ドコモ口座の問題から見る、資金移動業者との連携で銀行側がとるべき自衛策とは

ドコモ口座の問題から見る、資金移動業者との連携で銀行側がとるべき自衛策とは

今月、NTTドコモが提供する資金移動サービス「ドコモ口座」に、複数の銀行から本人以外による不正な送金があったことが発覚し問題となっています。資金移動業者のKYCが不十分であるケースが明らかとなり、連携する銀行にも課題が持ち上がっています。

今回の問題の背景と問題点、銀行など金融機関が取るべき対策を考えます。

1.資金移動業者のKYC問題と、口座情報を不正に使われた背景

まず今回の一番の問題は、ドコモ側の会見にあったとおり、ドコモユーザーでなくてもメールアドレス1つで口座を開設でき、銀行口座との紐づけが可能だった点にあります。銀行口座情報があれば、それが本人のものであるかどうかという確認がなされず、ドコモ口座へ送金できる仕組みになっていました。

しかし一方で、銀行側のセキュリティについても各行で差があったのは事実です。実際に、ドコモ口座と連携があった35行すべてで被害があったわけではありません(2020年9月14日時点)。比較的セキュリティが甘い銀行が狙われたのではないかと言われており、被害が確認された地銀では、口座番号、名義、4桁の暗証番号があれば登録可能な地銀ネットワークサービスの「Web口座受付サービス」が使われていました。

銀行の口座情報が不正に取得された経緯について、まだ詳細は明らかにされていませんが、可能性として2つほど考えられます。まず1つ目は、昨年末から地銀の利用者を狙ったフィッシングが急増していること。メールやショートメールから銀行のログインページを模倣した偽サイトに誘導し、口座番号や暗証番号を盗み取る手口です。

2つ目は、コンピューターを使って口座番号と暗証番号を1つひとつ試していく「総当たり(ブルートフォース)攻撃」という方法です。通常、1つの口座番号で何度か暗証番号を間違えるとアカウントにロックがかかりますが、今回使われたのではないかと言われている「リバースブルートフォース攻撃」は、暗証番号を固定し口座番号を次々と変えていく手口であるためロックがかかりません。

最近では企業だけでなく、フリマやオークションなど個人間での口座情報のやり取りも多く、口座番号と名義はもはや秘匿性が高いとは言えません。そのため、4桁の暗証番号を総当たり的に試すことで突破されてしまった可能性があります。

さらに新型コロナウィルスの影響で、金融機関でもテレワークが進んだことやオンライン取引が増えたことに付け込んだサイバー攻撃も急増しており、これらも一因として否定できません。

2.銀行側のセキュリティと対策

今回の事件を受け金融庁は、資金移動業者に対して本人確認を義務付ける方向で調整に入りました[3]。銀行側にも同様の不正利用を繰り返させないための、より一層のセキュリティ強化が求められます。

前述のリバースブルートフォース攻撃が行われていた場合、1つのIPアドレスから複数の口座に対し多数のログイン失敗が起きていたはずです。通常とは異なる海外からのアクセスが増えていた可能性もあります。こうした本人の通常の行動から外れたログイン試行を検知・阻止する取組が必要です。

FATF対応の視点でも、「疑わしい取引」の報告を確実に行うために、ログの保存、モニタリングをする必要があります。通常のインターネットバンキングのログインだけにとどまらず、資金移動業者との連携箇所においても、認証ログの保存、モニタリングができる体制を整え、不正の予防や事後の調査をスムーズに行える状態にする必要があるでしょう。

カウリスのFraudAlertは独自の約150のパラメータを用いて、“本人らしさ”を判定。本人以外によるなりすましなどのアクセスを検知します。現在銀行をはじめ多くの金融機関に導入いただいているほか、FATF対策をご担当の金融機関の皆さまからも多数お問い合わせをいただいています。

もしご興味をお持ちいただきましたら、10月9日(金)に「FIT(金融国際情報技術展)2020」内で行われるオンラインセミナー「【FATF担当者必見!】不正検知プラットフォームFraud Alertの事例紹介」に、ぜひお申し込みください。

【FIT2020 お申込みはこちらから】
https://fit-tokyo.nikkin.co.jp/?=slider

(文/カウリスラボ編集部 画像/©ipopba – Adobe Stock)

参考:
[1] フィッシング対策協議会. (2020). フィッシング報告状況
https://www.antiphishing.jp/report/monthly/202006.html

[2] ITMedia. (2020). 地銀偽サイト情報転用か、19年末大量発覚 ドコモ口座被害
https://www.itmedia.co.jp/news/articles/2009/15/news039.html

[3] 毎日新聞.  (2020). 送金事業者に本人確認義務 金融庁、不正対策強化へ
https://mainichi.jp/articles/20200912/ddm/001/020/128000c