、リバースブルートフォースアタックの疑いもいまだ問題提起されている状態だった。
銀行のシステム利用に関するセキュリティ認識について疑いがあることを述べた。
しかし最後に、利用者側の問題に触れなければならない。
自分や家族の身を守るのは、自身であることを改めて考えたい。
利用者に否があるのかないのか
重要なことは否はない。サービスを使う以上、企業側にセキュリティを確保する責任はあるし、今回の事件に関してはドコモ側に否があるのは明らかだった。
ただ、否がないからといって100%被害に遭わないというわけでもない。利用者側の弱点を考える必要がある。
弱い暗証番号は絶対に設定しないこと
4桁の番号、たった1万通りの組合せといえども使われやすい、使われにくい4桁がある。使われやすいほど不正利用に狙われやすいので、そこは避けること。
- 日付を四桁にした0101~1231の366通り
- 0000,1111...9999などのゾロ目
- 1234,2345...などの連番
なんと研究された方がいるので、参考にされたい。この研究元は、RockYouという2009年に大量流出したパスワードをもとにされており、皮肉にも信憑性は高いと言える(語呂合わせなどは欧米的な傾向があると思われるが、それ以外は普遍性があるだろうと推測できる)。
【ドコモ口座】4ケタパスワードの分布と傾向 - Togetter
二要素認証が可能なら必ず利用すること
二要素認証は、2つ以上の要素をもとに認証をする、ということだ。代表的な要素は以下のとおり。
- 知的要素
- 所有要素
- 生体要素
パスワードや暗証番号が知的要素である。それに対し、銀行でよく使われている要素はスマホや乱数表、ワンタイムパスワードトークンなどを利用した所有要素の認証になる。
所有者は基本的に1人なので、その2つが組み合わさればまず本人と確認できる、ということである。
ただし、どれにも弱点はあるので、注意すること。例えば、知的要素は推測可能であること。所有要素は盗難リスク、紛失リスクがあること。生体要素は、欠損時のリスク、知らぬ間に生体自体を盗難されることがある(生体の盗難とはこれいかに、と思えるが、実際夫の指紋認証付きスマホを睡眠中に解錠する、などという話は枚挙にいとまがない)。
2つ以上組み合わせることに意味がある。1つでも漏れた場合には、いずれの要素も再発行するなどして見直す事が重要だ。
セキュリティを確保されていない銀行から企業からは手を引くこと
ところで、ワンタイムパスワードトークンなどが提供されていない、などの場合にはどうするべきか?
単純である。銀行からお金の住処を替えよう。
どの銀行、企業にもリスクを潜在的に抱えている。セキュリティを謳う企業が必ずしも安全というわけではない。信用できる認証手段を提供しているか、最新の技術に投資しているか、などを考えて、適宜住み替えを考えるべきだ。
金の切れ目が縁の切れ目ならぬ、セキュリティの切れ目が金の切れ目である。
家族にも注意喚起をすること
自分が大丈夫!と思っていても、家族が気をつけないとそこからバレている、ということは往々にしてある。
ただ、これは結構難しい問題で財産を家族と共有していることの利便性を享受するため、パスワードを共有するなどということもあるだろう。
年をとった人にはセキュリティの重要性をなかなか理解してもらえないかもしれない。その理解をしてもらう説明に努めよう。
また、財産の共有は、なるべくリスクを分散化するなどして口座をちゃんと分けるとか、何か遭ったときの情報の共有の仕方などを考えておくといいかもしれない。
私見だが、金融機関にはこの辺のサービスを提供してほしい、と思う。つまり、一定範囲の家族に対して、予め申請するなどしておくことで、家族に不幸があったと証明できるとき(死亡届など)、一定範囲でそのサービスを開放するなど(月10万円なら引き落とせるようにするなど)、だ。
大黒柱の家族の口座からお金を引き落とせなくなる、というのは辛い。予め生前の人間の同意を経て、そういうサービスを提供してほしい、と思っている。
定期的な資産状況の確認をすること
結局のところ、定期的な点検が必要だ。どんなにセキュリティが甘くとも、逆に、厳しくしても、不正利用のリスクはゼロにはならない。
不正利用されたtときの出口戦略を考えておく必要がある。
その第一歩が「被害を把握すること」だ。銀行ならば、不審な引き落としがないか、クレジットカードなら不審な利用形跡がないか、だ。
それを把握し、記録しておくこと(スマホで写真を取るでもいい)。それを速やかに銀行などに申し出ること。申し出た事実を記録しておくこと。
最初はあしらわれるかもしれないが、ちゃんと申し出たという事実を残しておけば、後々補償を行うと銀行や企業が態度を改めたときに有利に働く可能性が高い。
ドコモ口座の件も、当初はドコモと銀行のどちらの窓口も責任のなすりつけ合いだった、などというツイートも見かけた。あしらわれたからといって、自分に否がないならば諦めずに対処を取ることが重要だ。
結論
自己防衛は、まず気づくことからだ。自分の身を守るために何が必要なのか考えて実行すること。
例えば賃貸をする条件に、家に鍵をつけることが当たり前だったり、人によってはマンションの玄関自体が施錠されているかを選ぶ人もいるだろう。銀行口座も同様で「ちゃんとセキュリティがしっかりしているか」を考える必要があるということを示した。
今回の事件で、銀行も企業も動くことになり、環境は変わるのは間違いない。むしろ、変わらない銀行に口座を開いているなら、すぐに引き上げたほうが身のためである。
コメント
コメントを投稿