NTT DoCoMoが何やらへんてこな送金サービスだかを展開して大事故を起こしたというニュースを見ていて思った。
「そういえばNTTデータってセブン銀行のATMとかやってるじゃん?系列内でこの差っていくらなんでもひどすぎるんじゃないの」
と。
それと、このシステムを考えた人の銀行の仕組みについてのリテラシーのなさというのもものすごいと思ったので少し書いてみようかな。
まず、銀行でATMにカードを入れて、暗証番号を入れて、というように使っていると思うんだが、実はユーザーが使っている裏でかなり激しいセキュリティの攻防が行われている。
すっごい昔は銀行カードの磁気スリップに暗証番号とかが記録されていたので容易に複製ができたそうだが、そんな時代はもう過去のことなのでこういう文脈で話す人がいたら、「今は令和だ、昭和じゃない」とだけ言って終わればいい。
まずATMは単に設置してネットワークの設定をして終わり、なわけがない。これができたら誰でも不正なATMが作れてしまう。この辺の仕様は余り公になっていないので、多少想像も混ざることを許してほしいんだが、ATMにもチャレンジ&レスポンスという仕組みで認証をしているはずだ。これは携帯電話でも使われている。
細かいことは省くんだが、ATMをつなぐ時に、サーバーが暗号化したデータを送ってきて、「正しい答えをそっちで改めて暗号化して送り返せ、正解したら接続させてやる」という仕組みだ。実際にはもっと細かいんだが、単に機械にLANケーブルをさして終わるものではない。
次に、銀行のカードにも今は暗証番号データは入っていない。おそらく暗証番号を使ったチャレンジ&レスポンスをしているはずだ。実は銀行のカードは2要素認証が取り入れられている。カードを持っていること、そして、暗証番号を知っていること。
2要素認証は持っているものと知っているものの組み合わせで認証を行う仕組みだ。
今回のDoCoMoがしでかしたのは、この2要素認証の仕組みを迂回する仕組みを作ったことだ。おそらくだが、そういう仕組みが金融業者にのみ公開されていたのだろう。利用者が特定できないことが担保された仕組みならばそこまで厳重なセキュリティは作られない。この仕組みを一般ユーザーに使わせることを許したのが一体どこの誰かは知らないが、本来であれば金融庁はこの許可した輩にもかなりの厳重なアプローチを取らなくてはならない。
この事故はDoCoMoだけのせいではない。DoCoMoは銀行ATMのラッパーを自分たちのサービスに利用する許可を誰かから取り付けたはずだ。本来であれば秒もかからずに却下されて然るべき案件だ。
最初に「NTTデータという金融系のかなり強力な会社があるのにこの体たらくは何だ」と書いたんだが、驚いたことはもう一つある。
それはこの文章は、「携帯電話の仕組み」というのをベースに予想して書いているからだ。そう入っても多少の知識は銀行についてもあるので、そこまで大ハズレではないと思うが。
携帯電話は、携帯電話本体と、携帯電話ネットワークとの間で機体の認証を行う。これはかなり強力な仕組みで、基地局も認証されるし、本体も認証される。これには日本人が考案したKASUMIというアルゴリズムが用いられている。そしてSIMカードについても同様だ。携帯電話を利用するためにユーザーは本体の電源を入れるだけだが、裏では凄まじく強力なセキュリティが敷かれている。
そんな強力なセキュリティの知見を持っている会社は一体どこか?
1. 金融系SIerであるNTTデータがグループにいるのに事故を起こしたということはデータとDoCoMoの間での情報共有がされていたのか?
2. 下手したらATMよりも強力なセキュリティの知見があるNTT DoCoMoでこんな雑なセキュリティのシステムを作ったのか?
おそらく人類が利用しているセキュリティの中で強力な方から1番目と2番目の知見をグループ内に持っている会社がこういうことをしている、ということの意味はもっと重く考えられなくてはならないはずだ。
どうでもいい 金融系は、この規模なら倒産などもあるかもしれない 倒産、解雇 人の人生が変わったんだろう。 それだけ
データとdocomoなんてほぼ無関係なんじゃないの