前田知洋の“マジックとスペックのある人生” 第125回

人を欺くプロのマジシャンが考える、「ドコモ口座」問題の脆弱性とは?

Photo by David Goehring

　このところニュースで目にする「ドコモ口座」を使った不正な預金引き出し問題。被害件数143件、総額2676万円（執筆時、9月17日時点）もの規模になっています。その詳しい手口などは、ここでは深く論じませんが、今回は少し別の視点から特徴や脆弱性を考察してみようと思います。

「脆弱性」がどこにあったかがわかりにくかった

　今回の被害について、多くのニュースサイトなどの評論では「本人確認が甘かった」「2要素認証が必要だった」「リバースブルートフォースアタックが使われた」（特定のパスワードと、ユーザーIDに使用される文字列の組み合わせを用いて、総当り的にログインを試みる手法）などがよく話題になります。たしかにその通りなのかもしれません。

　しかし、少し別の視点から考えてみましょう。例えば、家の中に金庫があり、泥棒がその中身を盗んでしまうケースを考えてみます。

　泥棒が盗みに入った場合、何らかの手段で組み合わせ番号を知っていたり、金庫の合鍵を準備していたり、ドリルで強引にこじ開けたり、という手口が考えられます。家庭用の金庫なら、金庫そのものを持ち出してしまう場合もあるでしょう。

　しかし、いずれにしても、番号を知られた、物理的に壊されたなど、どのような手段で被害にあったのか、つまり、どのような「脆弱性」を突かれたかに関しては、わかりやすいはずです。「泥棒に盗まれたのでは？」とすぐに理解しやすいケースです。

　ところが、盗まれたというはっきりした形跡もなく、気がついたら金庫の中のお金が減っていた、というような状況だったらどうでしょう。あきらかな証拠がないので、警察などに相談しても「勘違いでは」と思われてしまったとしたら。

預金引き出しのセキュリティー

　通常の預金引き出しのセキュリティーは、「通帳」＋「印鑑」＋「銀行の窓口で対面する」、キャッシュカードの場合、「キャッシュカード」＋「暗証番号」＋「番号を何回か間違えるとカードが無効になる」などという組み合わせでした。近年では手指の静脈パターンを利用した「生体認証」も活用されています。

　そうした理由から、今までの詐欺のケースでは、被害者を言葉たくみに誘導して「キャッシュカードを詐取する」「暗証番号を被害者から聞き出す」「本人にATMを操作させる」などの手口が生まれました。こうした方法は「ソーシャル・ハッキング」などと呼ばれ、警察や銀行なども被害からの申し入れに対処がしやすい状況でした。

今回の事件の「脆弱性」は……？

　今回の事件の特徴は、公開情報であるはずの「口座番号」「氏名」をセキュリティの要素に含ませたこと（ドコモ口座に銀行口座を登録することを「本人確認」としていた。残りの1要素は暗証番号）です。

　昨年の10月に最初の被害が起きていたものの、詐取の証拠や記憶が被害者側に残らないため、銀行や警察などに被害が申し入れられにくい状況だったことも特徴です。

　つまり、銀行としては「ドコモから個人情報が漏れた」、ドコモ側は「銀行から個人情報が漏れた」、そして警察は「被害者がフィッシング詐欺などで個人情報を漏らした」と、それぞれが誤解しやすい状況だったと推測できます。

　重ねて、被害者が被害を自覚しづらい（オンライン決済やオンライン決済を利用していなくても被害にあい、通帳の記載で初めて気が付く）ことも特筆できる点です。

　まとめると

●フィッシングサイトなどの詐欺の証拠が外部に残らない。
●被害者が被害を自覚しづらい（覚えがない）。
●銀行口座所有者と犯人との接触がない。
●過失の所在がわかりにくい。

　以上のことを、犯人（または犯行グループ）に知られたことが、今回の事件における「脆弱性」であり、被害拡大につながった点だと筆者は分析しています。

今回の事件の場合、多くの人は、通帳の記載で初めて被害に気付く（画像はイメージ）

Photo by Sergio Ortega CC BY-SA 3.0

　ちょっと悪く聞こえるかもしれませんが、マジックも同じです。

　ほとんどの観客は「マジックにはタネがある」と知っています。しかし、「いつ、どこで、秘密の動きをしているのかがわからない」ので、マジックのタネそのものがわからず、気づいたときにはありえないことが起きているので、不思議に見えるわけです。

本来、利便性とセキュリティーは相反するもの

　電子マネー決済サービスのセールスポイントとして挙げられやすい「簡単に申し込める」「手軽に使える」は、セキュリティーについて考えれば、本来相反するものです。利用者にとっても犯罪者にとっても申し込みが面倒だから、セキュリティーは強固になる。それが原則です。

　初めてクレジットカードを作るときや携帯電話を申し込むときなどを思い出してみれば、やっぱり面倒くさく、手間と時間がかかります。しかし、一度申し込んでしまえば、使うのは手軽です。

　逆に言えば、簡単に申し込めるものでは、本人確認にならない（セキュリティー的に強固なものだとみなされない）場合があります。それこそ、カードを作るときや、携帯電話の申し込みに必要な運転免許証やマイナンバーカードの取得は単純ではありません。

　これから活用が期待されている、オンラインで本人確認する「電子化本人確認：eKYC」も、身分証のICチップを読み取ったうえで本人を撮影する方法、銀行やクレジットカードの情報と照会する方法などもありますが、専用ソフトウェアを使って身分証および本人を撮影する、比較的簡易なものもあります。

　そのため、虚偽の申請などもありえますし、そもそも顔写真入りの証明書が必要になる場合が多いですから、必ずしも手軽かつ万能な方法ではない点には、留意するべきでしょう。

課題はバランスの取れたシステムの構築

　もちろん、申し込みをできる限り簡素化するのは、普及を拡大したい新サービスでは必須です。しかし、極端に言えば「簡単に申し込めて手軽に使える」は、犯罪者にとっても「手軽に悪用できる」面があります。

　申し込みのハードルを下げつつ、セキュリティーはしっかり確保する。そのバランスが新システムを構築する企業の知恵のしぼりどころでもあります。

　今回の事件、一番悪いのは預金を詐取した犯人です。そして、電子マネー決済サービス企業や銀行にとっても、手軽さと安全をバランスよく両立するシステムを再発明するキッカケになる出来事なのかもしれません。

前田知洋（まえだ ともひろ）

　東京電機大学卒。卒業論文は人工知能（エキスパートシステム）。少人数の観客に対して至近距離で演じる“クロースアップ・マジシャン”の一人者。プライムタイムの特別番組をはじめ、100以上のテレビ番組やTVCMに出演。LVMH（モエ ヘネシー・ルイヴィトン）グループ企業から、ブランド・アンバサダーに任命されたほか、歴代の総理大臣をはじめ、各国大使、財界人にマジックを披露。海外での出演も多く、英国チャールズ皇太子もメンバーである The Magic Circle Londonのゴールドスターメンバー。

　著書に『知的な距離感』（かんき出版）、『人を動かす秘密のことば』（日本実業出版社）、『芸術を創る脳』（共著、東京大学出版会）、『新入社員に贈る一冊』（共著、日本経団連出版）ほかがある。

ASCII倶楽部

お知らせ