_「ドコモ口座」サービス悪用による銀行口座からの不正引き出しの件です(最初に本件のネット記事を見たときには「どこもろざ?」と勘違いしました)。様相についてはマスコミで既報のとおりかと思いますが、
- ドコモ側は、メールアドレスだけで口座を開設可能、かつ、ユーザーの銀行口座番号と暗証番号を預かって銀行の口座振替サービスにアクセスする仕様
- 銀行側は、口座引き落としを伴うサービス連携を、SMS認証等無しに設定可能
- よって、第三者がある預金者の口座番号と暗証番号が盗めれば、その口座からドコモ口座へ資金を引き出すことが可能になる
_銀行口座番号は社会一般でやり取りすることがあり得る情報ですが、暗証番号はそうではありません。しかしたった4桁の数字であり、ユーザーのプロフィールから高い確度で推測可能という脆弱性があります。街中のATMであれば人間が機械にアクセスする場面があるのに対し、オンラインでこの二つの情報だけで資金引き出しが出来てしまうというのは非常に危険です。そのリスクの対策として月間30万円までの制限を課していたようですが、被害を軽減する効果しかない…。
_つまり、ドコモ側も銀行側も、セキュリティに関するバランス感覚がおかしいのです。
_ドコモ側は、ユーザーの非常に危ない個人情報を預かるリスクを平気で犯しています。電子マネーのチャージであれば、普通はそういうリスクをクレジットカード会社と分担しますよね?
_銀行側は、アカウントアグリゲーションサービスに対してあれだけセキュリティを問題視し、国を動かして規制をかけてまで銀行オープンAPIという仕組みに移行しているのに、一方でこんなにチョロい方法で資金引き出しができる仕組みを作ってしまう。普通ならオンラインバンキングサービスと紐づけさせるところでしょうし、そうしている銀行もあったそうです。
_昨年の7Pay事件から得た「普及を急ぐあまり、セキュリティの甘いシステムを構築してしまうと痛い目に遭う」という教訓はどうなったのだろう…。セキュリティ上の手間を惜しむような(そうしなければキャッシュレスに取り組まないレベルの)ユーザーは置いて行っていっこうに構わないと思うんですがね。
_当面、この被害を防ぐには、それこそアカウントアグリゲーションサービスで銀行口座の残高をモニタリングするしかない、という状況です。気を付けましょう。どんなところから口座番号が漏れているか知れたものでありません。