ドコモ口座で不正出金騒動、一体誰がどうやって?予防策は?


久々に全国的な大規模の不正出金騒ぎが起きています。

狙われたのはドコモ口座というドコモがやっているサービスです。銀行やコンビニなどで入金したお金を、ネット上で利用できるというサービスのようですね。

実は、今回の一件が起きるまでドコモ口座という存在を知りませんでした。

ドコモ口座で不正出金騒動

数日前、「ドコモコウザ」というところからお金が抜かれている、というツイートが話題になりました。

特徴的なのは、地域に限定されず全国に被害者がいること、ドコモ口座だけではなく、ドコモすら利用していない人もこの被害にあっていることです。

地方銀行が狙われた理由

今回の騒動のもう一つの特徴は、被害にあったユーザーが利用している銀行が地方銀行が多いということです。七十七銀行や中国銀行などで不正出金が行われています。

これはどうやら偶然ではなく、セキュリティの甘さをつけこまれたようです。Web口振受付サービスはドコモ口座に限らず多くのサービスで利用されていますが、この部分のセキュリティが甘かった、という可能性もあります。現在は銀行側が利用を停止し、対応しているとのこと。

不正アクセスの方法

今回の事件は、ドコモ側にハッキングがあり情報が流出した、というわけではないようです。ドコモ側もそのように発表しています。

今回の事件で使われた手法かどうかはわかりませんが、こんな興味深い記事がありました。

「ドコモ口座」不正出金で注目 「リバースブルートフォース攻撃」ってどんなもの?(ねとらぼ) – Yahoo!ニュース

リバースブルートフォース攻撃、という初めて聞く言葉ですが、例えば番号式の鍵があったとき、それを開けるために000から順番にためしてみる、というのは子供でも思い浮かびそうな方法です。

これはその逆で、パスワードを固定させ、あとはそのパスワードが偶然ヒットする口座を探すという手法です。たまたまそれでヒットした銀行の口座番号、この手法がまかり通るセキュリティであること、ドコモ口座のサービス自体が誰でも利用できる便利さがあるということ、もしかしたらこういった手法が使われたのかもしれません。

被害者は増える可能性も

このブログを書いている8日夜現在、まだ誰が犯行を行ったか明らかになっていません。

この事件、被害者は今度増える可能性もあります。というのも、あまりにも小額での引き出しだった場合、自分が被害にあっていることにすら気づいてない人も多いケースがあり得るからです。

被害に合わない方法としては、セキュリティがしっかりしている銀行を使う、というのも一つの手ではありますが…やはり自分の口座は頻繁にチェックするような考え方を持つことも大事です。

そういう意味でも、取引があるとメールなどで自動で連絡がくるシステムは、こういった被害を防ぐためには有用ですね。

時間も経てばもう少し被害のことや手法、犯行組織なども明らかになるかもしれません。