「ドコモ口座」「ゆうちょ銀行」「SBI証券」――2020年9月には金融機関やその利用者を狙ったサイバー犯罪が相次いで明らかになった。サイバーセキュリティの専門家である徳丸浩さんは10月21日、報道陣向けのセミナーで「これらに共通しているのはログインが狙われたこと。サイトの特性を熟知して攻撃している」と解説した。

 9月に明らかになった金融機関へのサイバー犯罪事案は、NTTドコモの電子決済サービスであるドコモ口座やゆうちょ銀行を狙った不正出金、SBI証券への不正アクセスによる不正送金、ゆうちょ銀行が提供するVISAデビット・プリペイドカード「mijica」を悪用した不正送金など。

 徳丸さんは、これらの犯罪に共通する傾向として、ログインに関するシステムの弱点を突かれたことや、各サービスの仕様などを熟知した人物による攻撃だと考えられることを挙げている。

●不正出金事案 「かんたん残高照会」を悪用か?

 ドコモ口座やゆうちょ銀行、地方銀行、ゆうちょ銀行の即時振替サービスを活用したモバイル決済サービスなどでは、悪意のある第三者が不正に入手した銀行口座番号や暗証番号を使ってモバイル決済サービスのアカウントと銀行口座をひも付け、不正に現金を引き出す事案が発生した。

 ゆうちょ銀行と連携する決済サービスでは、アカウントの作成と銀行口座のひも付けを行うと口座からアカウントへ残高がチャージできる仕組みだった。アカウント作成の際にはメールやSMSによる認証が必要で、これがサイバーセキュリティ対策の一つになっていたという。

 徳丸さんの仮説によると、攻撃者はフィーチャーフォン向けの「かんたん残高照会」サービスを口座ひも付けの突破口にした可能性があるという。かんたん残高照会は、口座番号や暗証番号を入力すると残高が確認できるサービスで、決済サービスを利用する際の認証情報として使われることもある最終預金残高も場合によっては導き出せる。

 口座番号や暗証番号は、固定の暗証番号を使ってログインできる銀行口座を探す「リバースブルートフォース攻撃」などで取得したとみられている。固定の口座番号に対して暗証番号を総当たりで調べる「ブルートフォース攻撃」は金融機関側も「3回ログインに失敗したらログイン機能をロックする」など対策をとっているが、リバースブルートフォースはこの抜け穴を狙ったもの。

 リバースブルートフォース攻撃で口座番号や暗証番号、かんたん残高照会で口座名義や最終預金残高などを取得し、なりすましに成功したのではないかとしている。

●SMS認証2種類 二段階認証には数えない場合も

 SMS認証を巡り、徳丸さんは「SMS認証には2種類ある」とし、「ここでいうSMS認証は本人確認ではない」と注意喚起した。

 一つ目は利用者がSMSを受信できたかどうかを確認するだけのもの。サイト上に設置したフォームで入力された電話番号にワンタイムパスワードを送信して確認する。スマートフォンやSIMカードを購入する際に行う本人確認と合わせて、番号から事後的に身元を追跡できることを期待した作業だという。認証に使う電話番号はどんな番号でもいいため、二段階認証の段階には数えない。

 二つ目はアカウントにあらかじめ登録された電話番号にワンタイムパスワードを送り、SMSを受け取れるかを確認するもの。登録されていない電話番号は使えず、実際にアカウントを使っている本人かどうかを確認する仕組みで、二段階認証の段階に数える。

●SBI証券の不正送金事案 狙われた経験が少なく手薄に

 SBI証券では、悪意のある第三者がSBI証券の証券口座に不正ログイン。偽造した本人確認書類を使って証券口座と同名義のゆうちょ銀行口座を作り、現金を引き出す事案が発生した。他社のWebサイトから流出したIDとパスワードを使ったパスワードリスト攻撃で不正ログインしたとされている。

 徳丸さんによると、証券会社のWebサイトは二段階認証の仕組みを導入していないなど、ネットバンキングと比べて認証の仕組みが甘い傾向にあるという。保険として、証券口座と同名義の銀行口座にしか出金できない仕様にしていたが、今回の事案ではそこが抜け穴になった。

 徳丸さんは「証券会社は今まで狙われたことがあまりなく、(サイバーセキュリティ体制が)手薄になっていた」と分析している。

●「mijica」の事案 認証コードを無限に調べられる部分があった

 ゆうちょ銀行が提供するVISAデビット・プリペイドカードのmijicaでは、悪意のある第三者が任意のアカウントに不正ログインし、不正利用する事案が発生した。

 徳丸さんは、犯人が不正に取得したIDとパスワードでmijicaアカウントに不正ログイン。表示されるカード番号の下4桁を基にカード番号を総当たりして調べ、買い物で不正利用したと考えている。

 アカウント間の不正送金の際には送金時の確認作業の抜け穴を突いた可能性があるという。mijicaアカウント間の送金にはIDとパスワードの他に、mijicaカードの裏面にある5桁の数字が必要だが、試行回数に制限がなく、総当たりで番号を探せる状態だったという。

 徳丸さんは、これらの攻撃について、いずれもそれぞれのWebサイトの仕様を熟知していないと難しいことから、海外の人にとっては攻撃しにくいだろうと推測する。「国籍は分からないが、日本に拠点があり、サービスのことをよく調べた人がやっている可能性がある」と説明した。

 金融機関がサイバーセキュリティの意識を高く持つには、「長期的にみると、利用者や国民など決済サービスを使う側から、セキュリティの高いものを使いたいという声が増えないとなかなか(企業の意識は)上がらない。利用者側の意識も必要」とした。