ドコモ口座関連

　一応、サイバーセキュリティーに携わる者としては「御冗談でしょ？」と思うような内容が出てきて、正直に驚いている。

　メディアの報道でもサービス事業者・金融機関との「二要素認証が～」という質疑があるが、英語圏でセキュリティーの仕事をしているとMFA＝Multi-Factor Authenticationと表現される。辞書的には二要素認証＝2-Factor Authenticationは存在するものの、もはや二要素は当たり前で各要素を向上させる取り組みや三要素以上の認証も考慮・検討されている。

　その多要素認証がどの程度当たり前かというと、入門レベルのセキュリティー関連の資格試験でいうと、資格用テキストの最初の10ページぐらいで登場するもので、専門用語に馴染みがなくとも現代人が日常的に触れているものである。
　例えば、以前、小学生女児向け雑誌『ちゃお』の付録のATM玩具がセキュリティー意識高過ぎと一部で話題になったが、恐らく付録を企画した担当者がATMで日常的に行っていることを再現した結果だろうと思う。多要素認証というのはそのくらい当たり前に実装されているべき内容である。Gmailのようなフリーメールですら部分的に多要素認証を取り入れている（例：アカウントを作成する際に他のメールアドレス経由での確認を求められるほか、SMSで送付したパスコードを使った認証を求められる）。

　多要素認証での「要素」とは「知識情報（Something You Know）」「所持情報（Something You Have）」「生体情報（Something You Are）」を指すが、例えば二要素認証の場合はこれらのうちの二つを使った認証である。つまり同一種類の要素を2種塁（例えばパスワード2種類）では二要素とは呼ばない。ATMで入出金するような場合は通帳やキャッシュカード（所持情報）と暗証番号（知識情報）で認証している。
　さらに、昨今ではキャッシュカードが磁気カードからICチップ内蔵だとか指紋による生体認証（生体情報）を取り入れているように、例えば同じ要素（所持情報）でも磁気カードよりも偽造が難しいICチップ内蔵カードの導入によるセキュリティーの高度化、二要素より多要素（生体情報の追加など）という努力が行われているのはセキュリティーの専門家でなくとも御承知の通りだろう。

　そんな中で発生した今回のインシデントであるが、ドコモ口座と連携できる銀行口座で最大なのが ゆうちょ銀行 ということで両社に関する情報がよく報道されるが、見ていて違和感を覚える。
　本人確認の杜撰さや二要素認証が行われていないことが批判されているが、そもそも、サービス事業者・金融機関の本人確認といっても、それぞれ別個に行われるはずであるし、決済事業者の二要素認証と金融機関の二要素認証とは別問題で両方が必要なはずである。例えば決済事業者＝ドコモ口座の場合、もしかすると電話番号との紐付けなどでユーザー個人の本人確認は可能だったかもしれないが、それで、例えばNTTドコモがユーザーの確認をできたら ゆうちょ銀行 としては本人確認もせず口座にアクセスを許可できたのか？という話である。ドコモ側で本人確認をしているので不正アクセスが行われれば追跡や容易になるが ゆうちょ銀行 側で本人確認をしないのであれば不正アクセス自体を防ぐことはできないのである。ドコモはドコモで本人確認は必要だが、ゆうちょ銀行 がドコモの確認内容を信用するのは根本的に間違っている。
　また、二要素認証について ゆうちょ銀行 が「決済事業者に求めた」「いや求められてない」と議論になっているようだが、これもおかしい。上記のように考えると決済事業者が二要素認証を導入すれば ゆうちょ銀行 が導入する必要が無いという話でないことは明確であるし、さらに言えば軽々しく使われている「求めた」がもし英語「Required」なのであればドコモ口座で ゆうちょ銀行 口座にアクセスできること自体が間違っていることになる（つまり「求めた」とは「Asked」で強制力がない）。

　つまり、ドコモの杜撰さと ゆうちょ銀行 を含む銀行側の杜撰さとは互いに無関係なのに、両方がザルだったから両方悪いのである。一部で「ドコモだけが悪かったわけではない」という趣旨の報道も見られる（参考1、参考2）が、銀行側も悪いのは当たり前で、ただし、それはドコモを擁護する理由にはならない。

　個人的に興味深いのは、既に類似のサービス＝PayPalが1998年から存在していることである。通常、既に大手プレイヤーがいる市場に新規参入する場合は、既存の大手プレイヤーのプロセスを研究した上で、より良いサービスで顧客に訴求することが多いように思うのだが、ドコモ口座はPayPalから何も学んでいないように見える。
　PayPalの場合、口座への入金方法は (1) クレジットカード (2) 銀行送金の2種類があるが、クレジットカードは詐欺などを見つけ次第決済を停止できるし、銀行送金の方は銀行側からの入金しかできずPayPal側からできるのは出金だけである。また、銀行口座の登録にはCustomer Identification Program (CIP)に基づく審査が行われ写真付IDのコピーや公共料金の履歴による住所の確認が行われる。ついでに、開設したPayPal口座はパスワードとGoogle Authenticatorによる二要素認証が可能である。さらに、まったく新しい端末でのアクセスが検出された場合はメールで通知までくる。
　もちろん、PayPalのセキュリティー水準が1998年から同じというわけではないし、PayPalの現在のセキュリティーが万全かどうかは疑問もあるが（最近口座を開設した場合は不明だが、私が開設した5年ほど前の時点では二要素認証は標準でOFFになっていた）、セキュリティー・利便性・コストはバランスが必要なので最低限は確保されているのだろうと思う。
　それを踏まえると、世界中で類似のサービスを提供するPayPalが10年以上前から継続的に行ってきたことを、2017年に開始したドコモ口座が実現していないことは驚きである。

　個人的に驚きなのは、恐らくNTTドコモ側も銀行側もセキュリティー専任のエンジニアなども社内にはいただろうが、誰にも止められることなくサービスが開始され3年間以上も継続されてきていることである。要するに「セキュリティー意識の低い企画担当者やエンジニアがセキュリティーがザルなシステムを作ったとして、誰も止めなかったのは何故か？」ということである。
　そのように考えると、NTTドコモや銀行側の社内プロセスが誤っていた可能性もある。例えばセキュリティーテストとしては侵入テスト（Penetration Testing）が有名だが、暗証番号/パスワードのクラッキングなどを含まなかったり、その難易度も評価されないことも多く、また、パスワードをクラックしてアクセス可能な情報の評価（例えばYahoo!メールならパスワードをクラックしてアクセスできるのはメールや氏名などの個人情報である。銀行口座なら暗証番号をクラックすれば預金にアクセスできる。恐らく後者の方が重大であろう）も含まないかもしれないから、仮に侵入テストがプロセスにあっても本件を防止することはできないだろう。恐らく、これらは金融庁などのガイドラインに合わせたコンプライアンスの領分であるが、レビューやテストが適切に行われたのか疑問である。

　筆者としては「どっちもどっち」という安易な結論は好きではなく、むしろ欧米的な責任の所在が明確になる方を好むが、本件はNTTドコモ側も銀行側も1980年代レベルのセキュリティー意識しかなく、両方が悪いと言わざるをえない。
　ただ、強いて一方が悪いというのであれば筆者はNTTドコモが悪いと考える。そもそも、NTTドコモがNTTドコモにも銀行にもアカウントを持っていない確認も追跡も不可能なユーザーが別人の口座から出金できる仕組みを作ったことにより今回のインシデントが発生したからである。銀行各社は各々の方法でそれなりにセキュアな方法でオンラインバンキングを展開しているが（例えばインターネットに精通しない高齢者が「オンラインバンキングのアカウントを作らない」というのもセキュリティーコントロールの一つである）、それを全く無意味にし、PayPalという20年間以上も事業を継続している先人がいたにも関わらず何も学ばず、セキュリティーホールを作ったのはNTTドコモである。

　個人的に気になるのは、ブルートフォースアタックがあったかどうか？ということである。
　ドコモ口座での ゆうちょ銀行 のように数字4桁だと10^4=10,000通りしか組み合わせが無い（つまり期待値5,000回の試行で突破できる）。しかも生年月日や1234のような覚えやすい暗証番号を設定している人も多いと考えれば、さらに推測は容易になる。それでも1～3回での試行で突破することは難しく同一口座に対し数百回もアクセスの試行が行われればログに残る（そして決済業者のNTTドコモ側も金融機関の ゆうちょ銀行 側も検出が可能である）。
　個人的な懸念は犯罪組織に悪用されているケースである。もし、暗証番号の漏洩もブルートフォースアタックも無かったとすると、悪用者は口座番号と暗証番号の組み合わせを知っていた可能性があるが、その場合は何処から入手したのか？別件で暗証番号の漏洩やブルートフォースアタックが行われて漏洩した可能性も否定できないが、それも無いとするなら被害者の知人・親族からの漏洩の可能性もある。