IDでもっと便利に新規取得

ログイン

ドコモ口座事件が怖い人に知ってほしい解決法

9/27 8:01 配信

東洋経済オンライン

昨今の経済現象を鮮やかに切り、矛盾を指摘し、人々が信じて疑わない「通説」を粉砕する──。野口悠紀雄氏による連載第27回。

■現金を金庫に入れ、抱えて寝るしかない? 

 銀行預金口座からドコモ口座などへの資金流出事件が起きました。これは、極めて深刻な問題です。ワンタイムパスワードなどのセキュリティー強化策が必要と言われますが、それで完全な安全性が確立できるわけではありません。これは、金融機関などがIDを管理する方式が持つ本質的な欠陥です。

 これに対して、ブロックチェーンを用いてIDを分散的に管理する方式が提案されています。

 ドコモ口座などを用いた銀行口座からの資金流出事件が発生しました。また、SBI証券では、保有資産がインターネットを通じて盗まれる事件が発生しました。

 これまで、「インターネットバンキングやスマートフォン決済は、どうも信用できないから使わない」と考えていた人も少なくないでしょう。

 しかし、今回の事件で明らかになったのは、「インターネットバンキングやスマートフォン決済を利用していなくても、被害に遭う可能性がある」ということです。

 銀行口座を持っているだけで、潜在的には同様の被害にあう危険があるのです。

 日本の金融システムが不正行為に対して極めて脆弱であることが暴露されたことになります。

 犯人についてはまだ何も知られていませんが、国家レベルのプロ集団である可能性もあります。彼らが、セキュリティーの甘い日本の金融システムに狙いを定めているのだとしたら、恐ろしいことです。

 極端なことを言えば、いまの日本は、「現金を金庫に入れ、抱えて寝るしかない」ような状態なのです。

 言うまでもなく、これは極めて深刻な問題です。

 経済活動の最も基本的なインフラである金融システムがこのような状況では、まともな経済活動を期待することはできません。

 ドコモ事件についてまとめれば、問題は2つあります。

 ① 本人でなければ引き出せないはずの銀行口座から、犯人が不正に預金を引き出した。

 ② 本人でなければ開設できないはずのドコモ口座を、犯人が不正に開設し、引き出した預金の受け皿にした。

 いずれも、本人でなければできないはずの操作を、犯人が不正に行ったのです。

 つまり、どちらも「なりすましが可能だった」ということです。

 「なりすまし」が可能であることは、インターネットが抱える最も深刻な問題です。

 これを防ぐためにさまざまな措置がとられているのですが、それらの措置が突破されてしまったのです。

 今回の事件については、次のとおりです。

 (1)氏名、口座番号、パスワードが正しくないと、銀行口座からの引き出しはできないようになっています。しかし、犯人は、この正しい組み合わせを見出し、それを用いて預金を引出しました。

 具体的には、フィッシング詐欺でパスワードを入手し、次に、このパスワードを固定して口座番号の総当たり攻撃をすることによって正しい組み合わせを見い出したと考えられます(これは、「リバースブルートフォース攻撃」と呼ばれるものです)。

 (2)ドコモ口座の開設は、メールアドレスさえあればできるようになっていました。メールアドレスの取得は簡単にできるので、犯人は偽名の口座を開設したのです。

 今回の事件に関しては、ドコモ口座の開設手続きが甘すぎたことが批判されています。

 確かにそうですが、預金引き出しの際の本人チェックも、万全なものとは言えません。「口座番号とパスワードの組み合わせでは、なりすましを防げない」ということが明らかになったのです。

 なお、ゆうちょ銀では、ドコモ口座以外に、ペイペイなどを通じても不正引き出しがありました。また、ペイペイを通じては、ゆうちょ銀以外からの不正引き出しもありました。

 SBI証券では、顧客口座にあった金融資産が何者かに売却され、ゆうちょ銀行と三菱UFJ銀行に不正に開設した銀行口座に資金が移されていました。

■「中央集権型ID」では、事故を根絶できない

 今回の事件を受けて、金融システムのセキュリティーの強化が必要との認識が、急速に高まりました。

 そして、次のような方法によってセキュリティーを強めることが必要だと言われています。

 (1)銀行口座からの引出しについては、口座番号、パスワードの他に、ワンタイムパスワードなどを導入する。これは、有効期限が極めて短いパスワードです。

 (2)ドコモ口座などの開設にあたっては、2段階認証の手続きを導入する。これは、開設者のスマートフォンにワンタイムパスワードを送信し、その入力を求めるものです。

 確かに、こうした手段によって、セキュリティーは、これまでよりは向上するでしょう。

 しかし、決して完全なものとはいえません。事実、ワンタイムパスワードを用いていたにもかかわらず、不正に預金を出金された例が報告されています。

 生体認証を導入する動きもあります。これは、顔情報などを登録しておき、操作者の映像が登録された写真と同一人物か否かを、AI(人工知能)の顔認識機能を用いてチェックしようというものです。

 しかし、これも完璧なものとはいえません。

 こうした方法は、結局は「いたちごっこ」であって、いずれ突破されてしまう可能性が高いのです。犯人グループが国家レベルのプロ集団であれば、その危険はさらに高まるでしょう。

 「安全確立はデジタル金融の大前提」だと指摘されます。まったくそのとおりなのですが、IDを金融機関が管理する方式では、対策には限度があると考えざるをえません。

■「中央集権型ID」の問題点

 では、完全に安全な金融システムの確立は、絶望的な課題なのでしょうか? 

 そうではありません。

 以上で見たのは、「中央集権型ID」が持つ問題だからです。これは、IDやパスワードなどを、金融機関などの中央集権型組織が管理する方式です。

 現在、インターネットでは、中央集権型IDが広く使われています。

 金融機関だけではありません。メールサービス、SNSサービス、eコマースなどへのログインについても、IDとパスワードの組み合わせで本人を確認する方法が取られています。

 上で見たのは、「中央集権型組織が管理する方式では、なりすましは完全には防げない」ということなのです。

 なお、中央集権型のIDでは、利用者のプライバシーが侵されるという問題もあります。

 これは、IDやパスワードなどを管理する中央集権型組織が、本人の知らないところで、利用履歴等のデータを利用するという問題です。

 実際、メールやSNSサービスを提供するプラットフォーム企業が、サービスの提供から得られるデータで「プロファイリング」を行い、それを用いてターゲッティング広告を行うことは、これらのサービスを提供する企業(プラットフォーム企業)にとっての基本的なビジネスモデルになっています。

 さらに、サービスごとに別々のIDとパスワードを用いなければならないので、その数が膨大なものとなってしまい、本人が管理しきれないという問題もあります。IDやパスワードを忘れてしまうと、サービスにアクセスできなくなってしまいます。

 このように、中央集権型IDは、多くの問題を抱えています。

 そこで、「中央集権型ID」とはまったく違うアプローチである「分散型ID」(DID)という方式が提案されています。

 これは、ブロックチェーンを用いるものです。ここで、「ブロックチェーンに書き込んだ情報は、改竄することができない」という性質が用いられます。(※これは、「プルーフ・オブ・ワーク」という作業によって確保されています。なお、これとはやや異なる方式で改竄不能性を確保するブロックチェーンもあります)

 分散型IDとは、本人である証明をブロックチェーンに記録し、本人が必要に応じて相手に見せる方式です。

 銀行預金の不正引き出し事故が拡大している日本では、ぜひとも必要とされる技術です。

 分散型IDは、金融機関などにおける本人確認だけでなく、印鑑からの脱却に当たっても重要な役割を果たすものです。その意味でも、現在の日本で必要な技術です。

 また、サービスによって違うID・パスワードを管理することの煩雑さからも解放されます。

 分散型IDについては、多くの研究が進んでいます。

 マイクロソフトは、ION(Identity Overlay Network)という仕組みを開発しています。

 また、銀行口座開設における本人確認のほか、eコマース、ヘルスケア、保険など、さまざまな分野でブロックチェーンを用いるDIDのプロジェクトが立ち上がっています。

 世界経済フォーラムは、DIDを使ったパスポートの電子化などのプロジェクトを進めています。

 政府の「デジタル市場競争会議」は2020年6月16日に公表した中期展望レポートで、分散型IDに言及しました(ただし、同レポートは、ブロックチェーンを用いないDIDもあるとしています)。

 レポートは、信頼を再構築したTrusted Webの実現を目指すとし、DIDはその中核技術になるだろうとしています。

■エストニアの国民ID

 ブロックチェーンを用いる本人確認のシステムをすでに確立している国があります。

 それは、エストニアです。

 これを可能にしているのが、国民ID(国民識別番号)です。エストニア国民の95%が、国民IDの電子チップが埋め込まれたカードを保有しています。

 このカードは、パスポート、公的身分証明書、運転免許証、健康保険証などとして機能し、本人確認に用いられています。

 エストニアのデジタルIDシステムは、2007年にサイバー攻撃を受け、多くの情報が漏洩しました。それを機会に、ブロックチェーンを用いた現在のシステムに移行したのです。

 日本もこうしたシステムの導入を検討することが望ましいでしょう。

 安全性が保障された金融システムは、経済活動にとって最も重要なインフラです。その安全性が揺らいでいる現在、DIDの導入は急務と言えるでしょう。

 デジタル庁の重要な仕事は、これを実現することです。

東洋経済オンライン

関連ニュース

最終更新:9/27(日) 8:01

東洋経済オンライン

投資信託ランキング