●総当たり攻撃と防御が難しい「逆総当たり攻撃」

 不正出金犯がいかにして口座番号と暗証番号を入手したかはまだ明らかではない。被害者によると、電話番号や車のナンバーなど容易に推定されうる番号は使っていなかったという。では、1から順にすべての数字を試してみる総当たり攻撃の可能性はあるのだろうか。

 一般に銀行では暗証番号を連続して数回間違えると動作がロックし総当たり攻撃を防ぐ仕組みが導入されている(FISCという金融機関向けのセキュリティルールで定められている)。銀行のATMで暗証番号を連続して間違えるとカードが使えなくなるのもこの仕組みが働いているからだ。

 これはキャッシュカードのように攻撃者がIDを指定できない場合はよいが、今回のネット口振のように口座番号が入力できるシステムである場合、同一の暗証番号に対して複数の口座を連続して試す「逆総当たり攻撃」が可能で、これに対する防御は難しい。もし逆総当たりで銀行口座を凍結させてしまうと、凍結の仕組み自体を悪用してオンラインバンキングを機能不全に陥れることができてしまうからだ。そこでGoogleなどのネット大手ではAIを活用した振る舞い検知で逆総当たり攻撃を防いでいるが、そうした仕組みを地方銀行が導入するのは時間がかかるだろう。

●顧客と共にセキュリティレベルを上げる取り組みを

 今回の事件は「オンラインバンキングの認証ではなく安易な認証が用いられた」「SMS認証をバイパスした」という2つの穴を突かれたことで成立した事件という可能性が高そうだ。

 本来はより簡便であり、かつ高いセキュリティレベルの仕組みを普及させる必要がある。たとえば中国では携帯電話番号が身分証や銀行口座と紐付けられ、強固な個人認証手段となっているほか、口座開設時には窓口でSMS認証を実施することで、その番号が個人の保有であることが確認されている。

 また、当該番号を解約した時には携帯電話会社から銀行に自動的に通知される、その後新しい携帯電話番号を届出しないと口座が凍結されるという仕組みがとられている。携帯電話番号をキーにして、比較的手間をかけずにセキュリティ水準を高める仕組みが作られた。

 中国の手法をそのまま日本にコピーはできないが、簡便かつ安全な手法の普及を怠ってはならない。スマホアプリや生体認証機能を使ったパスワードの複雑さに頼らない安全かつ使い勝手の良いセキュリティ手法の普及に努めるべきだし、利用者拡大のボトルネックになるからといって安易にセキュリティを妥協するべきではない。

 妥協がどのような結果をもたらすのか、ドコモ口座事件は貴重な教訓をもたらした。銀行、通信事業者、そして利用者は足並みをそろえて進化していかなければならない。