2020.09.30 システム
ドコモ口座の不正利用からサイトセキュリティを考える
こんにちは
先日、「ドコモ口座」を使って、銀行の預金が不正に引き出されるという事件が発生いたしました。
他人になりすまして作られた「ドコモ口座」と紐付けされた「銀行口座」から預金が引き落とされてしまったということで
2020年9月10日までに判明した被害は、66件約1800万円で、11行もの銀行口座から引き落としが確認されているようです。
仕組みとしては、「ドコモ口座」と「銀行口座」の紐付けをすることで、銀行預金から「ドコモの電子決済サービス(d払い)」にチャージができる仕組みが提供されているようで、
今回はこの仕組が悪用されたようです。
対象のサービスを利用するためには「ドコモ口座」を作る必要があるのですが、ドコモの利用者以外も作成できるようになっており、ドコモの利用者の場合は、携帯端末を契約する際に、本人確認を行った上で契約を行っているので、セキュリティがしっかりしているのですが、ドコモの利用者以外が「ドコモ口座」を作る場合は、ドコモのアカウントを作り、銀行の口座番号や暗証番号を入力し、登録したメールアドレスに送られてきたリンクをクリックすることで本人確認をするという簡単な方法で口座開設ができる点が不正利用の1つの問題点ではないかと言われております。
その他にも、銀行の口座番号と暗証番号が必要ではあるのですが、どこからか不正入手されて、他人名義の口座番号と暗証番号を入れて預金の引き落としがされてしまったようです。
これについては、ドコモ側も銀行側も、漏洩はないと主張している状態で、実際漏洩したのか、全く別ルートで流出したのか、それともフィッシングサイトなどで不正に収集されたのかは、現時点では分かっていないようです。
私も念の為、自分の銀行口座やゆうちょ口座で不正に引き落とされていないか確認しました。
皆さんも確認しておくと良いかもしれません。
今回の問題ですが、個人的には、「ドコモ口座」のサービスを普及させるために、明確な本人確認なしに簡単に登録できる仕組みを作ってしまったことが、一番の問題で、さらには、銀行との紐付けについても、フィッシングサイトなどで流出する可能性を考え、本人確認ができる第3のキーが必要だったように感じます。
まだまだこの問題は決着はしておりませんが、このニュースを受けて、サイト制作をする際にも気をつけなくてはならないと感じました。
銀行口座等の秘匿情報を取り扱うサイトではありませんが、サイトの利用者の利便性を考慮して、セキュリティ性は落ちても機能を実装する場合や、費用の関係で機能削減するケースもあるかと思います。
お客様のご要望を考慮しつつ、サイトの要件に応じて、どのようなリスクがあるかを考慮して、利便性とセキュリティのバランスを取りつつ、リスク説明をしていくことが制作会社の責任であると感じました。