WEB口座振替という闇
インターネットバンキングと口座振替は、別の機能です。そのことがわかる画像をキャプチャしたので共有します。
4桁暗証番号と銀行口座の番号で口座振替が完結するのでは?という銀行がいくつか有ることが判明しています。
つまり、インターネットバンキングのログインとは「別機能」で、口座振替のWEB申し込みを提供している都市銀行があるのではという話にもなります。
なので、クレジットカードを新規作成して、口座振替を申し込みしてみました。
口座振替を申し込んでみた。
楽天カードで申し込み画面を完了し、口座振替の登録画面に移行したところです。楽天カードからのWEB口座振替、やってみた。
この申込は生年月日を入力するだけ完結しました。
口座振替の申込みを開始する画面
最初の画面では口座振替の申込みを開始する画面です。画面が大きく分け、2つの機能があります。
インターネットバンキングのログイン、「口座番号+4桁暗証番号」でログイン、この2つの機能があることが画面から見て取れます。*1
2つの機能が並列している。
口座番号と暗証番号が上方にあるので、「口座番号+4桁暗証番号」がメインの機能と想像できます。
口座番号と暗証番号でログインしてみます。
すると、口座振替の申し込みの画面に遷移します。
「本サービスにより、書類を提出することなく口座振替契約の受付が完了します」と書かれています。
本人確認は、生年月日
生年月日で本人確認します。生年月日。。。ですか。
この銀行は「ワンタイムパスワードが必要」と書いてありますが、口座振替は生年月日だけで完結しました。
4桁暗証番号をインターネットで入力するという暴挙
銀行のキャッシュカードを、「多要素認証」のスキームで展開すると、カードを持っている(所有)と暗証番号を知っている(知識)の2要素認証になっています。
キャッシュカードの4桁暗証番号は、銀行ATMではネットワーク経由で暗証番号のチェックをしているとはいえ、WEBのような開かれたネットワークで入力するものではないですよね。そもそもこの設計がおかしいと言えます。
インターネットで、カードを持たずに4桁の暗証番号を入力する行為、これは認証として褒められたものではないのです。「銀行はSMSやメールなどを追加認証で求め、暗証番号と併せて入力する」でセキュリティを確保すると報道発表をしていますが、本気なのだとしたら、セキュリティの基本である「認証」を理解していないと言っても過言じゃないのでしょうか。
WEB口座振替とインターネットバンキングのログインは別もの
ログイン画面からわかるように、インターネットバンキングとWEB口座振替は「別物」として機能していると考えても大丈夫でしょう、内部的にいくつかモジュールを共有しているとしても、画面設定から読み解く限りにおいて、インターネットバンキングを申し込んでいない人でも「口座振替」は使えるように開放していると考えられます。
その際に、本人確認で求めるものが、生年月日と口座番号と4桁暗証番号というのは、恐ろしい限りです。
危ないWEB口座振替
「口座番号+暗証番号+生年月日」で本人確認とするのは、インターネットのシステムとしては、危ない。本当に危ない危機的状況にある。そもそも。「口座番号+暗証番号+生年月日」は認証と呼べるのでしょうか。銀行によっては「口座番号+暗証番号」だけで申し込みが完結することもあります。ドコモ口座が問題というより、銀行が根本的に誤っているとおもいませんか?ウェブから口座引き落としの申込みが「口座番号+暗証番号+生年月日」で完結ですよ?口座振替なので金額に上限がないんですよ?危なっかしいどころの話じゃないですよね?
ATMではカードの所有を確認している。
ATMで暗証番号を入れますが、そのままシステムに送られます。銀行システム視点でみるとATMからは「口座番号+暗証番号」が送られてきます。この点だけを見て、WEB機能をインターネットに展開しているのでしょう。
ATMでは「所有」を確認しています。この所有確認があるからこそATMに「カメラ」を設置して抑止力の効果もあるのです。
銀行から見た通信が「口座番号+暗証番号」とはいえ、インターネットでは所有確認がないので「パスワードの強度」で勝負するしか有りません。銀行さん警察さん金融庁さんは、そのことをまるでわかってないのではと、いつも首を傾げます。
口座番号は公開情報
そもそも、口座番号は「住所」や「電話番号」と同じく、公開して使う個人情報です。公開しているので振込を受けることができます。口座番号はフォーマットが定められており、店番号+7桁で、古い口座ほど番号が若いことから考えるとある程度連番になっていると想像できます。
生年月日はほぼ公開情報
生年月日は、名簿屋などの個人情報で入することもできる程度のものです。パスワードのように「当人以外知り得ない」という「知識」の認証に使えるような、強固な秘匿情報では有りません。例えば結婚式準備で結婚式場に見学にいく、結婚指輪を買いに行く、ユニクロに会員登録するような場面で、生年月日を記入するように、生年月日はとてもカジュアルにやり取りされる個人情報です。生年月日は気軽に入手できます。
また、特定の手続きをふめば、生年月日が記載された住民票をお役所で閲覧さえも不可能では有りません。生年月日は公開している情報だと思っても過言ではないかと思います。
生年月日のうち誕生日を見つけるには
仮に生年月日を知らなくても、4桁の暗証番号を誕生日にしている人を探すことができます。ブルートフォースアタックですね。総当りすればいいのです。
ただし、4桁暗証番号は3回の間違いでロックされます。そこで、先程の口座番号が規定フォーマットでほぼ連番になっている前提が使えるのです。
暗証番号を誕生日の1203にしている口座をさがすために、暗証番号に1203を入力し、口座番号を順番に変えていけばいいのです。
パスワードの部分ではなく、口座番号を変えるような一般的なブルートフォースアタックとは入力が逆になるのでリバースブルートフォースアタックと呼ばれます。リバースブルートフォースアタックで「口座番号+暗証番号+生年月日」のうち、口座と暗証番号と月日までが特定されてしまいます。
暗証番号から生年を憶測する
生年月日をたとえ知り得なくとも、暗証が1203の口座をいくつか先に見つけておき、生年のところをランダム変えていけば、100通りくらいですよね。
銀行口座にたくさんお金をいれていて、なおかつ生年月日を暗証番号にしているような年代のひとは、インターネットへのセキュリティへ意識が全く低いのでこっそり口座振替しても気づかない可能性が高いです。 そういうひとは、2000年以降生まれではないでしょう。また1990年以降生まれでもないでしょう。1970以前で十分だと思われます。また90歳以上のひとも死んでいる可能性が高いので除外します。また日本の人口分布を考えると、団塊世代と団塊ジュニア世代(氷河期とバブル世代)がおもなターゲットに据えられるでしょう。したがって生年は1930-1970のおおよそ40通りです。
つまり、暗証番号が「誕生日」の愚か者の口座番号で、かつ、1930-1970生まれを探せば、かんたんにカモれそうです。
40回に一回あたるガチャと考えれば、暗証番号が誕生日の口座を1000件くらい調べ上げておけば、1つくらいは生年も当たりそうですよね。
40回1回でも当たる確率は、外れる確率の余事象 1-(39/40)40 = 0.634 なので、1000件くらいも誕生日が暗証番号の口座番号を調べ上げて入手しておけば、一つくらい当たりそうです。
一つの口座で3回間違えたらアウトとして、2回まで試せるとかんがえれば、もうすこし確率を上げられそうですよね。
ミドリのイタチの銀行は。。。誕生日入力の失敗ではロックされない。
今回画面キャプチャを撮っているときに、うっかり、生年月日を間違えて画面が終了してしまいましたが、10分経てば、再度生年月日を入力することができました、いちど暗証番号で通るとアカウントはロックされるわけじゃなく取引が中断されるっぽいですね。
というとは、リバースブルートフォースアタックで暗証番号と口座番号を割り出されると生年月日を果てしなく調べ上げることも可能なのかもしれない。ログが残るから何度も試行すると攻撃扱いされるでしょうが、ロックされるわけじゃなく取引が停止なので、3回位の総当りはできちゃうということでしょうかね。
WEB口座振替の機能はほんとうやばい
ここまでで、WEB口座振替というインターネットバンキングとはまた別の機能があることがわかりました、また暗証番号4桁と誕生日で十分だと銀行が考えているとわかります。本気なのでしょうか。WEB口座振替は暗証番号が生年月日のような単純な口座だと、第3者が引き落としの口座登録が出来てしまうこともわかりました。WEB口座振替の認証機能は、ほんとうに危険ですね。そしてそれはインターネットバンキングを使ってない人にも提供されるために停止する手段がありません。
インターネットバンキングは、「フィッシング詐欺」にご注意くださいと盛んに注意喚起していて、「ドコモ口座」の不正な口座振替についてもフィッシング詐欺のサイトURLを踏んだんでしょと警察はたいおうするでしょうが、そもそも「暗証番号」をWEBで入力させる行為そのものが「危険行為」なわけで。銀行さんは「当行自慢のセキュリティ」と「誤安心」させるようなWEBページを作っている暇があれば、とっとWEB口座振替を暗証番号+口座番号ではなく、インターネットログインID+十分に長いパスワードに変えるべきだと思うんですよね。
インターネットバンキングと、WEB口座振替は別機能で提供されるゆえに、インターネットバンキングで有効なセキュリティ対策をいくらやっても全く効果が上がらないんですね。
SMSの2段階認証とかもあまり褒められたものではなく、まず口座番号でログインをやめるべきだと思うんですよね。
どこが落とし所だったか。
婚姻届による姓名の改姓や、LGBTの通称通名なども斟酌すれば、「名義人名」で本人確認するというものちょっと時代遅れ感もあるし、婚姻の形態も様々あります。家族や同居人名義で口座振替することもあると思います。そうなると、WEB口座振替で名義人の一致をみるというもの窮屈な感じがします。
とすると、マイナンバーのような一意のIDによる紐付けでしょうが、紐付けは強烈すぎて、流出による無秩序な紐付けの懸念があります。濫用ですね。また誤用も怖いです。マイナンバーのような一意IDを入力すれば本人とみなすような誤用が起こりかねません。マイナンバーを知ってるのは本人だけという謎の暗黙の前提のシステムが出来上がってしまう懸念もあります。
とかんがえれば、WEBによる口座振替のドコモ口座登録での落とし所は、「本サービスにより、書類を提出することなく口座振替契約の受付が完了します」ではなく、「申込みが完了します、詳細は書類を郵送します」というアナログ手法に頼ることだったと思います。書類を返送するか、書類が郵送完了した時点で本人確認完了と見做す、ような「受付」に限定した方が良かったのかもしれません。
または、本人確認と口座登録を分ける必要があったかもしれません。
ドコモ口座の何が問題だったのか。
そしてWEB口座振替による「口座登録」ができれば本人確認としてドコモ口座やペイペイなど決済サービスが使えるようになります。やばいですよね。ドコモ口座事件の問題は銀行が提供しているWEB口座振替にあるわけです。
ドコモ口座は「口座登録」によるアカウント有効化と、「口座登録」によるチャージを有効化をWEB口座振替で1度に済ませていました。問題があるとしたらこの点です。でも、口座登録で本人確認を済ませるのでいいと決済サービスのガイドラインで定めらています。銀行がちゃんとWEB口座振替で本人確認をしている前提に立っています。銀行のWEB口座振替がザルなのです。ドコモ口座は、むしろ被害者と言えませんか。
ドコモ口座がわるい、ドコモが補償すべきという、私のようなドコモ株主からすると、許せない事態になっています。どうかんがえてもWEB口座振替で4桁暗証番号を入力させるという暴挙をおこなっている銀行側に問題があるんです。補償するならドコモから100%ではなく、銀行が9割位の責任割合じゃないのかなと個人的には考えます。ドコモが自社で補償するなら株主利益の毀損だと思います。
そもそもドコモはなぜdアカウントを一般開放したのか。
これは、私が数日前に登録した dアカウントなのですが、ドコモ回線の紐付きdアカウントでは有りません。 登録完了メールの問い合わせ先が 「151」となってるところが、実に「ドコモ回線に限定したdアカウント」の名残だと思われます。
このような回線保持者に向けたアカウントサービスだったdアカウントですが、ドコモではdTVやdアニメなどサービスは徐々ではありますが、一般に開放されつつありました。
しかし、決済まで一気に開放する必要が生じた事件があります。それが消費税還元キャンペーンです。
消費税還元キャンペーンが諸悪の根源
消費税還元キャンペーンがはじまり各社がこぞってアカウントを開放し、ポイントカードを決済サービスに昇格させたあたりから世の中がおかしくなっていませんか。
QRコード決済サービスと還元キャンペーンは本当に必要だったんでしょうか。わたしは消費税を減税すべきだったのではないかと今でも思います。
7pay の事件もコーナンpay の事故も今回のドコモも元をたどれば、消費税還元キャンペーンです。消費税還元キャンペーンでばら撒きに各社と人々が躍らされた結果なのでしょう。しかもデジタル庁が存在しなく、高市早苗総務大臣と菅官房長官と西村経済再生大臣という、IT音痴がトップで内閣政策が現実のITや法制度とそぐわない設計だったのに、無理にやりすぎた結果かなぁと、未来に漠然とした不安を覚えるのです。
そう考えると、責任は銀行と内閣のキャンペーンにも数割あると思うのですが、ドコモだけが一方的に悪いドコモコウザが悪いみたいな言い方、各報道のされ方はコロナ禍における報道禍と同じようにNHKとマスコミの弊害なのかなと思います。
ドコモは消費税還元キャンペーンに躍らされ、菅官房長官にキャリアは高すぎると締め上げられた結果、他サービスに活路を見出す他なく、アカウントサービスと決済サービスに進出したら、その決済サービス関連で銀行がありえない認証だったわけで、むしろ政権のデジタル化遅れの被害者にすら思えてくるわけです。
*1:例として出しているキャプチャは、2020/09/15日ではまだ問題が起きていないとされるミドリの銀行です