先週から、「ドコモ口座不正引き出し事件」の原因として、被害の発生した銀行が4桁数字の暗証番号で認証処理していたことが取りざたされており、リバースブルートフォース攻撃の手口が暗証番号特定の手段として使われた可能性について、テレビのワイドショーでも扱われるなど、世間での認知がかつてなく高まっている。
そこで、この機会に、昔から存在していたテレフォンバンキングの危険性について、銀行側に抗議すれば今ならご理解いただけるのではないかと考えた。この問題は十数年前にも銀行側に伝えているが、サービスを止めるわけにもいかないし、電話経由での自動処理による攻撃は考えにくいと当時は考えられたのか、対処されることはなかった。2020年の今日、電話経由のサイバー攻撃は技術面で十分に容易に可能となっていると考えられ、この機会にサービス終了を含め見直すべきときであろう。*1
本日午前、三井住友銀行のコールセンターに電話して尋ねたところ、以下の展開となった。
質問:お尋ねしたいのは、テレフォンバンキングのサービスがありますが、これを使えなくしたいのですが。
回答:インターネットバンキングはそのままご利用になって、テレフォンバンキングをお止めになるということですか?
質問:どちらも止めてもいいのですが、テレフォンバンキングは中止、廃止できるのですか。
回答:インターネットバンキングのログイン後の画面から、テレフォンバンキングを利用しないという設定に、ご自身で変更ができるところがございます。
質問:ほほうなるほど、そうなっているんですね。インターネットバンキングを利用開始しないとできないということですか。
回答:さようでございます。インターネットバンキングやテレフォンバンキングをご利用いただける「SMBCダイレクト」のサービスの中でのテレフォンバンキングだけを止める手続きになります。
質問:なるほど、これってインターネットバンキングを契約している人だけしかテレフォンバンキングは使えなくなっているということですか?
回答:説明が複雑になって申し訳ないのですが、SMBCダイレクトの利用開始をされていない方も、キャッシュカードのATMを使うときの暗証番号をお電話のボタンで押していただいて、例えば残高の確認ですとか、入出金の明細のご案内を自動音声でお聞きいただけるようにはなっております。
質問:なるほど、最初からテレフォンバンキングは使えるようになっていたということですね?
回答:テレフォンバンキングという名前ではないのですけども、自動音声でのご案内をお聞きいただけるのは、皆様、キャッシュカードをお持ちの方にはご利用いただけます。
質問:ああ、名前が違うんですか。
回答:はい、お電話での自動音声でのサービスということになってきます。
質問:内容は同じなんですか? テレフォンバンキングと電話での自動音声での案内というのは、サービスは同じなんですか。例えば、残高照会ができる部分は。
回答:残高・入出金明細は、キャッシュカードをお持ちの方はご契約ありなしにかかわらず皆様お調べいただけるようになっていまして、入力いただく暗証番号の設定などがご契約によって違ってきます。
質問:ほほう。どう違うのでしょうか。
回答:ご契約のない方は、キャッシュカードで使うときの4桁の暗証番号でご本人様確認をさせていただいております。インターネットバンキングなどのご利用ができるSMBCダイレクトのご利用登録をされていらっしゃる方の場合は、第一暗証と申します暗証番号でご本人様確認をとらせていただきます。
質問:第一暗証って、パスワードではないんですか?
回答:第一暗証は、固定の番号で、お申し込み当初にご自身で決めていただいた数字になっています。
質問:えーと、第一暗証は数字でしたっけ?(調べる)第一暗証は、4桁から8桁の英数字って書いてありますけど。
回答:そうですね、インターネットでログインされるときには、インターネット専用暗証というものを設定できますので、おっしゃっていただいた4桁より長いものを登録できるようになっております。
質問:そうすると、テレフォンバンキングのときに、電話でどうやって入力するんですか? 英数字を。
回答:お電話の場合は、インターネット専用暗証ではなく、数字4桁だけの暗証番号で確認いたします。
質問:それは、キャッシュカードの暗証番号ではないと先ほどはおっしゃいましたが、話が矛盾しているのでは?
回答:キャッシュカード暗証とは連動しておりませんで、インターネット専用暗証をインターネット上で設定される前までお使いだった、4桁の数字だけの第一暗証になります。
質問:……。ええ? 3つあるということですか?
回答:そうですね、ネット専用暗証を設定されている方は、そうですね、お電話用のものが4桁の数字の暗証番号があります。
質問:……。うーん……。それで……そうですか。前の? 今のダイレクトを申し込むと最初の初期設定は、キャッシュカードの暗証番号が第一暗証として設定されているわけですよね。
回答:申し込み方法によっても異なるのですけども、同じになっている場合も多いです。
質問:でー……、それを? パスワードに変更すると、8桁の英数字に変更すると、テレフォンバンキングでは何を入力することになるのですか?
回答:そのインターネット専用暗証を設定する前までにお使いだった4桁の数字だけの第一暗証になります。
質問:それはキャッシュカードの暗証番号と同じということじゃないんですか?
回答:連動しておりませんので別々にも登録されています。
質問:別々にも登録ができる? どこでできるんですか?
回答:インターネットの画面の方で、変更などしていただいて、インターネット暗証を登録されると、ネット専用のものがまた別にできるということになります。
質問:んー? 設定で変えちゃうと前のはもうなくなっていると普通は思うんじゃないですか? つまり、第一暗証を英数字のパスワードに設定変更したら、前にたまたま使ってた4桁数字の何かは、もう消えてなくなっている……キャッシュカードは別で連動していないのでいいとして、 変更してもうなくなったはずの4桁数字というのはテレフォンバンキングでは使えるままになっているということですか?
回答:左様でございます。
質問:はー。それはちょっと普通わかんないんじゃないですかね?
回答:少し分かりづらいかもしれないです。
質問:それで、最初の質問に戻りますけど、テレフォンバンキングをやめたい、使えないようにしたいっていう場合に、SMBCダイレクトを利用開始をしている人でないとテレフォンバンキングを止めることはできないということですか。
回答:はい左様でございます。
質問:それって、インターネットも使えないような人たちはどうやってテレフォンバンキングを止めればいいんですか?
回答:インターネットも使わずに、お電話のテレフォンバンキングも使わないということでございますね? そうしますと、そのときの状況をおうかがいしてということになるんですが、SMBCダイレクトのサービス自体をお止めになったりですとか、そういった手続きになるかと思います。
質問:……。さっきも確認しましたけども、SMBCダイレクトの契約がある人はそれで廃止すればいいと思うのですけども、ダイレクトの契約のない人も最初からテレフォンバンキング……いや名前が違うんでしたね、電話自動応答の残高照会機能はあるということでしたよね?
回答:はい。
質問:それを止めたいのに、ダイレクトを廃止すればそうなるんですか?
回答:SMBCダイレクトの利用開始をされていない方で、自動音声残高サービスをお止めになりたい場合は、恐れ入りますがお近くの支店の窓口の書面で承っております。
質問:なるほど、そういうルートは用意されているんですね。
回答:左様でございます。
質問:ところで、テレフォンバンキングを止めたいっていう要望はけっこうあるんですか?
回答:そうですね、まあ、はい、あるかと思うんですけども。
質問:なんで、止めたいなんて、言うんですかね?
回答:えと、まあ、その方それぞれですけども、セキュリティを気にされたりですとか、あまり口座をご利用にならなかったりですとか、様々理由があるかと思います。
質問:なるほど、やっぱりセキュリティの問題が認識されているということですかね。
回答:そうですね、はい。気にされる方もいらっしゃるかと思います。
質問:あの、いま、Webサイトを見たら、テレフォンバンキングのご利用方法のところに、「テレフォンバンキングのセキュリティ」と書いてあるんですけども、「以下の対応を行なっています」とのことで、「ご入力時、背後でスクランブル音(ピポパ音)を発信します」ということですけど、これで……何の意味があるんですかね?
回答:どういった番号か推測することができるかもしれないので、ピポパという音を背景に流すことで、押された番号を隠すようになります。
質問:……。暗証番号は、キャッシュカードの暗証番号と連動しているんですよね?ダイレクトの利用開始をしていない人。
回答:はいそうです。
質問:そうすると、4桁の数字の暗証番号なので、1万通りしかないわけですけど、
回答:はい。
質問:何回も試されたら当てられちゃうんじゃないですか?
回答:あ、そうですね、回数は開示できませんが、一定の回数を超えてお間違えなられると、サービス自体が使えないようにロックがかかるようになっております。
質問:だけど、口座番号の方もプッシュで入力するんですよね?
回答:左様でございます。
質問:そうすると、あのー、いろんな口座番号を順々に試されると、ロックされないんじゃないですか?
回答:それぞれの口座番号に対して所定の回数を超えるとロックがかかります。
質問:一つの口座に一つの暗証番号を試して、次の口座を試していくというふうにヤられると、ロックかけられないんじゃないですか?
回答:1回で通ればということになりますけどね。
質問:通ったり通らなくてもいいんですけど。例えば5963という暗証番号で、順番に口座番号を試していくと、いつか当たるんじゃないですか。
回答:上の者に確認したいことがございますのでお待ちいただいてもよろしいですか。
質問:はい。
(音楽)
回答:大変お待たせして申し訳ございません。今お聞きいただいたことは上の者に確認させていただいたんですけども、試しに総当りでされて一度で通ってしまうかもしれないというところには、恐れ入ります、私どもで対応は何もできていないということでございます。
質問:う、なるほど。そうなっちゃうということですね。
回答:左様でございます。
質問:うー、それは大変危険ではないですか?
回答:左様でございますよね、そういうお声があったということは上の者に上げさせていただきます。
質問:それ、危険でも、わかってて使いたい人がいるのしょうけど、使いたい人だけに使わせればよいのではないですか? 全員使えるようになっているというのは、みんな知らないと思いますけどー、
回答:あー、左様でございますよねー。
質問:こんな機能、使う人、います?
回答:そうですねえ、恐れ入ります。
質問:ん? こんな機能を……ていうか存在も知らない人が多いと思うんですが、知らないところでそうやって自分の暗証番号がたまたま当てられるかもしれないリスクに晒されているわけですよね?
回答:左様でございます。
質問:あのー、使いたい人だけに使えるようにすればいいんじゃないですか。
回答:あー、左様でございますねー。その点もお声として上に上げさせていただきます。
質問:でこれ、当てられちゃったら、残高照会が見られるということですね?
回答:左様でございます。
質問:まあ、振込まではできないわけですね?
回答:できないです。
質問:だから残高照会くらい見られてもまあいいんじゃないか、ていうことですかね。
回答:……見られてもいいということではないんですけども、当てられてしまうと通ってしまう仕組みにはなっています。
質問:でーこれ、ダイレクトを開始していない人の場合はキャッシュカードの暗証番号と連動しているんですよね。
回答:はい。
質問:そうすると、キャッシュカードの暗証番号を当てられてしまうってことですよね。
回答:はい左様でございます。
質問:そうすると、口座番号とキャッシュカードの暗証番号が手に入る、例えば1万回試せば一人くらい以上だいたい見つかるということですけど、その2つの情報があれば、偽造キャッシュカードを作られるんではないですか?
回答:あー、偽造で作られてということですか。
質問:口座番号があればキャッシュカードが作れて、あとは暗証番号が要ですけど、このテレフォンバンキングで特定された暗証番号で、ATMで下ろされてしまうんではないですか?
回答:途中になって申し訳ございません、私の方ではセキュリティ面で少しご案内がこれ以上難しい内容になりますので、上の者からお話を伺えればと思いますので、お電話すぐにおつなぎいたしますのでお待ちいただけますか。
質問:はい。
(音楽)
(上席に交代)
(これまでの内容を説明)
質問:(略)ありがちな暗証番号5963とかでいろんな口座番号を試していくと1万個のうちの何百個か何十個かわかりませんが、いくらかは5963の人がいるので当たってしまうんじゃないかという質問をしたところ、そうだ、ということでした。
回答:そうですね、今はい、そういったのがテレビなども私拝見していますと、そういったお話が、まあ、流れてますので、実際そうなのかなというところは、はい、思いますね。
質問:なるほど。それは危険なので……それでどう危険かというのが、暗証番号を突破されて、残高が見られてしまうというのはあるとしても、振込はできないようになっていると、これは危険性を認識されていて、振込は許さないけど残高くらいだったらいいだろうとか、あるいは犯人の方も残高見てもしょうがないじゃんということなのかなと思いますけども、
回答:ええ。
質問:しかし問題は、こうやってヤられると、暗証番号のわかっている口座番号が抽出できてしまうので、その口座番号をキャッシュカードに焼いて、ATMに持っていけば、その暗証番号で引き出しができてしまうのではないですかね?
回答:キャッシュカードを焼いてということなんですが、昔はスキミングとかで読み取って、複製されてみたいなお話があったようなんですが、現時点でICチップの機能を使ってキャッシュカードが作られていることがあって、キャッシュカードの複製というのは、もうほとんど聞いたことがないお話なので、キャッシュカードの複製は難しい。キャッシュカードの口座番号と暗証番号だけで現金を引き出せるかと言われると、まあ難しいと思いますね。
質問:うん、複製はできなくなったと、ICカードで。それはわかります。しかし今問題になっているのは、ある口座番号のキャッシュカードを偽造することで、ICカードの偽造ができないのはわかるんですが、昔ながらの磁気ストライプ型のキャッシュカードとして磁気ストライプに口座番号を書き込むということをすれば、ICカードじゃないキャッシュカードは今でも使えるんですよね?
回答:それもちょっとお話が難しい形にはなるんですが、設定次第というか、それ以上のお話になりますと、コールセンターでの回答も難しいので、お取引店とかで、お時間作っていただいて、ご相談いただけないでしょうか。
質問:なるほど、例えば、もしかすると、申し出れば、 自分の場合はICカードのキャッシュカードを使っているのでそういう偽造ができないように磁気ストライプの場合は拒否するようにして欲しいとか、要望が通ったりするんですかね。
回答:はい、基本設定では、現在、ICチップで引き出すのみという形の設定で私どものキャッシュカードも発行しておりますので。
質問:ほほう、ICカードに切り替えた人については、磁気ストライプではおろせなくなるということですか。
回答:設定を変更されていなければ、はい。
質問:デフォルト設定ができないで、やりたい人がたまにいれば、そういうことも可能、申し出ればできると。
回答:そうですね、はい。
質問:なるほどね。先ほどお伝えしたように、テレフォンバンキングなんて使っている人はごくわずかではないかと考えられるので、どうしてもテレフォンバンキング使いたいという人だけに使わせるようにするべきじゃないんですかね。つまり、オプトインかオプトアウトかっていうことですけど。ICカードにおいて磁気ストライプも使えるようにするのはオプトイン、それは妥当だと思うんですけど、テレフォンバンキングをオプトアウトで提供しているというのは、先ほどの危険性を承知されているのであれば、いけないのではないか、オプトインに変えるべきではないでしょうか。
回答:すみません勉強不足で「オプトイン」「オプトアウト」がわからなくてですね……
(オプトイン・オプトアウトを説明)
回答:お客様からそういうお話があったというところを、申し訳ありません、こちらでは報告をあげるということでさせてはいただきます。
質問:わかりました、ありがとうございます。聞きたかったのはそこでしたが、せっかくちゃんと対処していただいているので、意見を伝えておきたいと思うんですけど、SMBCダイレクトのログインの方法がですね、契約者番号によるものと口座番号によるものとどっちでもよいようになっていて、口座番号と第一暗証でログインすることができると、ここで、第一暗証の変更をしていない場合は、口座番号とキャッシュカードの暗証番号でログインができてしまうわけですよね。
回答:ええ。
質問:そうするとさっきのテレフォンバンキングと同じで、同じ危険があるということですよね?
回答:……。まあ試される方が、まあ言ってしまえば犯罪ですよね?そういった形、悪用しようとする第三者がそういったことをするということがあれば、まあ、テレフォンバンキングでは全部にかけれないといけないので、なかなかな作業だとは思うのですが、可能ではあるかと思います。
質問:ええ、テレフォンバンキングの問題を認識されているのであれば、ここのログインもですね、口座番号と第一暗証の4桁数字というこの画面があるということは、第一暗証を5963とかにして、口座番号の方を変更して試されると何人かは当たっちゃう。当たったものを使って偽造キャッシュカードというルートもあるという同じ話なので、テレフォンバンキングをオプトインにするべきであるとの意見を上げていただけるということですが、そうであればここも同様に問題があるということではないんですかね。
回答:そうですね、申し訳ございません、私どもの部署がご意見を承る部署というわけではないので、もしよろしければそういったご意見を承る専用のダイヤルがございますので、そちら申し上げてもよろしいでしょうか。
(略)
こういった問題があるので、私のSMBCダイレクトの第一暗証はロック(第三暗証を素で間違えてロックされた経緯であるが)されたままあえて放置してある。ATMは使えるが、テレフォンバンキングもロックされていて使えないようになっているのを確認した。
自衛策は自分の口座をロックしてしまうこと。これ最強。三井住友銀行はもはや信用できなくなったので長年ロックのまま放置してある。 pic.twitter.com/FropAhKYqQ
— Hiromitsu Takagi (@HiromitsuTakagi) September 8, 2020
三井住友銀行の場合、暗証番号を特定されても、今回のドコモ口座の件では、別途ワンタイムパスワードがないと口座振替できないようになっていたので、被害に遭うことはないようである。上記の問い合わせでのやり取りで、キャッシュカードを磁気ストライプで偽造されてもICカード利用者のほとんどには問題がないとのこと(そうか?)だったが、仮に、暗証番号を特定されてもそれ自体で不正送金が起きないようになっているのだとしても、問題がないとか問題が小さいとは言えない。
今回のドコモ口座事件で、暗証番号がどこかから漏えいしていたのか、それともリバースブルートフォースにより特定の暗証番号が一致する口座番号の抽出が行われたのかが問われているが、リバースブルートフォースによって暗証番号が一致する口座番号が抽出されるというのは、当該口座番号の利用者について暗証番号が特定されるということに等しい。それはつまり、当該利用者についての暗証番号が漏えいしたということでもある。
これまであまり考えたことがなかったが、これは個人データの漏えいであり、個人情報保護法第20条(安全管理措置義務)違反ではないだろうか。4桁数字暗証番号しか設定できない認証機能をインターネットや公衆電話網に開放しているサービスを提供している事業者の全てが個人情報保護法第20条違反というべき*2ではないだろうか。
ドコモ口座対応銀行の「Paypayへの」Web口振条件+α
— とどたん(todotantan) (@todotantan) September 14, 2020
参考情報として。 pic.twitter.com/eVA5zUVHQm
とどたん氏のこの調査によれば、テレフォンバンキングをここ数年で終了した銀行も結構あるようだ。「申込制」のところもあるようで、最初からそうだったのかも気になる。なぜそうなったのだろうか。公表されていない事件が起きているのではないのか。
全国銀行協会がドコモ口座事件を受けてようやく「資金移動業者の決済サービス等での不正出金への対応について」を発表したが、「キャッシュカードの暗証番号に加え、ワンタイムパスワード等の複数の認証手段を組み合わせることによる堅牢な認証手続きとすることを検討いただきたい。」と書かれており、まだこれからもキャッシュカード暗証番号をWeb(アプリも同じ)に入力させるつもりなのか。
*1 19年前に出版された、不正アクセス対策法制研究会編著『逐条 不正アクセス行為の禁止等に関する法律[補訂]』(立花書房、2001年10月)は、次のように指摘している。「『テレフォン・バンキング』として、金融機関のフリー・ダイアルに電話をすれば金融機関のシステムにつながり、自動音声誘導に従って、口座番号、暗証番号等を逐次プッシュホン機能により入力することにより、残高照会等が行えるシステムが出てきている。このようなシステムについては、そのセキュリティが十分であるかという問題はあるが、口座番号と暗証番号とが識別符号には該当することから、他人の口座番号と暗証番号を電話機から入力してシステムを利用するような行為は不正アクセス行為に該当し得る。」(84頁)
*2 標準的なパスワード認証のサービスでは、リバースブルートフォースによるパスワード特定はほとんどできない。極めて安易な弱いパスワード(キーボード配列のパスワードなど)を設定している利用者のIDについてだけ抽出され得ることになるが、それは利用者の落ち度であり、サービス提供事業者の安全管理措置義務違反とまではいえないと考えられる。パスワードリスト型攻撃についても同様。4桁数字暗証番号しか設定できないサービスの場合は、利用者に落ち度は一切なく、それとは異なる。