Information
SIPS Security Report

【配信日】 2020年9月14日

ドコモ口座だけで終わらない不正利用の脅威

9月8日、銀行口座情報を利用したドコモ口座不正利用に関してのニュースが飛び込んできた。
これは不正利用者がNTTドコモの電子マネー決済サービスを利用し、銀行から預金を引き出すというもので、その後のニュースで被害額は1800万円を超えているという。

専門家の分析では、不正利用者は何らかの方法で銀行口座情報を入手し、「リバースブルートフォース」や「パスワードスプレー」と呼ばれる手法で口座の暗証番号を確認し、預金者の情報を使いドコモ口座を作成後、預金者の銀行口座を紐づけてドコモ口座から出金したのではないかとされている。

しかし被害者の中にはネット銀行を使っていない人もいて、この場合は専門家の分析に矛盾点が出てしまう。
通帳とカードしかない銀行に対してインターネットで確認するには、直接銀行のデータベースをハッキングする必要があり、ハッカーにとってもリスクが大きすぎるからである。

ではドコモ口座はどうやって作成するか、実際にやってみると非常に簡単で開設手順は次の3つである。
　step１：dアカウントの作成
　step２：ドコモ口座を新規登録
　step３：ドコモ口座に銀行口座を登録

dアカウントの新規作成は2つの手順、ドコモ口座を新規登録する手順は4つの手順、ドコモ口座に銀行口座を登録は4つの手順で、それぞれ至って簡単に出来てしまう。

問題なのは、dアカウントは「Web」、「アプリ」、「店頭」の方法で作成可能で、ドコモとの契約がないお客様も作成することが出来る点、更に銀行口座登録はネット銀行でなくてもよい点が挙げられる。

では不正利用者は何故直接銀行口座を狙わずドコモ口座を利用したのか？
直接銀行口座から出金があれば、銀行側に気付かれる可能性があり、ドコモ口座引き落としとなれば銀行は疑問に思わない。
またネット銀行でない銀行を狙えば預金名義者が残高確認するまで気がつかないため、不正利用の発覚まで時間がかかる点などが考えられる。

NTTドコモも銀行もシステムへの不正アクセスによる情報漏洩はしていないというコメントを出している。
では、預金者の銀行口座情報はどこから入手したのか？

中国ブラックマーケットには、普段から日本の銀行の売買情報についての掲示がたくさんある。
6月には「日本の残高保有の口座を販売します。100万円以上の口座保有、カードとパスワード/名前などの情報が含まれている口座を販売します。」
7月には次の2件「日本の口座を通じたマネーロンダリングが可能です。」「日本の銀行カードの情報を販売します。」
9月に入っても次の2件「日本のインターネットバンキングの口座を大量販売します。」「日本の銀行カードの販売と日本のSMS(メッセージ)認証代行をします」というものがあった。

これらの情報を使えば預金残高のある銀行口座が直ぐに分かる。しかも専門家が分析しているパスワードアタックなど必要がない。
パスワードもセットで販売されていて、販売者はその認証まで保証しているのだから・・・
つまり、日本の銀行口座情報は今回の事件に関係なく既に大量に流出しているという事である。
しかもパスワードと本人認証情報もセットでリスト化されて売られているのだから厄介である。

仮に銀行口座番号のみ入手していた場合であっても大量のスマートフォンを使った不正ログイン試行のようなことも考えられる。

中国ブラックマーケットとはハッキングに関わる情報を共有したり売買しているサイバー攻撃者により組織的に活動している闇市場だが、ハッカーとは別にそこで売買されている不正入手の各種情報を不正利用して、不当な金銭を得ている【ブラック産業従事者】と呼ばれる人達がいる。
このブラック産業従事者は、表向きは普通の企業だが、いわゆる【反社会的勢力】に相当する。

スマートフォンを利用したブラック産業の中には、表向きは「グループ制御が可能なボックス制御器」によるビジネスをしているようにみえる会社があるが、実状は違っている。
ボックス制御器を使い複数のスマートフォンを制御し、大量のトラフィックを発生させ、トラフィックを利用して利益を発生させる様々な業務を行っている。

2018年後半、彼らは既に6万台のモバイルデバイスと10万個のSNSアカウントを保有していた。
SNSアカウントにはTikTokやWeChatのような中国発のアプリや、Facebookのような海外の各種アプリも含まれ、これを自由に操作できるようにしてある。

この6万台ものモバイルデバイスは主にスマートフォンであり、「紛失」「盗難」「格安引き取り」などの物を仕入れたものと考えられる。
写真をお見せできないのが残念だが、まさにスマホを使った工場である。

ボックス制御器はスマートフォンのマザーボードを回路直結で別のボードに複数接続し、GoogleやAppleのオープンソースを使いPCから全てのスマートフォンの操作ができるようになっている。
更にこのボックス制御器には細工が施されていて、最終的には一つのボックス制御器で120台のスマートフォンを操作することができる。

制御器からスマートフォンをコントロールするプログラムは、指紋偽造変造プログラム、IP変調プログラムなど多くの作業が自動化され、複数のプログラムを個別に操作しなくてもよくなっていて、アカウントの生成が簡単にできるようになっている。

準備ができたら攻撃である。
通常は正常なアクセスに偽装し、これを絶えず繰り返して利益を得る。
その主たる攻撃が詐欺タイプであり、「プローモーション悪用」「広告詐欺」「不法客引き」「チャート操作」「売上操作」「金融詐欺」等を行う。

今回のドコモ口座の被害を専門家が分析したように、「リバースブルートフォース」や「パスワードスプレー」と呼ばれる手法で口座の暗証番号を確認していたとしたら、数万台のスマートフォンを使って銀行側のシステムに異常を通知することなく容易にパスワードを見つけ出せるであろう。
あくまでネット銀行の場合であるが・・・

今回はドコモ口座と連動する銀行口座で被害が発生したが、他の同様な仕組みであっても同じで苦労することなく不正利用して不当に金銭を得ることができる。
しかもマネーロンダリングまでされてしまえば、お金の行方さえ分からなくなる。

今回のドコモ口座の被害に対する今後の対策として多要素認証や本人確認と言ったことを強化するという内容がニュースで流れているが、多要素認証の回避方法やSNS、SMSを使った認証代行などは既にハッカーやブラック産業従事者達にとっては何の障壁もない。

昨年末から免許証、パスポート、マイナンバー等、個人を特定する日本の各種情報も中国ブラックマーケットでは相当数が売買されている。
免許証を偽装され本人認証を行い、多要素認証も回避してしまうとしたら、今の状況と何も変わらずまた不正利用され続けることだろう。

ドコモ口座の被害は一旦全てを止めない限り被害は拡大し続けるであろう。
そしてドコモと同じようなキャッシュレスの仕組みを持つ他のサービスも同様に同じような被害が発生してくることが考えられる。
ネット銀行ではない口座に預金を持つ人は特に気を付けなければならない。

内閣再編によるデジタル化推進の話も出ているが、根本的なセキュリティ部分をどうするか考えない限り大変な事態が起きてしまうのではないだろうかと不安ばかりが大きくなっていく。

　<参考URL>
毎日新聞：2020/9/8
「ドコモ口座」悪用、不正引き出し被害　5地銀、拡大の可能性　新規登録停止
https://mainichi.jp/articles/20200908/k00/00m/040/228000c

ITmeia：2020/9/9
「ドコモ口座」で相次ぐ不正出金、なぜ地銀だけが狙われた？　専門家の見解は
https://www.itmedia.co.jp/news/articles/2009/09/news048.html

日本経済新聞：2020/9/10
ドコモ口座被害1800万円に　副社長「本人確認が不十分」
https://www.nikkei.com/article/DGXMZO63665760Q0A910C2000000/