Information
SIPS Security Report

【配信日】 2020年9月18日

キャッシュレス推進を狙うキャッシュレスペイサービスの不正利用

新たに菅新総理の下、新内閣が誕生したこと、心より祝福すると共に大きく期待いたします。
コロナ禍の対応は元より課題は山積しているが、我々が期待する一つにデジタル庁の創設がある。

2022年4月に発足を目指していて「各省庁に分散しているデータを統合し、柔軟に利活用できる仕組みを築く考え」とあるが、単にマイナンバー普及のために作るようなことがあってはならない。
そしてデジタル化するという事は、利便性が高くなると同時に情報セキュリティに対するリスクが、その何倍、何十倍にもなって圧し掛かってくるという事を忘れないでほしい。

政府の推進するキャッシュレスで不正利用が拡大している事が正にその代表的な例である。
誤解をしないでほしいが、キャッシュレス推進は非常に素晴らしい内容である。
是非とも進めて欲しい内容で世界各国でその取り組みは進められ様々な経済効果も見せている。
しかしデジタル処理を悪用した不正行為は繰り返され、いわゆるサイバー攻撃は増加し続けている。
良い部分だけでなく問題点やリスクも十分考えなければならない。

前回の当レポートではドコモ口座を利用したキャッシュレスペイサービスの不正利用に関して記載したが、「ドコモ口座だけでは終わらない不正利用の脅威」という題名で、同じようなキャッシュレスの仕組みを持つ他のサービスも被害が発生する。と書いたのには理由があり、その内容を匂わす掲示が中国ブラックマーケットにあったからだ。

予想通りドコモ口座以外のキャッシュレスペイサービスからの不正利用のニュースが次々と流れた。
今回ドコモ口座を利用した不正利用がきっかけで事件が表面化したが、実際に不正利用されていた被害者は昨年秋口から確認されていて、本人が被害届を出してもキャッシュレス事業者も銀行も相手にしてくれなかったというのだ。
昨年7月に“7pay”の不正アクセスが発生して急遽サービス中止となる事件があったが、SIPSの分析では、7payが全てのキャッシュレスペイサービスの不正利用事件の始まりであったと考えている。

今回キャッシュレスペイの不正利用に多く利用された銀行は「ゆうちょ銀行」とされているが、これは銀行の登録時に2要素認証を使っていなかったことが指摘されている。
もちろんそれも理由の一つであるかもしれないが、中国ブラックマーケットでは今年に入り郵政グループのデータベース情報が大量に販売されていることから、それを使われた可能性もある。

それ以外にもキャッシュレスサービス事業者の情報や様々な銀行口座の売買情報は後を絶たず、特に今年の夏以降は急増している。ここで各サービスは明言しないが、ほとんどのサービスに関する情報が売買されていると思っていただいてよい。
日本のキャッシュレスペイの仕組みと関連情報は筒抜けになっているのである。

この１～２ヶ月で特に多い中国ブラックマーケットでの代表的な書き込み内容は、当レポートの下部【SIPSで確認された日本に対するサイバー攻撃トピック】の中に抜粋してみたので参考にしてほしい。

止まらないキャッシュレスペイサービスからの不正利用だが、キャッシュレス事業者や銀行各社によって対応は異なっている。
つまりどこかのキャッシュレスサービスは継続して稼働しており、そこを利用した不正利用がいつ起きてもおかしくない状況である。

「当サービスはセキュリティ対策を十分にしているから大丈夫」と言っていたサービスがどんどんやられている。
もはやSMSを使った2要素認証もSSLやVPNの暗号化通信も見破られているのである。
本人や特定の人しか分からない情報であっても、デジタル情報で存在している限りそこをハッキングされその人しか分からない情報が搾取されているのだから・・・

銀行の残高確認を呼び掛けているが、確認したその時に問題がなくても、その直後にやられている可能性もある。
ゆうちょ銀行を不安視して他行にお金を移動させている人もいるようだが、通常の銀行でも、ましてメガバンクからもやられているのだからあまり重要な対策とは言えない。
不正利用者からすると銀行はどこでもよく、既に大量に入手し登録してあるキャッシュレスペイサービスを利用すればよいだけである。
ハッカーはリアルタイムに残高が分かる口座情報も存在しているのである。

前にも書いたが、一旦サービスを全面停止しなければ、コロナウイルスのように蔓延し続けるだろう。

SIPSでも引き続き調査をしているが、今回の場合はハッカーだけではなくハッキング情報を使って不正利用して金銭を得ているブラック産業従事者も絡み、組織的に役割分担して不正利用を繰り返していると考える。
一つは、【ハッカー】→【ブラック産業従事者】→【指示役】→【買い子】の形になっていて日本にいる【買い子】が実際にキャッシュレスペイを利用して商品を買う。
もう一つは【ハッカー】→【ブラック産業従事者】→【指示役】→【実行犯】の形でキャッシュレスペイを利用した金融商品や仮想通貨の購入だろう。
むしろこちらの方が多いかもしれない。

買い子が存在する場合は、実際に物品を購入するため、不正利用者にとっては発覚しやすいというリスクがある。
一方金融商品や仮想通貨をネットを使い、偽名や匿名でキャッシュレスペイ決済すれば、いわゆるマネーロンダリングができて金銭の行方は分からなくなり、捜査の追跡を隠蔽することができるのである。
もちろん中国ブラックマーケットにはマネーロンダリングに関する情報も存在している。

SBI証券の不正アクセスによる偽口座に不正送金というニュースもあるが、これもある意味キャッシュレスペイの不正利用と、やり方こそ違えど利用している情報は似ていると言えるかもしれない。
全ては日本にある様々な情報、つまり個人情報や銀行口座情報、クレジットカード情報などが流出しているから起きているのであり、その情報流出を止めない限り今回のような事件は延々と続く。
そして不正アクセス、情報流出していることに気付かない、気付いても隠蔽する企業体質が起こしている弊害であることは間違いない。

9月に入り各社サーバがハッキングされたニュースを10社以上確認しているが、調査するとほとんどが同じ有名な会社のサービスを利用している。
つまりインフラからきちんとした考えでセキュリティ対策を取らなければ延々と被害は続くだろう。

SIPSはキャッシュレスペイサービス事業者及び銀行の被害を考慮し、情報提供など可能な範囲で協力したいと考えている。

またクレジットカード情報やショッピングサイト情報も大量に売買されているので、こちらも併せて注意することをお奨めしたい。

　<参考URL>
ITmediaビジネスオンライン：2020/9/16
ゆうちょ銀行、ずさんな本人確認　なぜ二要素認証の導入が遅れたのか　田中副社長「決済事業者と合意に至らず」
https://www.itmedia.co.jp/business/articles/2009/16/news170.html

ITmediaビジネスオンライン：2020/9/17
メガバンクでも、みずほ銀でも、過去に不正出金　「速やかに対応済み」
https://www.itmedia.co.jp/business/articles/2009/17/news071.html

日本経済新聞：2020/9/16
SBI証券、顧客資金9864万円が流出　偽口座に送金
https://www.nikkei.com/article/DGXMZO63905840W0A910C2EE9000/