ドコモ口座事件、「3つの違和感」 ドコモが土下座すればいいの?

 狙われた銀行口座は、明確に「口座番号・口座名義・暗証番号・生年月日のみでWeb口座振替登録を受け付けている」銀行に集中している。口座番号・口座名義・生年月日のリストを入手するのは簡単で、暗証番号はたかだか4桁の数字に過ぎず、しかも、使われるものに偏りがあることが分かっている。「本人しか持っていない要素」による認証(所持認証)が存在しないので、これは危険であることが明白だ。

 若干脱線するようだが、「キャッシュカードと4桁の暗証番号」が、ネットの「口座番号と4桁の暗証番号」より安全である理由を、ちゃんと説明できる人は意外に少ない。前者がまだしも安全なのは、「物理的なカード」という、本人が持っていることが前提になっているからだ。偽造の可能性はあるが、「口座番号と4桁の暗証番号」というただの情報よりもずっとマシであることは間違いない。

 なお、暗証番号をひんぱんに変えても意味はない。結局そんなものは「4桁の人間が思いつく数字」に過ぎず、突破が簡単であることに変わりはないからだ。だから、「本人しか持たないと期待される要素」を加えた多要素認証が求められる。物理カードの利用やスマホの活用、免許証などを使ったeKYCの話が出てくるのはそのためだ。

アクセスランキング

もっと見る

ピックアップ