2020-09-11

ドコモの今回の事故は思っている以上に深刻な匂いがする

NTT DoCoMoが何やらへんてこな送金サービスだかを展開して大事故を起こしたというニュースを見ていて思った。

「そういえばNTTデータってセブン銀行ATMとかやってるじゃん?系列内でこの差っていくらなんでもひどすぎるんじゃないの」

と。

それと、このシステムを考えた人の銀行の仕組みについてのリテラシーのなさというのもものすごいと思ったので少し書いてみようかな。

まず、銀行ATMカードを入れて、暗証番号を入れて、というように使っていると思うんだが、実はユーザーが使っている裏でかなり激しいセキュリティの攻防が行われている。

すっごい昔は銀行カード磁気スリップ暗証番号とかが記録されていたので容易に複製ができたそうだが、そんな時代はもう過去ことなのでこういう文脈で話す人がいたら、「今は令和だ、昭和じゃない」とだけ言って終わればいい。

まずATMは単に設置してネットワークの設定をして終わり、なわけがない。これができたら誰でも不正ATMが作れてしまう。この辺の仕様は余り公になっていないので、多少想像も混ざることを許してほしいんだが、ATMにもチャレンジレスポンスという仕組みで認証をしているはずだ。これは携帯電話でも使われている。

かいことは省くんだが、ATMをつなぐ時に、サーバー暗号化したデータを送ってきて、「正しい答えをそっちで改めて暗号化して送り返せ、正解したら接続させてやる」という仕組みだ。実際にはもっとかいんだが、単に機械LANケーブルをさして終わるものではない。

次に、銀行カードにも今は暗証番号データは入っていない。おそらく暗証番号を使ったチャレンジレスポンスをしているはずだ。実は銀行カードは2要素認証が取り入れられている。カードを持っていること、そして、暗証番号を知っていること。

2要素認証は持っているものと知っているものの組み合わせで認証を行う仕組みだ。

今回のDoCoMoがしでかしたのは、この2要素認証の仕組みを迂回する仕組みを作ったことだ。おそらくだが、そういう仕組みが金融業にのみ公開されていたのだろう。利用者特定できないことが担保された仕組みならばそこまで厳重なセキュリティは作られない。この仕組みを一般ユーザーに使わせることを許したのが一体どこの誰かは知らないが、本来であれば金融庁はこの許可した輩にもかなりの厳重なアプローチを取らなくてはならない。

この事故DoCoMoだけのせいではない。DoCoMo銀行ATMラッパー自分たちサービスに利用する許可を誰かから取り付けたはずだ。本来であれば秒もかからずに却下されて然るべき案件だ。

最初に「NTTデータという金融系のかなり強力な会社があるのにこの体たらくは何だ」と書いたんだが、驚いたことはもう一つある。

それはこの文章は、「携帯電話の仕組み」というのをベースに予想して書いているからだ。そう入っても多少の知識銀行についてもあるので、そこまで大ハズレではないと思うが。

携帯電話は、携帯電話本体と、携帯電話ネットワークとの間で機体の認証を行う。これはかなり強力な仕組みで、基地局認証されるし、本体認証される。これには日本人が考案したKASUMIというアルゴリズムが用いられている。そしてSIMカードについても同様だ。携帯電話を利用するためにユーザー本体の電源を入れるだけだが、裏では凄まじく強力なセキュリティが敷かれている。

そんな強力なセキュリティの知見を持っている会社は一体どこか?

NTT DoCoMoだ。

そういうわけでこのニュースには2つの驚きがある。

1. 金融SIerであるNTTデータグループにいるのに事故を起こしたということはデータDoCoMoの間での情報共有がされていたのか?

2. 下手したらATMよりも強力なセキュリティの知見があるNTT DoCoMoでこんな雑なセキュリティシステムを作ったのか?

おそらく人類が利用しているセキュリティの中で強力な方から1番目と2番目の知見をグループ内に持っている会社がこういうことをしている、ということの意味もっと重く考えられなくてはならないはずだ。

表だけさらってDoCoMoけしからん!で終わってはならない。もっとかに闇の部分が深い案件だとおもう。

誰かこの文脈で追跡してくれるジャーナリストいないのかな?

  • どうでもいい 金融系は、この規模なら倒産などもあるかもしれない 倒産、解雇 人の人生が変わったんだろう。 それだけ

  • データとdocomoなんてほぼ無関係なんじゃないの

記事への反応(ブックマークコメント)

ログイン ユーザー登録
ようこそ ゲスト さん