金融機関を標的とした度重なる攻撃に、業界全体が揺れている。

 9月7日のドコモ口座による銀行預金の不正出金問題がくすぶり続けている中、16日にはSBI証券の顧客口座から、不正に計9860万円が引き出される事件が発生した。現在、SBI証券はすべての顧客について出金先銀行口座の変更受付を停止し、郵送によってのみ出金先口座の変更手続を行うなど事件の対応に追われている。

 ドコモ口座とサービス連携しなかったことで難を逃れ、一定の評価を受けた三菱UFJ銀行。しかし、SBI証券の不正出金問題では、ゆうちょ銀行と共に三菱UFJ銀行の偽口座が不正出金の送金先として悪用されたことが判明し、一連の不正出金騒動で”被弾”した形となる。

 今回は、これらの不正出金問題を振り返りつつ、ちまたで見過ごされがちなもう1つの危ない現実についても確認したい。

●ドコモ口座はセブンペイよりヤバい?

 ドコモ口座やSBI証券のような不正出金がらみの事案で、記憶に強く残っている事件といえば、「セブンペイ」だろう。ドコモ口座も、セブンペイもセキュリティーを犠牲にして顧客獲得や利便性を追求した結果、不正出金という結果を招いてしまった。

 セブンペイにおける被害者は、いわゆる「リスト型攻撃」の対象となるセブンペイユーザーであった。リスト型攻撃とは、別のWebサイトなどから漏えいしたIDとパスワードのリストを用いるタイプの攻撃方法である。なお、SBI証券の不正ログインに用いられた攻撃も、この「リスト型攻撃」によるものとみられている。セブンペイでは、このリスト型攻撃によって約900人、総額5500万円ほどの被害が出たことでサービス終了に追い込まれた。

 この種の攻撃は、主に他の場所でパスワードを使い回しているユーザーが被害に遭いやすい性質がある。

 確かに、セブンペイの事例では二段階認証機能を軽視したセブンペイ側や、攻撃者に責任があることが大前提である。しかし、パスワードの使い回しなどによりリスト型攻撃を許す隙を与えてしまった利用者側にもわずかながら責任があるといえるだろう。

 一方で、ドコモ口座の事例は、セブンペイよりもはるかに深刻だ。本件では、攻撃者側がドコモ口座を作成すれば銀行顧客への攻撃が成立してしまうため、ドコモ口座を利用していない顧客の口座からお金が不正に引き出される可能性もあることになる。

 この脆弱性に対し、ドコモ口座側はSMSによる二要素認証およびeKYC(電子的な本人確認)を導入することで無尽蔵に匿名アカウントを作成できる現状を改善し、金融機関側はログインや送金時にSMSなどによる二要素認証を用いる”合わせ技”で不正出金のリスクを抑制するという。

 17日現在では、ドコモ口座においてワンタイムパスワードやSMSによる二要素認証を導入していたみずほ銀行、三井住友銀行などでは被害は確認されていない。現時点で判明している被害状況をみると、攻撃の対象は地方銀行を中心とした二要素認証を導入していない銀行に集中している。

 ワンタイムパスやSMSによる二要素認証を破るには、口座のIDとパスワードだけでなく、専用端末やスマートフォンそれ自体またはその情報も入手する必要があり、不正出金の難易度が一気に上昇する。したがってこれらの対策は有効打にはなりそうだ。

●「いつでも偽の銀行口座が作れる」

 ではなぜ、SBI証券の事例では、二要素認証を備えていた三菱UFJ銀行の口座が不正出金に利用されてしまったのだろうか。その理由は、三菱UFJ銀行で開設された口座がそもそも偽物であった要因が大きい。

 SBI証券の事例では、SBI証券のセキュリティー不足も不正を手助けしたといえるが、そのような脆弱(ぜいじゃく)性があったとしても、ゆうちょ銀行や三菱UFJに偽口座が作れなければ攻撃に踏み切ることはできなかったといえる。

 なぜなら、証券会社の出金先に指定できる銀行口座は、証券口座と同じ名義でなければならないからだ。証券会社から顧客資産を抜き取るには、攻撃が成功した顧客の名義を確認したうえで、速やかに偽の銀行口座を作成しなければならない。

 しかし、SBI証券でこのような不正出金が発生したということは、「犯人がスピーディーに偽の銀行口座を作成できる脆弱性が銀行に存在する」ことを示唆していることになる。

 連載第1回目では、我が国が “マネロン天国”である現状を指摘し、アンチ・マネーロンダリングの状況を審査する国際機関のFATF(ファトフ、金融活動作業部会)による「第4次対日相互審査」における銀行・金融庁の対応について触れた。偽の口座が簡単に作れてしまうことは、今の我が国は不正出金だけでなくマネーロンダリングのリスクも非常に高い状態のままであるということも同時に示唆しているといえる。

 一連の騒動では、二段階認証のような「口座開設後」のセキュリティーについてもっぱら議論されているようにも思われるが、この対策は偽の口座に対しては無力だ。いかに偽の口座を作らせないかという「口座開設時」のセキュリティーも、不正出金やマネーロンダリングといった金融犯罪を撲滅するために必要不可欠な視点である。

(古田拓也)