9月17日に放送された「めざましテレビ」で、ドコモ口座の不正引き出しについて、トラブルを回避するため、ITジャーナリストの専門家・三上洋さんが注意するポイントを紹介していました。
ゆうちょ銀行が提携する12社の電子決済サービスで、ドコモ口座を含む6社で不正な引出しを確認し、1811万円の被害が出ています。
6社の中にはpaypayなども含まれていて、被害は109件。
三上さんがトラブル防止のためのパスワードや今回の問題点などを解説してくれました。
目次
ドコモ口座や銀行 パスワードで自衛!NGパスワード
ドコモ口座で不正なチャージや出金が行われてしまい、問題になっています。
私たちが今からできる対策を教えてくれました。
ITジャーナリストの三上洋さんが解説。
◆銀行口座に設定する暗証番号が重要
三上さんによると、「犯人は暗証番号はわからないだろう、と、ここで”リバースブルートフォース攻撃”というものを使った可能性があります」ということです。
リバースブルートフォース攻撃とは?
リバースブルートフォース攻撃=ある暗証番号を多数の口座に一斉入力
通常銀行口座は暗証番号を数回間違えるとロックがかかり、アクセスできなくなってしまいます。
例えば、暗証番号を1234で設定し、これを多数のユーザーに対し、同時に入力した上で、合致する口座を探し出すということです。
三上洋さんは犯人に狙われやすい暗証番号を教えてくれました。
犯人に狙われやすい暗証番号
リバースブルートフォース攻撃を行われても、パスワードによって、狙われなくなる可能性が高いです。
犯人に狙われやすい暗証番号を認識し、狙われにくいパスワードにしておくことが重要!
◆狙われやすい暗証番号
1.同じ数字の並び
2.縦一列(2580) など、キーの並びを上から順に押すもの
3,奇数(1357)
4.偶数(2468)
これらの暗証番号を避けることで、不正アクセスを防ぐ可能性が高くなりますね。
パスワードをしっかり見直すと良いと思います。
また、こまめに銀行口座をチェックし、身に覚えのない出金がないか確認することも重要だということです。
狙われやすい暗証番号を避けたパスワードにすることが第一ですね。
ドコモ口座 セキュリティーは?
ゆうちょ銀行の田中副社長によりますと、今回の問題について、「(第三者に)決済サービスのアカウントを作られてしまい、銀行口座からのチャージや出金など、不正な出金が行われてしまっている」ということです。
先週判明したドコモ口座の手口を見ていくと・・・・
被害者である方の銀行の口座番号を不正利用者が不正入手。
不正利用者が預金者になりすまして、ドコモ口座をなりすましで開設。
なりすました不正利用者が、被害者の銀行口座をひも付けし、被害が出る形になってしまいました。
被害者の銀行口座からドコモ口座へ入金し、だまし取る、という手口です。
電子決済サービスで被害が拡大した背景を、ITジャーナリストの三上洋さんに解説してもらいました。
本人確認が甘かった!
ITジャーナリスト・三上洋さんは、「ゆうちょ銀行の本人確認が甘かったこと、つまり2要素認証を入れていなかったことが原因」と話しています。
◆2要素認証とは・・・?
・記憶認証(パスワードなど)
・所持認証(携帯に届くワンタイムパスワードなど)
・生体認証(指紋など)
3つの要素のうち、2つの要素が揃わないと認証が通らない仕組みになっているということです。
2つの要素を銀行が行うことで、セキュリティが高まるとのこと。
しかし、ゆうちょ銀行が提携していた12社サービスのとひも付ける際、Famipayとpringの2社のみ2要素認証を導入しているだけ。
他10社は1つの要素のみで口座を開設できる形になっていて、セキュリティが甘い、という結果に。
2要素認証を導入しなかった事業者
12社のうち、10社は2要素認証を導入していませんでした。
事業者によると、2要素認証は利用者さまにとっては手続きの手間が増える観点もあり、採用しませんでした、という回答がありました。
利便性と安全性、どちらをより重視するか決定し、各自で判断した事業者。
2要素認証は利用者にとってはやや手続きに時間がかかり、面倒に感じてしまうこともあります。
三上洋さんは、「利便性つまり便利で誰でも簡単に作れる。これを重視するとセキュリティー安全性は低くなります。
決済事業者や銀行は、ユーザーを集めるためにシンプルで簡単な方を選びがち。ここに大きな原因があると思います」と話していました。
NGパスワードを避け、しっかりとパスワード管理を行うことが重要なようです。
キャッシュレスで電子決済サービスが導入されているので、しっかりと防衛しなければいけませんね。