仮想通貨「NEM」不正交換容疑で約30人摘発 200億円分

https://www.nikkei.com/article/DGXZQODG21AIF0R20C21A1000000

 ※ デジタル・データは、これがあるからな…。

 ※ CBDC(中央銀行発行デジタル通貨)も、こういうことからは逃れられない…。

 ※ しかも、大規模停電、大規模ネットワーク障害に脆弱…、ときてるからな…。

 ※ 「正規の資産との交換に応じたヤツ」なんて、世界中に散らばっているから、現国家単位の警察力では、対応できるはずも無い…。

『暗号資産(仮想通貨)交換事業者「コインチェック」から2018年1月、約580億円相当の暗号資産「NEM(ネム)」が流出した事件で、警視庁がこれまでにNEMの不正な交換に応じたとみられる約30人を組織犯罪処罰法違反(犯罪収益収受)容疑で逮捕や書類送検したことが捜査関係者への取材で分かった。不正交換の摘発総額は約200億円分に上るという。

一方、流出に関与した首謀者らの摘発には至っていない。

事件では…

この記事は会員限定です。登録すると続きをお読みいただけます。

残り296文字

初割ですべての記事が読み放題
今なら2カ月無料!

初割で申し込む
https://www.nikkei.com/promotion/?ak=https%3A%2F%2Fwww.nikkei.com%2Farticle%2FDGXZQOGN04AVW004012021000000&n_cid=DSPRM1AR08

無料登録する
https://www.nikkei.com/r123/?ak=https%3A%2F%2Fwww.nikkei.com%2Farticle%2FDGXZQOGN16C7X016122020000000&n_cid=DSPRM1AR08#free

ログインする
https://www.nikkei.com/login

事件では、何者かがサイバー攻撃で同社のシステムに侵入し、NEMを外部に送金。その後、匿名性の高い闇サイト群「ダークウェブ」上で約580億円相当を相場より15%安いレートでほかの暗号資産との交換を持ちかけた。

【関連記事】
ダークウェブに捜査のメス 海外との連携に課題
流出「NEM」を不正交換容疑 警視庁、男2人逮捕

関係者によると、捜査当局は流出したNEMを追跡し、通常のインターネット上の暗号資産取引所で交換された際に、そこに登録された利用者の身元を特定するなどして捜査を進め、これまでに約30人を摘発したという。

暗号資産は利用者の氏名など個人情報を登録した取引所を介さなければ、所有者や受け取り手を特定するのが難しい。通常の通貨と比べ匿名性が高く、マネーロンダリング(資金洗浄)に悪用されるケースも多い。

この記事の英文をNikkei Asiaで読む https://asia.nikkei.com/Spotlight/Cryptocurrencies/Japan-police-target-about-30-people-linked-to-huge-cryptocurrency-heist?n_cid=DSBNNAR
Nikkei Asia

多様な観点からニュースを考える
※掲載される投稿は投稿者個人の見解であり、日本経済新聞社の見解ではありません。

山本由里のアバター
山本由里
日本経済新聞社 マネー編集センター マネー・エディター
コメントメニュー
別の視点マネーロンダリングの温床になりがちな暗号資産(仮想通貨)を巡る不透明性は変わっていませんが昨年は価格が大きく上昇。久々に利益をあげた人、新しく取引を始めた人も多いのではないでしょうか? 仮想通貨で20万円超の所得があれば会社員でも確定申告が必要です。含み益ではなく売買した場合ですが、要注意なのは日本円にして口座に戻した場合でなく、仮想通貨間の交換(例えばNEMからビットコイン)でも所得発生となります。確定申告期間は2月16日~3月15日。忘れないようにしましょう。
2021年1月22日 8:05いいね
9

Emotet(エモテット)の話し(その2)

※ Emotet(エモテット)の話し、途中になっていたな…。

※ コロナ騒ぎで、それどころじゃなくなったな…。あの時、画像も大分キャプチャしたはずだったが、もはやどこに行ったのか、見つけられなかった…。

※ それで、新たに検索かけて、別記事からキャプチャした…。

流行マルウェア「EMOTET」の内部構造を紐解く
2018.12.25
コンサルティングサービス事業本部
サイバーインテリジェンスグループ
吉川 孝志、菅原 圭
https://www.mbsd.jp/blog/20181225_2.html

吉川孝志の他のブログ記事を読む
https://www.mbsd.jp/blog/yoshikawa_index.html

菅原 圭の他のブログ記事を読む
https://www.mbsd.jp/blog/sugawara_index.html

東証でシステム障害、9時から全銘柄の売買停止

https://www.nikkei.com/article/DGXMZO64458110R01C20A0I00000/

※ やられたな…。

※ どこぞから、攻撃されたんだろう…。どうせ、標的メール経由の人的エラーが発端の可能性が、高いと思う…。

『東京証券取引所は1日、株価など相場情報の配信に障害が発生していると発表した。午前9時の取引開始から全ての銘柄で売買を停止する。復旧のめどはたっておらず、現在原因を調査している。

【関連記事】
名証も売買停止、システム障害で 再開未定
東証、障害で相対取引の売買も停止 大取の先物は通常稼働

大阪取引所の先物取引は通常通り取引されている。

名古屋証券取引所も同日、上場株式すべての売買を一時停止していると発表した。再開は未定。東京証券取引所の売買システムで相場情報の配信に障害が発生し、名証も同じシステムを使っているため。売買の注文自体を受け付けていないという。復旧については現在のところ未定。』

ドコモ口座パニック拡大、他人事ではない「本当に怖い落とし穴」

ドコモ口座パニック拡大、他人事ではない「本当に怖い落とし穴」
鈴木貴博:百年コンサルティング代表

ライフ・社会 今週もナナメに考えた 鈴木貴博
https://diamond.jp/articles/-/249070 

 ※ 以下の解説の通りだろう…。

 大概のケースにおいて、「標的メール」が端緒になる場合が殆んどだと思う…。

 生きてるメアドがある限り、標的メールは送られてくる…。そして、現代社会、ネット前提の社会において、「生きてるメアド」は、必ずや「流出」する…。アマゾンや楽天市場のようなECや、ネットバンキングを利用しない人は、まずいない…。ネット環境構築している人なら、まず利用する…。このジジイのオレにしても、そうだ…。しかも、最近ではソフトも、殆んどDL版を使うようになった…。「お試し版」とかで、「お試し」してから購入したいからな…。そうすると、生きてるメアドは、必ずや「流出」する…。そうすると、「標的メール」が1日に4個くらい送信されて来るようになる…。
 そういう時代だ…。そういう中を、掻い潜って行かないとならない世の中に、なっているんだ…。

 何回も言ったが、この世の中、「コンクリート・ジャングル」だ…。情報弱者では、喰われてエサになるだけだ…。情報強者にならない限り、エサにされるだけの話しだ…。

 自分の身は、自分で守る他はない…。あなたを庇護してくれる優しい人は、どこにもいないんだ…。

※ オレのところに送信されて来ている「標的メール」の一例だ…。昨日は、7個送られて来たな…。

※ 幸い今使っているメーリングソフト(シェアウェア)は、優秀だ…。ほぼ完璧に(上記では、一部標的メールじゃないのも、混じっているようだ…)標的メールを仕分けてくれている…。それでも、100%は信用せずに、注意深く吟味しているよ…。そういう世の中だ…。

『ドコモ口座不正引き出しが
今までのサイバー犯罪と違う点
「ドコモ口座」不正引き出し事件のパニックが、静かに広がりつつあります。後述するように、事件の経済被害自体は銀行やドコモから見れば少額で、そのこともあって、被害者を全面的に保護し、被害を補償する方向で対応が進みつつあります。

 一方で、今回のドコモ口座事件には、これまでのサイバー金融犯罪と比較して大きく違う点があります。それは、基本的に被害者がドコモと無関係の消費者だったことです。

 これまで不正利用というと、被害者は心当たりがあるケースばかりでした。たとえばクレジットカード被害に遭う場合、自分が持っているクレジットカードを誰かが不正に使うという被害だったので、明細書を見て使った覚えがない請求があったらそれに気づき、調査をかけてもらうことができました。

 昨年はセブン-イレブンが導入したセブンペイで、今回とよく似た不正利用被害が起きました。ただ、この事件における被害者はあくまでセブンペイの口座を自分で開いた人で、その後犯人グループから勝手にパスワードの変更をかけられ、口座を乗っ取られたというケースでした。なので、被害者は被害に遭う「心当たり」があったわけです。

 一方で今回のドコモ口座事件が怖いのは、被害者の大半がドコモユーザーではなかった点です。

 あるとき銀行通帳に記帳してみたら、ドコモ口座という身に覚えのないサービスから数度にわたって合計30万円が引き落とされている。慌ててドコモに問い合わせると、「そのドコモ口座はあなたの口座ではないので、情報を開示できない」と門前払いを食らわされる。事件が大きな社会問題になるまで、こんなことが起きていたのです。

 突然、通帳から大金がドコモに支払われて消えてしまう。訴えて口座を止めようにも対応してくれない――。銀行ユーザーから見れば対策のしようがありません。いったい何が起きているのか、パニックになるのは当然です。

1つユーザーが安心できることは、9月4日にドコモの丸山副社長に報告が上がって大問題になったことで、現在はドコモも責任を認め、過去に遡って全額補償を表明していることです。昨年5月にりそな銀行で最初の事件が起きた際には、もみ消されたといいます。その点では、これから先、万一被害に遭っても心配はいらないと思います。

 一方で心配なのは、9月15日の高市早苗総務大臣の記者会見において、総務省管轄のゆうちょ銀行にヒアリングをした結果、ドコモ口座以外にもペイペイなど5社で、即時振替サービスに関連した被害が起きていたことが公表されたことです。

 ドコモ口座と違って被害は一桁小さいとはいえ、ペイペイでは今年1月以降、17件141万円の被害が報告されました。ドコモ口座の上限が30万円なのと比較して、ペイペイの場合は上限が低いため、被害額は平均8万円と小規模ではありますが、被害者にとって甚大な損失であることには変わりありません。

銀行ユーザーに
とっての「2つの不安」
 そうした状況下、一般の銀行ユーザーにとって心配なことは、以下の2点です。

(1)なぜこのような被害に遭うのか。
(2)このような被害がこれからドコモ以外で起きたときも、補償してもらえるのか。

 先に述べてしまうと、この事件の最大の問題点と思われるのは、必ずしも銀行口座に元通りにお金が戻るとは限らないだろう、ということです。

 これから先も、おそらく違う形で似たようなサイバー犯罪が起きることは、まず間違いありません。組織的な犯罪集団は常にイノベーションを図っていて、警察どころか銀行やドコモなどの決済サービス事業者を常に出し抜く努力(?)を重ねています。彼らがセキュリティの穴を発見するたびに、何らかの不正事件がこれからも必ず起きます。

 そして、今回の事件でも実はそうなのですが、ユーザーに対して犯罪が実行される条件としては、大半のケースにおいて、銀行やサービス事業者のセキュリティが甘いだけでなく、自分でも何らかのミスをしなければ、犯人グループはお金を盗むことができません(細かく言うと違うのですが、大半の場合についてはその通りのはずです)。

 ここがポイントで、今回の事件も犯人グループがドコモ口座を開設してお金を吸い上げるために用いたログイン情報の大半は、被害者のミスで盗まれたと警察は見ています。

他人事ではない教訓
「なぜこんな目に遭うのか」
 さて、今回の事件において「なぜこのような被害に遭うのか?」について、解説したいと思います。

 今回のドコモ口座事件では、第三者が自分の銀行口座のインターネットバンキングのログイン情報を不正に入手して、本人に成りすまして勝手にドコモ口座を開設し、銀行口座からドコモ口座に上限である30万円をチャージして使ってしまうという手口で、犯罪が行われました。

 その際に狙われたのは、ウェブ口座振替というサービスでの確認強度が弱い銀行でした。具体的に言えば、口座番号、ログインパスワード、キャッシュカードの暗証番号4ケタ、この3つの情報さえあればドコモ口座に資金を移動できる仕組みになっている銀行が狙われたことになります。

 逆に確認強度が強い銀行の場合、たとえば本人しか持っていないワンタイムパスワードを発生させるトークンという機器を提供して本人認証を行っていたり、口座開設時に登録した携帯電話宛にSMSでメッセージを送り本人確認をしたりといった、二段認証をしなければならないようになっています。このような強度の強い銀行は、今回狙われなかったし、今後も狙われることは少ないと一旦は考えられます(今後、犯罪グループも技術が向上していくので、慢心はよくないとは思いますが)。

 では、犯人グループはどうやってユーザーの口座番号、ログインパスワード、キャッシュカードの暗証番号を盗んだのでしょうか。警察の話では、今回の事件の大半のケースでは、フィッシング詐欺が用いられたと見ているようです。

ご存じでない、ないしはお気づきでない方もいるかもしれませんが、プライベートでこんなメールが届くことはありませんか。

「あなたの○○アカウントは一時的に停止しました」

 この「○○」は、アマゾンでも楽天でもLINEでも銀行でも、何でもいいのですが、とにかくあなたの何らかの口座に不正なアクセスと見られる動きがあったので、一時的にアカウントを停止しているという、一見親切なメールです。しかしこのメール、送り付けるのは大半の場合、犯罪グループです。

 メールの中で「アカウント停止の解除はこちらから」と書かれてあるリンクをクリックすると、そこが不正の入り口で、銀行の場合なら、本物の銀行のホームページそっくりの画面が表示されます。

 そして、本人確認に必要な情報だとして口座番号、ログインパスワード、キャッシュカードの暗証番号を順番に入力していくと、「本人確認が完了しました。口座の停止を解除しました」といった、ユーザーを安心させるメッセージが表示されます。しかしそのときにはすでに、銀行口座の口座番号、ログインパスワード、キャッシュカードの暗証番号は、犯罪グループに盗まれているわけです。

 ちなみに、このような罠を仕掛けなくても、リバースブルートフォースという手口のように、手当たり次第にログインIDと暗証番号を試す攻撃もあります。フィッシング詐欺に引っかかった経験がなくても、暗証番号やパスワードに簡単なものを設定している人は、このような攻撃に対して脆弱だと言えます。

第二段認証の壁がない
「緩い銀行」が狙われた
 さて、口座情報を盗んだ犯人にとって難しいのは、ここからです。大半の場合、個人の銀行口座にインターネットバンキングでログインしても、普通はお金を送金できない。第二段認証の壁があるからです。しかしときどき、そういった壁を越える必要のない新サービスが登場します。ドコモ口座もその1つで、上限30万円までなら低いセキュリティで資金を移動できる銀行が何行もありました。だから、その銀行の預金者が狙われたわけです。

ドコモ口座事件の被害者がある意味でラッキーだったのは、事件が大きな社会問題になった一方で、被害額が9月15日時点で143件、2676万円というレベルにとどまっている点です。被害者にとっては平均17万円と大きな被害でも、ドコモのような大企業にとっては役員決裁で補償できるくらいの少ない金額です。だから、補償が決まるのもスムースだったわけです。

さらに高額な不正事件が起きたら
誰も被害を補填してくれなくなる?
 しかし、もし将来別の事件が起きて、被害件数14万件、被害額267億円などと高額になったら、話は変わってきます。ドコモのミスや銀行のミスに加えて、被害者のミスも重ならないと事件は起きないため、関係者間で「被害額をどう分担するか」という話し合いが持たれるでしょう。

 その場合、「そもそもパスワードを盗まれたユーザーの責任が一番重い」などと、大企業や銀行が主張することだってあるかもしれません。それが裁判で争わなければいけない事態にまで発展すれば、弁護士を雇うお金もない被害者が一方的に不利になります。そんなケースも、これからは出てくるかもしれないのです。

 今回の事件で私が一番気になったのは、銀行の当事者意識が低かったことです。事件に関係した銀行幹部は、ドコモの会見に出席すらしません。背景を推察するに、私たちが銀行のサービスを利用する際には、銀行側からの確認事項に対して全て「同意」しているため、その後どのような事件が起きても、法的には自分たちに何の責任もないということが、わかっているからでしょう。

 しかし、だからこそこうした事件は、銀行にとっても危険なのです。消費者が「ITが進化すればするほど、銀行にお金を預けておくと危なくなるんだ」と気づき始めるからです。ドコモ口座事件は、ユーザーがそんなことを肝に銘じる最初の事件だったかもしれません。

(百年コンサルティング代表 鈴木貴博)』

本人確認の手続き突破 SBI証券の顧客資金流出

本人確認の手続き突破 SBI証券の顧客資金流出
身分証偽造し口座開設 金融庁、ネット証券などに点検要請
https://www.nikkei.com/article/DGKKZO63982230X10C20A9EE9000/

『複数の電子決済サービスで銀行の預金が流出している問題で、不正の実態が明らかになってきた。SBI証券では不正なアクセスで9864万円が流出した。犯罪者が他のネットサービスで使ったパスワードを盗み取り、同姓同名の偽口座を作ってお金を引き出していた。犯罪の手口は高度になっている。本人確認が破られる深刻な事態で安全対策は待ったなしだ。

金融庁は17日、日本証券業協会と金融先物取引業協会を通じ、オンライン取引サービスを手掛ける金融機関に対してシステムの管理体制を自主点検するよう要請した。点検の結果やセキュリティー上の問題点を1カ月以内に報告させる。既にSBI証券には報告徴求命令を出した。

SBIでは第三者が不正に入手した顧客のログインIDとパスワードで取引ができるようになっていた。その上でゆうちょ銀と三菱UFJ銀で、証券口座の名義人と同姓同名の偽口座が作られ、資金が流出した。免許証やパスポートなどが偽造され、本人確認が突破された可能性がある。

SBIでは出金操作をするまでに複数のパスワードを入力する必要があるが、同じパスワードを流用していた顧客が狙われた。ログイン情報は他のネットサービスで流出したものとみている。

NTTドコモの「ドコモ口座」では、口座番号や4ケタの暗証番号など限られた情報で本人確認をしていた地方銀行で被害が出た。情報が盗まれた場合は簡単に現金が引き出せる状態だった。

SBIと銀行は双方で一定の安全対策を講じていた。それでも銀行口座の開設時と証券取引の際の確認が犯罪者に突破された点で深刻だ。

SBIは特定の端末からのアクセスだけを許可する端末認証や、普段と異なる環境からのログインを検知して遮断する仕組みを導入する方針だ。出金先の銀行口座を登録する際の本人確認も強化する。

大手行の幹部は「完璧な本人確認なんてこの先絶対に出てこない」と漏らす。セキュリティーが高いとされる顔認証による本人確認であっても、元となる身分証明書が偽造された場合は破られる可能性が高まるからだ。

ドコモ口座では、口座接続時にスマートフォンのショートメッセージサービス(SMS)によるワンタイムパスワードなどで複数段階の認証をとっていた三井住友銀行などでは被害が確認されていない。

ワンタイムパスワードのログイン時などへの導入はネット証券でも課題となる。手間が増えるため、「顧客の利便性に大きく関わるので悩ましい」といった声がある。不正被害が広がれば電子決済の普及に水を差しかねない。利用者が安心して電子決済を利用できる対策が一段と必要になっている。』

ドコモ口座事件、真の原因は「認識の甘さ」ではない

本田雅一の時事想々:
ドコモ口座事件、真の原因は「認識の甘さ」ではない 露呈した「銀行との風通しの悪さ」
2020年09月14日 18時00分 公開
https://www.itmedia.co.jp/business/articles/2009/14/news127.html

『いくらなんでもそれはないだろう。

 情報化社会の昨今、そのように感じる問題が起きることなど、1年を通してもそうそうあるものではない。

 ところが、あろうことか日本はもちろん、グローバルにみても最大手クラスの通信企業であるNTTドコモが、「お前、それはないだろう」と思わずツッコミを入れたくなる対応を取るとは、情けないを通り越して笑い話のようにさえ思えてくる。

 被害総額約2542万円(9月14日午前0時時点)と、果たしてどこまで被害が拡大するのか見えていない「ドコモ口座」の不正出金の問題についてだ。

photo
ドコモ口座を使用した不正出金が相次ぎ、被害総額は約2542万円に拡大(9月14日午前0時時点)
 口座と名付けられているがサービスの本質は、いわゆるスマートフォン決済サービス。送金やショッピング支払いなどに使えるものだ。金利などは一切付与されないものの、自身の銀行口座からチャージできる。

 サービスそのものは、よくある決済サービスの亜種。いくつかの特徴はあっても特別なものじゃない。何より“ドコモさま”の提供なんだから信頼できると思っていたら、実にグダグダだ。

 何しろ被害者がドコモ口座対応の銀行口座を持っているだけで、ドコモユーザーではなくとも、加害者が捨てメールアカウントを使って自由に、いくつでも口座を作り、不正出金を行える可能性があったというのだからタチが悪い。

 ここまでグダグダだと、いったいなぜこんなことになったのか、グダグダになった理由が見つかるかどうかさえ怪しいほどだ。

せっかく責任ある行動と判断ができるというのに
 既報の通り、山ほどツッコミを入れたくなることがたくさんある一方で、ドコモはしっかりと責任ある行動も示している。サービスのセキュリティ設計がずさんなことは批判対象だが、まずは褒めるべきところは褒めておきたい。

 ドコモの丸山誠治副社長は9月11日の記者会見で、認識の甘さについて反省を口にしつつも「1日の取引が約1万3000件もある」ことを理由に、ドコモ口座のサービスを停止しないと話した。

photo
ドコモが9月11日に開いた記者会見の様子=編集部撮影
 自分たちのケツは自分で拭く。不正出金は、銀行と連携しながら全額補償する。それよりも一度、始めたサービス事業だ。信頼できるものに改良をしていく上で、しっかりサービスを止めずに解決策を見いだしていきたいということなのだろう。

 世間での“ウケ”を狙うなら、不正出金の補償はもちろん、すぐにサービスを止めて問題解決を図る方が印象がいい。

 まだ明らかになっていない潜在的な被害、あるいは被害に遭う可能性がある、まだ出金されていない口座もあるかもしれない。犯罪者にこれ以上の送金を重ねさせるな、という意見もあるだろう。

 しかし、最もグダグダだった新規口座登録を止め、ドコモの携帯電話契約情報との照合、「eKYC」やSMSを用いた本人確認などを行うというから、一般的なネットでの取引に求められる信頼性は確保できるはず、というわけだ。

photo
「eKYC」導入などの対策を強化=ドコモの資料より
 不正出金が確認された銀行は11行(14日午前0時時点)。取引を継続して行える15行に関しては、ドコモと銀行の双方でネットでの口座の扱いが十分だと判断したのだろう。ここまで問題が拡大した上で、なおも大丈夫というのだからドコモ口座を止める必要はない。それさえも問題ならば、ドコモ口座がなくとも危険ということなのだから、止める意味はない。

 とかく世間体を意識して「まずは止めて謝るところから」という、全く論理的ではないダメージコントロールを選ばなかったところは、きちんと自分たちの頭で考えて対策をしていることが伝わってきて、むしろ好感を持ったほどだ。

 サービスだけではなく、問題発覚後の対応もグダグダだった「7pay」の事件のときとは大違いで、ここは褒めるべきだろう。いや、もちろん、システムそのものは褒められたものじゃないのだが。

それ、誰が判断したの?
 さて、ドコモ自身は「認識の甘さ」と言っているが、筆者としてはこの問題の根っこにあるのは認識の甘さではなく、責任の所在が曖昧なことではないかと感じている。「ドコモが悪い」「いや簡単にハックされる銀行の仕組みが悪い」「その両方だ」といろいろな意見があるが、そもそも「あっちにも、こっちにも問題があった」にもかかわらず、相互に問題意識を共有できていないことに、筆者は絶望感を覚える。

ごく基本的な部分だが、日本の銀行キャッシュカードは、たった4桁の暗証番号で現金を引き出せる。この全銀フォーマットの仕様も、とっくの昔に見直されていて然るべきだ。各メディアがいくつもの指摘をしているので、ここであらためて紹介するまでもないが、現代のネットワークサービス、それも顧客の財産を扱う仕組みとしては脆弱(ぜいじゃく)すぎる。

 それでも辛うじて社会問題にならなかったのは、対人にしろ、対機械にしろ、キャッシュカードを用いた現金引き出しに物理的な手続きが必要だったからだ。こんなことは誰もが分かっているはずなのに、従来の仕組みを使い回してしまった。

 今回の不正引き出しの全貌が明らかになっているわけではないが、不正送金が明らかになっているケースでは、こうした銀行からの現金引き出しにかかわる基本的な部分での脆さが問題だったとみられる。

photo
ドコモ口座のWebサイトより
 NHK NEWS WEBでは、ドコモ口座問題について「暗証番号を定期的に変えましょう」と注意喚起する記事を掲載していたが、全くもって無意味(14日時点では記事内容が修正されている)。暗証番号がバレたのなら変更は必要だが、ネットを通じての不正送金があったのなら、システム側の問題であり頻繁に変えたからと行って問題解決にはならない。

 暗証番号を変えて「もう大丈夫」と思って安心してる人たちに、正しい情報を伝えた上で謝ってほしいぐらいだ。

 ところで、銀行口座にネットからアクセス可能になるのだから慎重になるべき、なんてことは今さら指摘するまでもないことなのに、なぜ「そのまんまなの?」という、大きなクエスチョンマークがここで出てくる。

 物理的なキャッシュカードと比べ、はるかに便利になっているのに、個人認証の仕組みはスマホ時代非対応どころか、インターネットが発明される以前からのそのままなのだから「これで大丈夫って誰が判断したの?」という話になってくる。

当たり前のことを当たり前にできない理由
photo
9月14日夕方時点で、チャージ(入金)を停止している銀行の一覧=ドコモのWebサイトより
 さて、ドコモが問題発覚を受けて精査した結果、その対策としてドコモ口座が対応していた35行のうち13行は不正出金が容易には起きないと判断し、送金サービスを継続するというのだから、前述したように差し引き22行以外は大丈夫だとドコモと各銀行は判断したのだろう。

 ずさんな本人確認に脆弱な出金の仕組み。「両者ともに悪いね」というだけでは済まないのは、ドコモが昨年5月、既にりそな銀行、埼玉りそな銀行で同様の問題が起きていたことを、他の銀行に周知徹底していなかったことが、最終的に今回の問題へとつながっているからだ。

 当時の犯行グループと今回の犯行グループが同一なのかどうかは分からない(期間が空いていることを考えれば別と考える方が良さそうだが)。

 しかしこの時、ドコモは問題の発生を把握し、その原因についてもある程度は知っていたはず。少なくとも、電子メールの到達をもって本人確認されるという、いまでは信じられないような仕組みが問題だったことを、提携銀行各社とはいわないまでも、セキュリティ対策の甘い提携銀行に連絡していれば、今回の問題は起きなかったのではないだろうか。

 もちろん、金融機関のIT化はどこの業界よりも真っ先に行われてきたわけで、規模の大小による意識の違いこそあれ、「お前、それはないだろう」的な状態をさらしてきた銀行側にも問題はある。

 しかし主体的に利便性を提供し、なるべく簡易的な手続きで使って欲しいドコモ側に利用者を速やかに増やし、決済サービス分野での生き残り、ライバルとの競争に勝ちたいという意識がなかったとは思わない。

 そんな邪推も「邪推じゃないかもね?」と筆者が思ってしまうのは、ドコモと金融機関の風通しの悪さが理由だ。

 今回、不正送金があった11行は、ドコモ口座との連携にCNS(地銀ネットワークサービス)を利用。そこに脆弱性があったのでは? という推測があるが、11日の記者会見でドコモの丸山副社長は「金融機関側の仕組みなので把握していない」と答えた。

 実はここに問題の根っこがある。

誰もが見えるはずの景色が見えていない
 ドコモ口座と連携し、銀行口座から入金するための仕組み、手続きの手順は銀行側に依存している。

 「ドコモ口座というプリペイドサービスにお金を入れたいのだけど?」という時、どのような手法でお金を送金可能とするかの判断は銀行側にある。ドコモは、所定の手続きに従って情報を送り、その結果、入金されたから取引を承認しただけなのだから、本来は責任がない。

 と、そんなふうに考えているかどうかは分からないが、この金融機関との距離感が、誰もが見えるはずの景色を見えなくしていた、あるいは「見ようとしなかった」(面倒くさいし、速やかに利便性の高い、簡便なサービスにしたいから)のではないか。

 繰り返すが、ドコモ口座の本人確認のずさんさは責められて当然。本当にもう勘弁してくださいよ、と言いたくなるような”ポカ”であり、罪深い。

 だが最も残念なのは、これほど明確な“穴”を見過ごし、しかも一度は発覚していたのに風通し悪く、見通せる景色を共有できなかったことだ。まさに木を見て森を見ず。大企業にありがちな、見えにくいものは見ない方が面倒が少ない──そんな前時代的な問題が透けて見えるならば、大きな問題はまだまだ隠れていることになる。

 ドコモが巨大企業であることは言うまでもないが、メガバンクとは比較にならないとはいえ、地方銀行も大きな組織に違いない。まさか2020年にもなって「今さら大企業病かよ!」とあきれることになるとは。ドコモでさえ、この調子ならば日本全国、至るところに構造不良が隠れていても不思議じゃない。』

Emotetの猛威再び…。

Emotetの猛威再び、攻撃メールを見破るポイントは差出人や署名にあり
https://xtech.nikkei.com/atcl/nxt/column/18/00001/04576/

※ ともかく、「無闇に、安易にクリックするな!」これに尽きる…。

※ 「添付ファイルは、まず開くな!」

※ 「一拍、呼吸を置いて、よく考えよう。」

『2019年秋に大きな被害をもたらしたマルウエア「Emotet(エモテット)」が再び猛威を振るい始めた。セキュリティー組織やセキュリティーベンダーは相次いで注意を呼びかけている。Emotetは「進化」を続け、今では差出人の詐称や添付ファイルの暗号化などの危険な仕掛けを幾つも備えている。

関連記事:Emotetが「感染爆発」の兆し、トレンドマイクロかたる悪質な引っかけの手口
 最新のEmotetによるサイバー攻撃の特徴は何か、どうすれば被害を防げるのか――。トレンドマイクロは2020年9月9日、サイバー攻撃の脅威動向「2020年上半期セキュリティラウンドアップ」について説明会を開いた。そこからEmotetの最新動向が分かった。

バックドアへの「アクセス権」が売られる
 「企業ネットワークへのアクセス権を販売する動きが見られる」。同社の岡本勝之セキュリティエバンジェリストは2020年上半期のサイバー犯罪の動向をこう説明する。攻撃者は何らかの方法で企業ネットワークに侵入してバックドアを構築し、そのバックドアを使う「権利」を販売したりレンタルしたりしているという。

 「既に英国企業のネットワークにアクセスする権利が販売された事例がある」(岡本セキュリティエバンジェリスト)。同社はバックドアの販売/レンタルを「アクセス・アズ・ア・サービス(AaaS)」と名付けた。

ネットワークへのアクセス権を販売する書き込み例
(出所:トレンドマイクロ)
[画像のクリックで拡大表示]
 岡本セキュリティエバンジェリストは「AaaSとEmotetは関係がある」と話す。攻撃者は、不特定多数に向けて同じ文面のなりすましメールを送り、マルウエアに感染させたりフィッシングサイトに誘導したりする「ばらまき型メール」でEmotetを拡散させている。メール受信者が誤って添付ファイルを実行するなどでEmotetに感染するとパソコンに保存されたメール内容やメールアドレスを盗まれ、その情報はネット上の指令サーバー(C&Cサーバー)に送られる。

 最近のEmotetを使った攻撃では、情報を盗むだけでなく他のマルウエアやトロイの木馬ウイルスに感染させて企業のネットワークにバックドアを構築するケースがある。「他の犯罪者が侵入するという危険性がある」と岡本セキュリティエバンジェリストは警鐘を鳴らす。Emotetの感染を検知できなければ、Emotetを仕掛けた攻撃者だけでなくAaaSでアクセス権を購入した別の攻撃者にも不正アクセスを許してしまうというわけだ。

 トレンドマイクロの調査によれば、Emotetを使った攻撃はたびたび活動を休止する傾向がある。2019年10月から攻撃が活発になったEmotetは2020年になっても猛威を振るった。2020年も新型コロナウイルスの感染拡大に便乗した攻撃が増えると思われたが、実際は2月上旬から7月中旬にかけてC&Cサーバーが休止したという。

日本におけるEmotetの検出数の推移
(出所:トレンドマイクロ)
[画像のクリックで拡大表示]
 しかし2020年8月に活動を再開。「日本国内では8月からEmotetの検出数が急増している」(岡本セキュリティエバンジェリスト)と注意を促す。

差出人に「さん」がつく
 攻撃者はEmotetに感染したメール受信者から不正にアドレス帳やメールアドレス、メールの内容などを盗み取る。盗んだ情報を基に別の感染者から攻撃メールを送信する際、メールの文面などをそのままコピーするため、サイバー攻撃を受けていると見抜くのがかなり難しい。「トレンドマイクロのアンケートをそのまま利用したメールもあった」(同)という。人の隙につけいる悪知恵にたけている。

 ただし盗んだアドレス帳の表記をそのまま使うため、差出人や署名がおかしな攻撃メールが散見されるという。例えば同社が観測した攻撃メールでは差出人や署名が「営業部 大久保さん」となっていた。明らかにおかしい。

 これはEmotetに感染した人がアドレス帳に「営業部 大久保さん」と登録し、それを盗んだ攻撃者がそのまま流用したためと思われる。機械的に攻撃メールを作成するため、そこまで気が回らなかったのであろう。岡本セキュリティエバンジェリストは「差出人や署名に違和感を覚えるメールを受け取ったらEmotet攻撃と疑ったほうがよい」とする。

差出人や署名がおかしなメールの例
(出所:トレンドマイクロ)
[画像のクリックで拡大表示]
 防ぐ手立てについて岡本セキュリティエバンジェリストは「マクロを有効にしないこと」と強調する。Emotetは攻撃メールに添付されたMicrosoft Officeファイルを開き、マクロを実行してしまうと感染するからだ。マクロを実行しなければ感染はしない。情報システム部門やセキュリティー部門は従業員に安易に添付ファイルを開かないことやマクロを有効にしないことを改めて周知徹底したい。』

米大統領選、中ロが大規模サイバー攻撃 Microsoftが警告

https://www.nikkei.com/article/DGXMZO63717130R10C20A9000000/

『【シリコンバレー=佐藤浩実】11月の米大統領選が迫るなか、ロシアなど外国勢力によるサイバー攻撃の懸念が強まっている。米マイクロソフトが10日に公表した報告書によると、ロシアのハッカー集団は過去2週間で政党や支援団体など28の組織に攻撃を試みた。中国やイランからの攻撃も続いており、同社は多要素認証などでの防御を呼びかけている。

国家の関与が疑われるサイバー攻撃の動向を調べた。ロシアのハッカー集団「ストロンチウム」は2019年9月~20年6月にかけて200以上の組織を攻撃。8月18日~9月3日の2週間では28組織に属する6912アカウントのハッキングを試みた。「攻撃はいずれも成功していない」(マイクロソフト)という。

【関連記事】
米、大統領選干渉でウクライナ議員に制裁 ロシアの手先

ストロンチウムは選挙関係者のアカウント情報を得るため、考えられるパスワードを総当たりで試す「ブルートフォース攻撃」と、複数のアカウントに対して同時に1つのパスワードを試す「パスワードスプレー攻撃」をしかけた。16年の大統領選では特定の標的から情報を奪う「スピアフィッシング」が主流だったが、攻撃はより大規模化している。

中国のハッカー集団「ジルコニウム」も大統領選に関わる情報を手に入れようと攻撃を続けている。3~9月に検知した攻撃は数千件に上り、150件近い情報漏洩が発生した。失敗に終わったものの、民主党のバイデン前副大統領の関係者を対象にした攻撃もあったという。イランの「フォスフォラス」は5~6月にかけてトランプ大統領の選挙活動に関わるスタッフのアカウントへの侵入を試みた。

選挙のような国家の動向を左右する大型イベントでは、サイバー攻撃が活発化しやすい。マイクロソフトはパスワードと生体認証などを組み合わせる「多要素認証」を徹底するなどして、攻撃を回避するよう呼びかけている。同社はセキュリティー関連の事業を手掛けており、サイバー攻撃についても不定期で報告書を出している。』

ドコモ口座 安全後回し 「本人確認不十分」

https://www.nikkei.com/article/DGXMZO63705460Q0A910C2EA2000/

『NTTドコモの電子決済サービス「ドコモ口座」を使った預金の不正な引き出しが見つかった問題で、同社は10日、情報管理体制の不備を認め謝罪した。新規のサービス登録は停止し被害額も補償する。新規参入が続くデジタル決済で、規模拡大を優先する姿勢が顧客保護の甘さにつながった。

「口座作成にあたって確認が不十分だった」。10日の記者会見に出席した丸山誠治副社長はこう述べ、厳密な本人確認の仕組みがなかったことが預金の不正な引き出しを招いたと認めた。同日正午までに確認された被害は七十七銀行(仙台市)など計11行66件で、金額は約1800万円にのぼる。丸山副社長は被害にあった利用者に対し「銀行と連携して、全額を補償する」と明言した。

【関連記事】
ドコモ口座不正 誰もが被害の可能性
ドコモ口座被害1800万円に 副社長「本人確認が不十分」
ドコモ口座、全35行で新規登録停止 異業種連携に穴

ドコモ口座をつくるにはドコモの顧客ID「dアカウント」への登録が必要になる。「口座」と称しているものの、運転免許証の提出といった厳格な本人確認手続きを開設時に求めていない。ドコモの携帯電話サービスを利用していなくても、メールアドレスがあれば事実上誰でも開設ができる。

銀行口座と連携すれば銀行からの入金(チャージ)も可能で、不正に入手した銀行口座の情報さえあれば、本人になりすましてお金をドコモ口座に移すことができる。開設基準が緩いドコモ口座が抜け穴となり、顧客保護などで厳しく規制されている銀行預金が犯罪に巻き込まれた格好だ。

こうしたリスクはかねて指摘されており、スマートフォン決済各社はセキュリティー対策の強化を進めてきた。LINEは「LINEペイ」のアプリで、顔認証などの生体認証を導入している。スマホ上に秘密の鍵となる情報を登録して、鍵を持つスマホだけが決済に使える。鍵を使うには生体認証を使ったロック解除が必要になる。

KDDIもスマホを使った認証を利用者に求めている。メールやパスワードだけでは口座の開設はできない。

今回の不正を受け、ドコモは10日、ドコモ口座とつながる全35行を対象に新規の登録を止めた。今後の不正を防ぐための改善策としては、口座開設時に本人確認ができる免許証などの電子データ提出を求めるシステムを1カ月以内に導入する。スマホのショートメッセージサービス(SMS)を使った2段階認証にも対応する。

ただ、すでに登録済みの利用者向けのサービスは「(送金や決済で)1日当たり約1万3千件の取引がある」(丸山副社長)ため35行中一部を除き継続する。この結果、被害がさらに拡大してしまうリスクは残る。

今回の不正は預金者が自ら銀行口座の残高を確認し、つくった覚えのないドコモ口座に送金があったかを調べなければ発見が難しい。いまある不正なドコモ口座が閉鎖されず、勝手に預金を引き落とされているユーザーがそれに気づかなければ、被害額は今の公表額より膨らむ可能性がある。

甘い顧客保護の姿勢をドコモがとってきたのは、事業拡大を優先したからだ。

従来、ドコモ口座の開設には、ドコモの回線契約者であることが条件だった。だが2019年9月にこれを緩め、他の通信回線の契約者でもドコモ口座を開設できるようにした。「今回の不正は全てドコモの通信回線契約者以外の利用者が開いた口座で起きた」(ドコモ)としている。

通信以外のデジタル関連サービスでドコモは出遅れていた。特にスマホ決済ではソフトバンク傘下のペイペイが決済金額ベースで市場首位を獲得しドコモは劣勢が続く。ドコモ口座について丸山副社長は「多くの人に便利に使ってもらいたかった」と会見で述べたが、焦りが顧客保護軽視につながったとの見方は強い。

ネット企業など異業種による参入が進み、決済や投資などの金融サービスは利便性が高まっている。課題として重みを増すのがイノベーションと安全性の両立だ。ドコモは銀行法よりも規制が緩い「資金移動業者」に位置づけられる。同法の下にあるセブン・ペイ(東京・千代田)では19年7月に不正利用が見つかった。

サイバーセキュリティーを手がけるカウリス(東京・千代田)の島津敦好最高経営責任者(CEO)は「本人確認を銀行に依拠するのは口座番号と暗証番号が盗まれないことが前提になっているが、盗まれる可能性を視野に資金移動業者も対策を打たなければ消費者保護は不十分だ」と指摘する。

■金融庁が報告命令
NTTドコモの電子決済サービスで預金の不正引き出しが見つかった問題で、金融庁は10日までに、ドコモに対して資金決済法に基づく報告徴求命令を出した。不正利用の実態や再発防止策などについて報告を求める。原因の究明に向けて本格的な調査に乗り出す。
 不正の手口の解明のほか、内部管理体制に問題がなかったかも調べる。被害の見つかった地銀からも聞き取りを進めている。
 警察当局もドコモ口座を悪用した不正な預金引き出しについて捜査を始めた。警察庁は被害実態を把握するため、被害者などからの相談内容を報告するよう各都道府県警へ指示した。今後は複数の警察で捜査本部を立ち上げ、合同で捜査を進めるとみられる。』

ドコモ口座、全35行で新規登録停止 異業種連携に穴

https://www.nikkei.com/article/DGXMZO63647420Z00C20A9000000/

※ 当初は、こんな風に、「ドコモのシステムを、破られたものじゃない!」という姿勢だった…。

※ しかし、どうもユーザー側で、口座番号を不正取得され、口座の暗証番号(たかだか、4桁だ)を「総当たりで」突き止められた節(ふし)もあるようだ…。

※ 「異業種提携」となると、「自分のところのシステム」のセキュリティ対策だけしっかりやっていれば済む…、という話しじゃ無くなってくる…。それで、銀行側と話し合って、被害額の賠償を分担する…、という方向で対処するようだ…。

『全国の地方銀行などでNTTドコモの電子決済サービス「ドコモ口座」を使った預金の不正な引き出しが見つかった。ドコモは9日、連携する全35行で新規登録を停止すると発表した。1年前にはセブン&アイ・ホールディングスの「セブンペイ」がサービス停止に追い込まれている。相次ぐ悪用はデジタル社会の基盤のもろさを改めて浮き彫りにする。

【関連記事】
ドコモ、10日夕方会見 被害状況など説明
NTTドコモ、不正引き出し被害は66件1800万円 10日正午時点

これまで不正な預金の引き出しが確認されたのは七十七銀行(仙台市)や中国銀行(岡山市)など少なくとも10行に上る。被害の拡大を防ぐため10日以降、安全性が確保されるまで新規登録を当面見合わせる。ドコモ口座とつながる全35行を対象にする。

ドコモ口座はスマートフォン決済や送金に使える。メールアドレスとパスワードを設定すれば開設でき、電話番号は求められない。銀行口座と連携すれば銀行からの入金(チャージ)も可能だ。不正に入手した銀行口座の情報さえあれば、本人になりすましてお金を引き出せる。もともとドコモ口座を使っていない人が気づかないうちに被害に遭う恐れがあった。

画像の拡大
一部の銀行では「口座番号」「名義」「4ケタの暗証番号」の3点があれば利用できる状態だった。ドコモは「不正に取得された口座番号やキャッシュカードの暗証番号などが第三者に漏れ、悪用されたことが不正利用の一因」とみている。

相次ぐ不正を受けてドコモは今後、口座開設で電話番号の入力を求めるなど本人確認を強化する方針だ。それでもシステム調整などに時間がかかる。9日夕方時点ではメールアドレスなどだけで簡単に登録できてしまう状況が続いていた。

金融庁は資金移動業者として登録しているドコモに被害の拡大防止措置を求めるとともに原因究明を急ぐ。ドコモと連携している地方銀行からも聞き取りを進めている。

不正の手口はまだ明らかになっていない。情報セキュリティーに詳しい情報法制研究所(東京・千代田)の高木浩光理事は「リバースブルートフォース攻撃」と呼ぶ手法が使われた可能性を指摘する。一つのID(口座番号など)に大量のパスワード(暗証番号)を試すのではなく、一つのパスワードに大量のIDを試す。

パスワードは数回入力するとアカウントが凍結される場合が多いのに対し、IDは何度入力し直しても凍結されることは少ない。「銀行の暗証番号は数字4ケタと極めて脆弱。何カ月もの時間をかければハッカー側が多人数分の暗証番号を取得することは可能」(高木氏)という。銀行を装ったサイトを通じてIDなどを盗み取る「フィッシング」が原因の可能性もあるとみられる。

【関連記事】
ドコモ口座不正引き出し、りそな銀で昨年5月にも
金融庁、ドコモに報告命令 不正の原因調査へ

ドコモ口座と連携するメガバンクでは不正が確認されていない。ワンタイムパスワードなど二重確認でセキュリティーを強めており、対策の違いが影響している可能性がある。不正利用のあった七十七銀は2段階認証は導入していなかった。

それ自体は厳格な銀行口座の本人確認のシステムも、業態間の連携に穴があればすり抜けられてしまう。スマホなどによる便利なキャッシュレス決済が普及すれば新たな不正のリスクも高まる。

2019年のサービス開始早々、不正利用が続いて廃止に追い込まれた「セブンペイ」の場合、ネット通販の顧客IDと決済サービスをひも付けたことで隙が生まれた。別の事業のIDと金融の連携という点はドコモ口座問題にも通じる。

企業のセキュリティー対策を支援するS&J(東京・港)の三輪信雄社長は「ドコモがサービスを始める前のリスク分析が甘かったのでは」と話す。電子決済も含め社会のデジタル化は避けて通れない。利用者保護のためにも業界の垣根を越えて課題を洗い出し、対策を徹底する必要がある。

被害客への対応も急がれる。ドコモは9日、「補償については銀行と連携し、真摯に対応する」と表明した。

NTTドコモがドコモ口座の新規登録を停止する銀行は以下の35行。
 みずほ/三井住友/ゆうちょ/イオン/伊予/池田泉州/愛媛/大分/大垣共立/紀陽/京都/滋賀/静岡/七十七/十六/スルガ/仙台/ソニー/但馬/第三/千葉/千葉興業/中国/東邦/鳥取/南都/西日本シティ/八十二/肥後/百十四/広島/福岡/北洋/みちのく/琉球』