セキュリティー関連 kinkishiga

「ドコモ口座」と「mijica」の不正送金 ~手口は似ている?~ 

 

前回、ドコモ口座の不正利用事件についてご紹介しました。

ですが、ドコモ口座の不正利用事件があってまもなくして、今度はゆうちょ口座と連動していた「mijica」でも不正利用があったことがニュースになりました。

それでは、「ドコモ口座」と「mijica」の不正利用は同じ手口だったのでしょうか?

今回は、『「mijica」の手口はさらに深刻だった!?』についてご紹介します。

 

ドコモ口座を使った不正利用の手口についてはこちらの記事で紹介しています。

ドコモ口座が犯罪の温床に!? バーチャル財布の課題とは?

 

そもそも「mijica」ってなに?

参考:ゆうちょ銀行ホームページ

「mijica」は、ゆうちょ銀行が発行しているVisaブランド付きのデビットカード(プリペイド機能付き)で、世界中のVisa加盟店でショッピングが利用できるカードでした。

「デビットカード」・「プリペイドカード」として使えるカード。

 

「デビットカード」と「プリペイドカード」はなにが違う?

 

「デビットカード」と「クレジットカード」は違う!

例えば、クレジットカードは「後払い」ですが、デビットカードは「即払い」です。

つまり、デビットカードは現金での支払いとあまり変わりませんが、財布ではなく口座から引き落とされていくため、使いすぎには注意が必要なカードでもあります。

*デビットカードでは、キャッシングなどの借入れもできない。

 

 

プリペイドカード!

プリペイドカードは、あらかじめチャージした金額が使えるカードのことです。こちらの方が使いすぎは防げるでしょう。

デビットカードやプリペイドカードは、『現金は持ち歩きたくないけど「後払い=借金」は嫌!』という人には、特に重宝されているのではないでしょうか。

*永久不滅ポイントも溜まるようになっているため、現金で購入するよりもお得になっている。

それでは、mijicaへの申し込みはドコモ口座のように、だれでも簡単に作れる状態だったのでしょうか?

 

mijicaも簡単に不正送金ができる仕組みだったの?

そもそもドコモ口座の不正送金の原因は?

例えば、ドコモ口座を開設しようと思えば、私も持っているdアカウントを作ることが第一歩です。

その後、ドコモ口座を新規登録します。

そして、新しく作ったドコモ口座に自分の銀行口座(1つだけ)を登録することで、登録した銀行のキャッシュカードを使わずに送金できる仕組みでした。

ドコモ口座の不正送金は、「キャッシュカード」という最後の砦を省いたことで、容易に犯行が実施できた事件として問題になっています。

というのも、実はすでに違法に入手されていた口座番号がいくつもあったためです。

つまり、合法的に犯人自身が自分のドコモ口座をつくり、その口座にあらかじめ入手していた口座番号を勝手に紐付けていました。

結果的に、ドコモ口座が悪用されたことで、「これまでキャッシュカードがなければ引き出せなかった、他人のお金を引き出すことができるようになってしまった」ということです。

それでは、mijicaも他人の口座番号が分かれば、簡単に不正流出させることができたのでしょうか?

 

mijicaの仕組みは?

そもそも、mijicaには偽造が困難なICチップが搭載されていました。

また、利用の都度メール通知がくるため、例えば買い物をしていなのに購入通知が来ればすぐに不正使用が分かる状態でした。

ちなみに、もしもの時はスマホやパソコンから利用停止ができるなど、不正利用がやりにくい仕組みにはなっていました。

それでは、どうして不正使用ができてしまったのでしょうか?

 

mijicaの不正使用は難しかったはず!?

2020年10月6日に「mijica カードの不正な作成・利用の可能性について 」が、株式会社ゆうちょ銀行から発表されています。

この発表によると、そもそも申し込み後にmijicaカードが口座登録の住所に届くことを加味して、正当な権利者と確認されていたようです。

ところが、mijicaカードが届くまでの間も、mijica専用WEBサイトで・・・

  • カード番号の一部
  • 有効期限

これらが確認できるため、「残余のカードを突き止めることができれば、不正利用ができる可能性があったことが確認されている」とのことでした。

それでは、そもそもなぜ残余のカードが分かれば不正使用ができるのでしょうか?

 

 

「おくってmijica」機能が悪用・・・

mijicaには、「おくってmijica(別のmijicaカードに送金できる)」と呼ばれる機能がありました。

あとは、ドコモ口座と手口は同じです。

合法的に犯人が自分のmijicaカードを作成し、あとは相手のmijicaから自分が作ったmijicaへ「おくってmijica」機能を使って送金すれば完了です。

ただし、ドコモ口座のように簡単には引き出せないはずでした。

そもそも、もう一つのmijicaと紐付けるためには、「mijica Web」にアクセスし公式サイトでIDパスワードでログイン。

さらに、カード裏面の17桁のカードIDを使って送金しなくてはいけません。

さすがに、ドコモ口座で考えられている暗証番号4桁の総当たりではどうにもならないレベルです・・・

つまり、ドコモ口座よりも深刻な点は「ID」・「パスワード」・「カードID」が第三者に知られていて、役に立たなかった点です。

また、ドコモ口座とは違う不幸中の幸いな点は、ドコモ口座は特に地銀の銀行口座を持っている全ての人達が被害の対象者になったの対して、mijicaはあくまでもmijicaカードの所有者だけが被害の対象になっていることです。

そして、こういった事件から分かることは、どんなにカード自体のセキュリティーを高めても、別の口座と紐付けられる機能があれば役に立たない可能性があることです。

 

最後に

本来なら、仕事が忙しくてなかなか銀行に行けない場合、ドコモ口座のように銀行で預金をおろしてこなくても、そのまま使えることは理想的だと言えるでしょう。

また、mijicaのようにチャージ残高の送金がパソコンでできれば、こちらも間違いなく便利な機能です。

ところが、「紐付けられる」ということは第三者もパスワードなどが分かれば、「簡単にあなたのお金を犯人の口座などに送金できる」という意味になります。

当然、そもそもそういった犯罪を防ぐためのセキュリティー対策の1つがパスワードですが、その肝心のパスワードがすでに漏れていることが実証されました。

ただし、大事な情報を漏らしているのはあなた自身かもしれません。

これまでも、例えばフィッシング詐欺についてご紹介していますが、公式なホームページを装った詐欺サイトや、おかしなメールなどが当たり前のように送られてくる世の中です。

少なくとも、17桁の暗証番号が知られているのは致命的と言わざるをえないでしょう。

今後、「パスワードの強化」や「パスワード以外の方法」が必要になってくることは言うまでもありません。

ただ、自分のお金を使うための手間が、今後さらに増えていくことになるかもしれませんね・・・

 

「フィッシング詐欺」については、こちらの記事で紹介しています。

フィッシングに悪用されやすいブランドとは!?

 

関連記事

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

RECOMMENDこちらの記事も人気です。

ABOUTこの記事をかいた人

男生 1984年6月25日生まれ 2人(男の子・女の子)の子どもがいます。 2018年7月からブロク開始! 子育てブログを中心にどんどん構築中です(笑)

NEW POSTこのライターの最新記事