2020年9月7日くらいからSNSで盛り上がって、8日くらいから報道機関が取り上げ始めた「ドコモ口座による不正出金問題」ですが、警察幹部からの見解って言うのも出ているようなので改めて弊社の見解を示しておきたいと思います。
まず、今回の事件の根本的な原因は「本人確認を一切せずにドコモ口座を作る事ができた」事であると考えます。お金を扱うシステムが本人確認を一切しないというのは一般常識に照らし合わせて考えられません。本来であれば反社チェックも行われるべき事案だと考えます。この事によって悪意の第三者の格好のターゲットになってしまった事実は否定のしようがありません。
そして、警察幹部からの見解として「フィッシングによって銀行の口座情報や暗証番号を取得されたのだろう」と言うのが出ているようですが、これに関しては弊社は否定的です。
悪意の第三者の視点に立った時に、「特定のサービス」でしか使えない情報を、わざわざ偽サイトを作って、かつ、その偽サイトに誘導する仕組みを作ってまで取得しようとするものなのだろうか?という事です。しかも、今回は複数の銀行がターゲットになっている事から、正直なところ「面倒すぎて」やらないだろうと言う推定ができます。
一般に誤解されているのは、ウェブサイトに対する不正アクセスでも「脆弱性を事前に知る仕組みを隠せば安全」みたいなバッドノウハウが横行していますが、現実には、悪意の第三者は無差別に攻撃を仕掛けています。これは、サーバー運用者として日常的にログのチェックをしていれば判る事です。
それと同様に、今回も無差別に攻撃を仕掛けたのではないかと推定できます。もちろん、事前にターゲットになる銀行の特定作業は実施しているでしょうが、口座との連携作業はブルートフォース攻撃で実施していると推定できます。その、ブルートフォース攻撃も「口座番号を固定して、暗証番号を変えていく」攻撃では直ぐにロックがかかってしまう可能性があるので、「暗証番号を固定して、口座番号を変えていく」リバースブルートフォース攻撃である事が容易に推定されます。
尚且つ、犯行が発覚しにくいように「複数のIPアドレス」を使っての攻撃である事は想像に難くありません。
以上により、弊社の見解としては「リバースブルートフォース攻撃」によって不正に銀行口座との連携が行われて「不正に出金された」という事になります。
尚、念の為、銀行口座の残高確認か入出金確認はされて置いた方が良いかと思います。万一、ドコモ口座による不正出金を見つけた場合は銀行へ申告する事をお勧め致します。