ドコモ口座不正引き出し事件から多要素認証の重要性を考える
2020年9月、NTTドコモの「ドコモ口座」経由での不正預金引き出しの報告を発端に、複数の決済サービスで不正引き出しの被害が発生していたことが明らかとなった。これにともない、決済事業者各社や銀行が被害者への補償を行ったり、ドコモ口座と連携する35行のうち、29行が銀行口座からドコモ口座への送金を停止していたりと、大きな波紋を呼んでいる。
「同事件は、決済サービスと銀行口座を紐づける際に行われる認証の甘さを狙われたことで発生したものです。銀行はそれぞれ独自の認証手段を持ち、外部サービスとの口座情報連携を行っています。セキュリティを担保するには、2要素以上で認証を行う必要があると言えますが、口座番号と暗証番号のみで連携が完了してしまうといったように、認証段階が少ない銀行の穴を突いて、アタックされた形です」
口座番号は基本的には7桁とクレジットカードよりも桁数が少なく、振込の際などに人に伝えることもある比較的オープンな情報と言える。これと4桁のパスワードを組み合わせることで連携が完了するのであれば、パスワードリスト型攻撃による被害を免れることは困難である。
「今回の事件を契機に、金融庁から銀行に向け、本人確認の厳格化の通達が出されました。具体的な方法としては、複数要素での認証をもってセキュリティレベルを向上させることになるでしょう。認証段階が増えることで、顧客の登録ハードルを上げてしまうのではないかと懸念される方もいるかもしれませんが、安全性を担保するための防御はユーザーのお金を預かる立場として最低限行うべきことです。暗証番号に加え、SMS、指紋認証などといった手段を用いて本人確認を行うサービスはすでに多く存在しています。馴染みある手段でいかにユーザーに負担をかけずにセキュリティを担保するかは、今後のキャッシュレス決済利用活性化のためにも考える必要があります」