病院の情シスで働く医療情報技師の奮闘記

院内SEの、院内SEによる、院内SEのための総合情報ブログ。毎週更新、現場の「生」の情報をお届け!

院内SEによる情報発信ブログ。


ドコモ口座事件から学ぶ、押さえておきたい暗号化の新常識

※当ブログでは商品・サービスのリンク先にプロモーションを含みます。

 

f:id:whitefox21:20201001163803j:plain

 

こんにちは。当ブログをご覧いただき、ありがとうございます。

 

ご存知の通り2020年9月、ドコモが提供するバーチャル財布「ドコモ口座」名義を使って、ゆうちょ銀行や全国地方銀行の口座から不正に預金が引き出されました。「ドコモ口座」は引き出し先の道具として使われただけで、ドコモを使っていない人の口座からも引き出されており、ドコモと銀行どちらに非があったのか議論されているところです。

 

本記事執筆時点では、ドコモ口座と連携できる銀行のうち2要素認証を導入しているところでは被害が確認されていません。もはや2要素認証はネット界の認証技術として常識と思いますが、地方銀行では対応していないところも多く、その脆弱性を狙われたと言えます。

 

そこで本記事では、当ブログの読者であれば説明不要とは思いますが、あらためて2要素認証を踏まえた暗号化の新常識について触れていきます。

 

  

2要素認証とは

2要素認証とは、読んで字の如く「2つの要素を使って認証すること」を意味します。昔は、パソコンやWebサービスの認証にはパスワードが一般的でしたが、パスワードさえ知ってしまえば本人と同じ扱いを受けることができてしまいます。

そのため、「パスワード+生体認証」「パスワード+携帯電話へのSMS通知」といった2つの認証を突破できた者を本人とみなすやり方が、近年の主流となっています。

 

f:id:whitefox21:20201002095757p:plain

不正ログイン対策特集ページ:IPA 独立行政法人 情報処理推進機構

 

パスワードは漏洩しない限り変更しない、が新常識

パスワード全盛の時代は、「定期的に変更する」ことが望ましいとされてきました。そうすることで安全を担保してきたのです。

 

ところが実は最近では「パスワードは漏洩しない限り変更しない」ことが望ましい、とされていることをご存知でしょうか。

 

www.nikkei.com

 

米国国立標準技術研究所が公開している「電子的認証に関するガイドライン」(事実上の世界標準となる文書)で、「サービス提供者はパスワードの定期変更を要求すべきでない」としているのです。

 

その主な理由は、

  • 定期的に変更するのが面倒なため単純な文字列になりやすい
  • 変更の仕方がパターン化しやすい

 

が挙げられます。たしかにそう思えますね。言われてみれば当院の電子カルテでも、昔のものはパスワード変更を要求する画面が定期的に上がってきましたが、今のシステムでは上がってきません。こういう理由に基づいていたわけですね。

 

理想は「複雑で予測しにくい文字列を使って、パスワードを定期的に変更する」ことですが、人間そう簡単に覚えていられません。ましてや頻繁に使うものとなれば、パターン化して覚えやすいものにしよう、と思うのは仕方のないことです。

 

そこで、2要素認証がパスワードに変わる新たなスタンダードとなりました。

 

2要素認証の対応はまだ一部のみ

もはや常識とも言える2要素認証ですが、実は数あるWebサービスでも対応していないところが多々あります。というより、対応していない方が多いですね。

 

サービス開始の翌日に不正利用が発覚して廃止に追い込まれたセブンペイは記憶に新しいところですし、今回のドコモ口座事件に関しても2要素認証を導入していない銀行が被害に遭っています。キャッシュレス決済やオンラインバンクといったインターネットサービスの競争にさらされ対応を急いだものの、巧妙化する不正アクセスへの対策が追い付いていなかったのです。

 

銀行口座やクレジットカードなど重要な個人情報を登録するWebサービスを使う際は、2要素認証に対応しているか確認してから利用するようにしたいものです。

 

被害口座はどのように突破されたのか

2要素認証に対応していないとは言っても、そうやすやすと銀行口座の認証が突破されるとは考えにくいですよね。

NHKの解説記事には、「リバースブルートフォースアタック」の可能性があったとあります。

 

www3.nhk.or.jp

 

ブルートフォースアタックとは、総当たり攻撃の意味。手当たりしだいに暗証番号を試し、認証されるまで繰り返す手法です。しかしまともなセキュリティ対策が施されていれば、暗証番号を数回間違えれば一時的にログイン操作が制限され、先に進めなくなるはずです。

 

これに対しリバースブルートフォースアタックは、暗証番号を固定し、口座番号を手当たりしだいに試す手法。「暗証番号が1234の口座を探す」というやり方です。そう来たか、とこれには私も不謹慎ながら感心してしまいました。ブルートフォースアタックに対してはどの銀行も対処していたでしょうが、逆の発想はなかったと思います。

 

ドコモ口座と連携する銀行口座を登録するにはインターネット上で手続きを行います。暗証番号は4桁の数字でしかありませんから、パスワードに比べてヒットしやすいのではないでしょうか。

 

そもそも4桁の暗証番号は、キャッシュカードを持った人が引き出すことを想定して設けられた仕組みです。暗証番号だけを知っていても物理的なカードを持っていなければ目的を果たせないので、これも一種の2要素認証であり、だからこそ数字の組み合わせのみであっても強固なセキュリティを保っていたわけですね。

 

皮肉にも、昔ながらのアナログなやり方のほうが安全だった?と思えてしまいます。

 

2要素認証も突破の恐れがある

では2要素認証が鉄壁かと言うと、実はそれも違います。本物とそっくりの偽サイトへ誘導するSMSを送りつけ、偽サイトを見せつつ認証は本人に突破させるというフィッシング詐欺による被害も出ているところです。

 

これについては下記サイトが詳しいので、ぜひ一読してみてください。

 

急増するフィッシング被害 二要素認証突破の手口と対策 | サービス&セキュリティ株式会社

 

「じゃあ結局どうすればいいんだよ!?」となりますが、残念ながら完璧な対策はありません。犯罪とは、対策されたら対策されるイタチごっこですので、こうした事件から手口を知り、地道に対処していくしかないでしょう。

 

ITがこれだけ社会に浸透していても、こうした事件から学ぼうとする人は少数派であり、便利だからと安全さを理解しないまま利用している人は多くいます。インターネットを介するサービスにサイバー犯罪は付き物ですので、SEとしてその手口をしっかり把握し、病院の安全なシステム運用に活かしていきたいものです。

 

-----------------------------------------------------   

当ブログでは、病院に勤務するシステムエンジニアの私が、関係法令の改正やパソコンのトラブルシューティングなどをSE目線から紹介しています。面白そうだと思っていただけたら、ぜひブラウザにお気に入りの登録をお願いします!

 

▼「病院内SEをもっと世間に知ってもらいたい」「面白かった」と思って頂けた方は、ぜひ下の「人気ブログランキング」のボタンを押してください! ブログのアクセス数向上につながります。


病院・診療所ランキング

転職・キャリアランキング

©病院の情シスで働く医療情報技師の奮闘記 All Rights Reserved
プライバシーポリシー・ お問い合わせ