そこで多くの金融機関が「口座番号と暗証番号」や「通帳の最終残高」などを確認するだけ、セキュリティレベルの高いオンラインバンキングの認証情報を使わない方法で口座登録ができるようにしてしまった。今回の七十七銀行、中国銀行ともに口座番号と暗証番号のみでネット口振の設定ができる金融機関であったことから、犯罪者に狙われてしまったものと思われる(三井住友銀行など一部の金融機関は今でもオンラインバンキングの認証方式のみを許可しており、安易な認証は導入されていない)。

 普及が進まないオンラインバンキングに対して「よりセキュリティレベルの低い入口」を設ける解決策はあってはならない。しかし、今回の金融犯罪が成立してしまった原因はこれ以外にもある。

●二段階認証ができないユーザーをどう守るか

 今回取材した被害者は銀行に固定電話の番号のみを届出していた。その被害者が利用している銀行では、セキュリティレベルの低い「口座番号と暗証番号」でネット口振を登録しようとした場合、原則的には携帯電話のSMSや音声通話による二段階認証が行われる。二段階認証はSNSやフリマアプリの登録ではお馴染みの方法で、予め金融機関に届け出た携帯電話に4~6桁の確認番号が届き、その番号を正しく答えられた人だけが先に進めるようにするチェック機構だ。被害者は銀行に固定電話しか登録されておらず、このSMS認証のステップが飛ばされてしまった。

 本来であればSMS認証ができないのであればオンライン登録を停止する、あるいは固定電話への架電など別の方法で本人確認をとるべきだが、そういった設計にはなっていなかったため、口座番号と暗証番号だけで攻撃が成立してしまった。

次のページ
総当たり攻撃と防御が難しい「逆総当たり攻撃」