【朗報】　ドコモ口座事件は銀行側のザルセキュリティのせいだった！　今まではドコモのセキュリティによって守られていた！

秋吉 健のArcaic Singularity：問題の本質は銀行側にあった。ドコモ口座不正利用事件で発覚した企業のセキュリティー意識の低さを考える

日本中を震撼させる大事件が9月8日に発覚しました。既報通り、NTTドコモが運営するオンライン金融サービス「ドコモ口座」を利用し、
一部の銀行において悪意ある第3者による不正利用が行われたというものです。
テレビや新聞などでも大きく報じられ、NTTドコモが9月10日に記者会見も開いており、事件の概要を知らない人はいないでしょう。

中略

■低すぎる銀行のセキュリティー意識
そして何よりも重大で深刻な問題だと考えられるのが、銀行側のセキュリティー意識の低さです。
今回の事件ではドコモ口座が犯罪に用いられたことからNTTドコモ側の問題ばかりが追求されがちですが、
実はドコモ口座はセキュリティーの「内堀」でしかありません。
そもそもは銀行口座情報を不正入手されてしまった銀行側の問題であり、銀行がネット口振などで
ワンタイムパスワードや生体認証などを用いていれば防げた事件です。

銀行のセキュリティーは「外堀」であり、今回犯罪に利用されてしまった銀行はいずれもセキュリティーが甘く、
もともと外堀が埋められた（もしくはそもそも外堀が存在していなかった）状態であったと考えられます。

しかし、それでも現在まで不正利用が非常に少なかった理由は、2019年9月までドコモ口座の開設に携帯電話契約による
本人確認が必要であったためであり、NTTドコモのセキュリティーシステムによってかろうじて犯罪が防がれていた状態だったのです。

それが2019年10月のドコモ口座開設における規約変更によって内堀まで埋まってしまい、簡単に攻め入られる状態に
なっていたというのが、今回の不正利用の真相です。

NTTドコモがチャージ機能の利用停止を全行に適用せず、18行に限定した理由はそこにあります。
このリストにある銀行は「セキュリティーが甘い」（外堀として機能しない）と烙印を押されたのです。

この事実は非常に重大な意味を持ちます。
それは「これらのセキュリティーの甘い銀行は、口座を持っているだけで常にリスクがある」ということです。

そのリスクはドコモ口座を持っているかどうかに関わりません。これらのセキュリティーの甘い銀行に口座を持っているだけで、
ドコモ口座のような外部サービスから容易に金を盗まれる可能性があることを示唆しているのです。

「口座はあるけどお金はほとんど入っていないから大丈夫」と考えている人も要注意です。
銀行によっては預金残高が不足していても振込が可能な「自動貸越」（※）サービスなどを行っており、このサービスを利用している場合、
不正利用によってマイナス残高（つまり借金）となる可能性があります。

この時点で、私たち消費者ができる自衛手段はたった1つしかありません。これらの銀行を利用しない（口座を作らない、口座を解約する）ことです。

9月11日現在、筆者が確認した中では今回の事件に関連したセキュリティー強化について具体的な方策を示した銀行は1行もありません。
また具体的なセキュリティー対策を行うまでオンラインでの口座振替を停止するといった対策を打ち出した銀行もありません。

「内堀」もしくは「最後の砦」としてのドコモ口座は、SMSおよびeKYCによる本人確認というセキュリティー強化を発表し、
「9月中には実装する」と早期の対応を掲げたのに対し、銀行側の対応の遅さと判断の鈍さが大きな問題です。

現時点で最も早く不正利用が発覚した七十七銀行ではセキュリティー強化策としてこれまでの認証方式に加えて同行に
届け出た電話番号に対して架電（ワンタイムパスワードの通知）する「IVR認証」を9月中旬まで導入するとしています。

今後の具体的な対策を公表しているのは七十七銀行くらいで、このまま多くの銀行が「セキュリティー強化に努めます」という
パフォーマンスのみで何も行わなかった場合、第2第3の不正利用事件が起こる可能性は十分にあります。

後略
https://news.livedoor.com/article/detail/18889976/