銀行 <-> 資金移動業者、銀行 <-> 証券会社で発生したセキュリティインシデントに関する社内向けの勉強会資料です。2020/09/18移行は基本的に追っていないため、最新でない可能性があります。 本件に関する指摘・コメントは @ken5scal までお願いします。
© 2020 LayerX Inc.社内勉強会資料社内勉強会資料2020/09/18@ken5scalLayerX Inc.俺たちはマルチステークホルダー間のセキュリティインシデントから何を学ぶのか(公開版)© 2020 LayerX Inc.社内勉強会資料
View Slide
© 2020 LayerX Inc.社内勉強会資料Intro• 今回のインシデントは、銀行と資金移動業者がキャッシュレス推進の波に乗り、リスクが顕在化してしまった例です• (キャッシュレスのような社会的イノベーションの前で、)伝統企業に代表される「レガシーだがセキュア」と考えられていた体制を、事業社側が見つめ直す必要性が出たと考えられます• 伝統的な大企業や金融事業者の「信頼」という1つの機能がアンバンドリングされ、機能が新しいプレイヤーに広がるチャンスにもなります• 一方、信頼が損なわれることにより銀行での解約等が起こっており、取り付け騒ぎからの(国内)システミック・リスクに繋がってしまう可能性も否定はできなかった• 銀行が悪い、資金移動業が悪い、証券が悪い、という話ではなく、顧客の体験と資産を毀損した時点で、全ステークホルダーに責任があります• 本件は様々な種類の「他山の石」になりえる。皆さんご自身で「我々だったら何を学べたか」考えるきっかけになることを望みます• 今後、非金融事業者が金融事業者と金融サービスを提供する流れは今後十分に考えられる• そして、ステークホルダー間で「顧客の資産を保護するためにお互いどういう責任をはたしていくべきか」議論をし、責任を明確に分離・負いつつ、顧客本位を最優先に協力的な体制を整え、信頼を得られる金融サービスを提供するための準備ができるようになることを望みます
© 2020 LayerX Inc.社内勉強会資料今回のスコープ• 資金移動業者 <-> 銀行間の話• M x Nパターンある話であるため、ある程度、モデルを簡素化しています。• 地銀の話を整理してるときに、ゆうちょ銀行が出てきたので、ある程度、一緒にして話ます(例: CNSとゆうちょの勘定系システムをほぼほぼ同じと見立てる等)• 資金移動業者側はドコモ口座を例にとります• 証券 <-> 銀行間の話
© 2020 LayerX Inc.社内勉強会資料ドコモ口座と銀行口座間で発生したことと、SBI証券と銀行口座間で発生したことは別話銀行と他事業者連携でおこった被害内容、という点は共通しているが、プロセスは別
© 2020 LayerX Inc.社内勉強会資料資金移動業者 <-> 銀行の話 (2020/09/15時点)• Web口振受付サービス• 被害件数: 120件 (うち6割がゆうちょ銀行)• 銀行数: 11件• 被害総額: 2,542万円• 時期: 2019/10~2020/09• 顕在化したリスク(脆弱性 x 脅威):• なりすまし、不正使用• 脆弱性情報• 認証の不備• 攻撃手法: 不明(未確定)• 攻撃経路: インターネット
© 2020 LayerX Inc.社内勉強会資料Web口振受付サービス by 地銀ネットワークサービス• 口座振込関係の契約関係1. 収納企業 <-> 銀行1. 口座振替の委託2. 預金者 <-> 銀行1. 料金等の支払い委託3. 収納企業 <-> 預金者1. 料金等の支払を預金口座振替で行う合意4. 収納企業 <-> CNS1. Web口座振付利用規約5. CNS <-> 銀行1. 業務提携契約
© 2020 LayerX Inc.社内勉強会資料Web口振受付サービス by 地銀ネットワークサービス①• 口座振込関係の契約関係1. 収納企業 <-> 銀行1. 口座振替の委託2. 預金者 <-> 銀行1. 料金等の支払い委託3. 収納企業 <-> 預金者1. 料金等の支払を預金口座振替で行う合意4. 収納企業 <-> CNS1. Web口座振付利用規約5. CNS <-> 銀行1. 業務提携契約
© 2020 LayerX Inc.社内勉強会資料Web口振受付サービス by 地銀ネットワークサービス• 口座振込関係の契約関係1. 収納企業 <-> 銀行1. 口座振替の委託2. 預金者 <-> 銀行1. 料金等の支払い委託3. 収納企業 <-> 預金者1. 料金等の支払を預金口座振替で行う合意4. 収納企業 <-> CNS1. Web口座振付利用規約5. CNS <-> 銀行1. 業務提携契約③
© 2020 LayerX Inc.社内勉強会資料Web口振受付サービス by 地銀ネットワークサービス• 口座振込関係の契約関係1. 収納企業 <-> 銀行1. 口座振替の委託2. 預金者 <-> 銀行1. 料金等の支払い委託3. 収納企業 <-> 預金者1. 料金等の支払を預金口座振替で行う合意4. 収納企業 <-> CNS1. Web口座振付利用規約5. CNS <-> 銀行1. 業務提携契約④、⑤
© 2020 LayerX Inc.社内勉強会資料クイズ! 今回問題が発生したポイントはどこ?• 口座振込関係の契約関係1. 収納企業 <-> 銀行1. 口座振替の委託2. 預金者 <-> 銀行1. 料金等の支払い委託3. 収納企業 <-> 預金者1. 料金等の支払を預金口座振替で行う合意4. 収納企業 <-> CNS1. Web口座振付利用規約5. CNS <-> 銀行1. 業務提携契約
© 2020 LayerX Inc.社内勉強会資料答え• 口座振込関係の契約関係1. 収納企業 <-> 銀行1. 口座振替の委託2. 預金者 <-> 銀行1. 料金等の支払い委託3. 収納企業 <-> 預金者1. 料金等の支払を預金口座振替で行う合意4. 収納企業 <-> CNS1. Web口座振付利用規約5. CNS <-> 銀行1. 業務提携契約③不正ログインなりすまし登録なりすましログイン
© 2020 LayerX Inc.社内勉強会資料簡略化• 口座振込関係の契約関係1. 収納企業 <-> 銀行1. 口座振替の委託2. 預金者 <-> 銀行1. 料金等の支払い委託3. 収納企業 <-> 預金者1. 料金等の支払を預金口座振替で行う合意4. 収納企業 <-> CNS1. Web口座振付利用規約5. CNS <-> 銀行1. 業務提携契約不正ログイン 銀行事業者Web口振受付システムなりすまし登録銀行利用者なりすまし認証インターネットバンキング名義照合店舗で使うキャッシュカード
© 2020 LayerX Inc.社内勉強会資料大部分の収納企業・銀行で共通して発生しているミス• 事業者のミス• 弱い身元確認(Identity Assurance)• Kyash, paypayなど• 銀行のミス• 弱い当人認証(Authenticator Assurance Level)• 口座番号・名義• 照合可能: リバートブルートフォースが疑われる理由(未確定)• 弱い秘密情報:• キャシュカードなどの4桁の暗証番号(4桁のパスワード)• 生年月日: ググったりすれば一瞬• キャッシュカードの4桁の暗証番号を生年月日と同じにしないが人どれだけいるのか• りそな、地銀、ゆうちょ(一部)不正ログイン 銀行事業者Web口振受付システムなりすまし登録銀行利用者なりすまし認証インターネットバンキング名義照合店舗で使うキャッシュカード
© 2020 LayerX Inc.社内勉強会資料身元確認と当人認証の違いって?• 身元確認(移動業の瑕疵)• 実体をシステム上のユーザーとして登録し、ユーザーの認証情報を発行する作業(いわゆるKYC)• 当人認証(銀行側の瑕疵)• ユーザーとして主張する実体を、検証し、検証結果を連携して、ユーザーセッションを発行する作業不正ログイン
© 2020 LayerX Inc.社内勉強会資料事業者の身元確認で弱かったポイントはどこか• 銀行による「本人確認」実行済みであることに依拠していたところが多い• 例: CNSの本人確認情報提供サービス• もともとキャッシュレスは経産省の管轄• なので、金融庁が推進していたFATF準拠をどの程度もとめられていたか不明• 事業者側(例: Line Pay)でも実施するところは増えていた• 実は、ドコモ(総務省管轄)は2020/09以前はしていた(後述)• 今回明るみになっていないが、弱いアイデンティティ連携で口座間を連携している( Federation Assurance Levelの話)• 名前は不変でも一意でもないのに、名義照合に使われる• 連携に必要な情報一覧 銀行事業者口振受付システムなりすまし登録銀行利用者なりすまし認証インターネットバンキング名義照合店舗で使うキャッシュカードキャッシュレスGOGO僕は総務省管轄AML/CFT対応…docomo
© 2020 LayerX Inc.社内勉強会資料• 銀行による「本人確認」実行済みであることに依拠していたところが多い• 例: CNSの本人確認情報提供サービス• もともとキャッシュレスは経産省の管轄• なので、金融庁などが推進しているようなFATF対応などとは別• 事業者側(例: Line Pay)でも実施するところは増えていた• 実は、ドコモ(総務省管轄)は2020/09以前はしていた(後述)• 今回明るみになっていないが、弱いアイデンティティ連携で口座間を連携している( Federation Assurance Levelの話)• 名前や生年月日は不変じゃないし、一意でもない• 連携に必要な情報一覧• https://www.nss-jp.com/wp-content/uploads/2020/02/web_koufuri_annnai.pdf事業者の身元確認で弱かったポイントはどこか銀行口振受付システムなりすまし登録銀行利用者なりすまし認証インターネットバンキング名義照合店舗で使うキャッシュカード- 名義一致しただけで送金可能になる身元確認手法のリスク評価の抜け漏れ- とはいえ、CNS等から「本人確認情報」を貰える!と言われたら、当時の銀行を信頼する判断はある程度やむを得ないかもしれない- 事業的推進は経産省で、一方、規制は金融庁。その間でどのような規制がかけられているかは調べきれておらず事業者-(遺憾ながら)金融庁や全銀の発表から、事業者側もKYCが必要になる可能性がある-ただ、本人確認情報をAPIで渡してビジネス化しようとしていた銀行にも痛手
© 2020 LayerX Inc.社内勉強会資料• ローカル認証 vs リモート認証• キャッシュカードへ物理アクセスが必要 + 認証されるまでの経路がPoS端末だけ -> ローカル認証• 悪者がウヨウヨいるのでローカル認証の実装が使えるけど使ってはいけない -> リモート認証• 昭和で地銀向けに提供されていた本来、弱い認証を選べてしまうシステム• なぜ、今まで問題にならなかったかは不明• 大事になってない、顧客と直接対応して表に出てない可能性はある• インターネットバンキングつくったタイミング & 数年以内に統合するのが筋• でも残っちゃった。銀行とNTTデータ間でどのようなやり取りがあったか不明• (妄想)NTTデータ「やったほうがよくないすか?」銀行「お金ない。判断できない」-> FIN• キャッシュレス大航海時代到来! でも、スタートアップはCAFISつなぐための体力も時間もない…• キャッシュレス事業社「Webの入り口があるCNSとかどうよ」ということで事例が増える• 流行 + お金があるということは、それを狙って攻撃者(リスク)もやってくる…• 本来は、銀行側がWeb口振受付の契約を申し込む収納企業が審査・リスク評価するはず...• 銀行が気づきNTTデータに相談したかは不明• また、NTTデータが気づかないわけないが、そのときにNTTデータと銀行間で、そのようなやりとりがあったかは不明• ドコモや7payだって気づけたはずだが…キャッシュレス消費者還元施策するよ!!!9/15銀行の認証で弱かったポイントはどこか銀行事業者Web口振受付システムなりすまし登録銀行利用者なりすまし認証インターネットバンキング口座に対するネットワーク経由での認証店舗で使うキャッシュカード名義照合物理的な認証提供「松」「竹」「梅」といった具合にセキュリティー強度の異なる選択肢が用意NTT DATA
© 2020 LayerX Inc.社内勉強会資料…9/15銀行事業者Web口振受付システムなりすまし登録銀行利用者なりすまし認証インターネットバンキング口座に対するネットワーク経由での認証店舗で使うキャッシュカード名義照合物理的な認証提供…9/15銀行の認証で弱かったポイントはどこか(Web口振受付でゆうちょの2段階認証を実装したので)事業者に2段階認証の対応してと強く要望していた。実装の問題などで、合意には至らなかった09/16認識の食い違い。が、自組織のシステムに対するリスク評価は銀行の領域NTT DATAゆうちょ銀行LINE Pay 依頼がなかったと認識9月17日までに口座登録時に二要素認証が導入される予定他の資金移動業者
© 2020 LayerX Inc.社内勉強会資料キャッシュレス消費者還元施策するよ!!!9/15銀行の認証で弱かったポイントはどこか• ローカル認証 vs リモート認証• キャッシュカードへ物理アクセスが必要 + 認証されるまでの経路がPoS端末だけ、ということでローカル認証• ネットワーク経路は悪者がウヨウヨいるのでローカル認証の実装が使えるからと言って、使ってはいけない• 元々、昭和で地銀向けに提供されていて、本来、弱い認証を持つシステム• インターネットバンキングつくって数年以内に統合するのが筋• でも残っちゃった。銀行とNTTデータ間でどのようなやり取りがあったか不明• NTTデータ「やらなくていっすか?」銀行「お金ない」Fin…• キャッシュレス推進! でも、startupsはCAFISつなぐための体力も時間もないということで2019年に流行• 流行 + お金があるということは、それを狙って攻撃者(リスク)もやってくる…• 本来は、銀行側がリスク評価して「いや、ちょっとまって」と言わないといけなかった• 銀行が気づきNTTデータに相談したかは不明• また、どっかのタイミングでNTTデータは気づかないわけないが、そのときにNTTデータと銀行間で、そのようなやりとりがあったかお不明銀行事業者口振受付システムなりすまし登録銀行利用者なりすまし認証インターネットバンキング口座に対するネットワーク経由での認証店舗で使うキャッシュカード名義照合物理的な認証https://news.biglobe.ne.jp/it/0909/imn_200909_8151351951.htmlhttps://www.resonabank.co.jp/hojin/service/eb/urikakekin/webkouza/https://novtan.hatenablog.com/entry/2020/09/10/095100提供- 認証の口を複数つくってしまう、全体システム設計上の悪手ローカル認証をインターネット認証に適用する、認証設計上の悪手- 認証の口を統合しない、ロードマップ設計上の悪手- 社会的変化にリスク再評価をしなかった、あるいは誤評価した- 銀行側と事業社側の認識のちがい-「銀行はレガシーだけどセキュア」神話の崩壊- 銀行というシステムへのトラストがアンバンドリングされた
© 2020 LayerX Inc.社内勉強会資料ドコモ口座特有の悪かったポイント①: 身元確認の必要のないパスを作った• 2019/09からd払いウオレット機能としてスタート• 出金・送金はできないけど、口座内のお金で(足のつかない)価値交換は可能• 銀行と口座振替する契約を結ぶ際に、どのような前提で同意していたか不明• また、身元確認のないd口座設立をはじめたタイミングで、どのようなやりとりがあったかも不明• 会見によると、ドコモから担当者ベースで各銀行担当者に連携はした模様。どれくらいカバーできたかは不明• 銀行担当者がどのような判断をしたかも不明• システムを請負うNTTデータに連携したかも不明不正ログインd口座作りたい(回線認証による)身元確認が必要なd垢もってたらいいよd口座作りたい身元確認なしでもサービス登録できるようにする(2019/09以降)(回線認証による)本人確認が必要なd垢もってたらいいよWeb口座振替できるようにしようず2019/05(確認した・確認してないかは不明)https://www.77bank.co.jp/pdf/newsrelease/19052901_dcmyknchaj.pdfキャッシュレス消費者還元施策するよ!!!9/15docomo 七十七銀行
© 2020 LayerX Inc.社内勉強会資料ドコモ口座特有の悪かったポイント①: 身元確認の必要のないパスを作った• 2019/09からd払いウオレット機能としてスタート• 出金・送金はできないけど、口座内のお金で(足のつかない)価値交換は可能• 銀行と口座振替する契約を結ぶ際に、どのような前提で同意していたか不明• また、身元確認のないd口座設立をはじめたタイミングで、どのようなやりとりがあったかも不明• 会見によると、ドコモから担当者ベースで各銀行担当者に連携はした模様。どれくらいカバーできたかは不明• 銀行担当者がどのような判断をしたかも不明• システムを請負うNTTデータに連携したかも不明不正ログインd口座作りたい(回線認証による)身元確認が必要なd垢もってたらいいよd口座作りたい身元確認なしでもサービス登録できるようにする(2019/09以降)(回線認証による)本人確認が必要なd垢もってたらいいよWeb口座振替できるようにしようず2019/05は?https://www.77bank.co.jp/pdf/newsrelease/19052901_dcmyknchaj.pdfキャッシュレス消費者還元施策するよ!!!9/15- 社会的変革の圧力に屈し、セキュリティをデグレさせることを許容した- 結果的にパートナーのセキュリティについて追跡できなかった(銀行側)- 変革に強い(resilient)セキュリティが必須- パートナーリレーションも含めたセキュリティ体制の必要性docomo
© 2020 LayerX Inc.社内勉強会資料ドコモ特有の悪かったポイント②: 過去事例を共有せず• みずほ、りそなは2019/05に両行ともドコモ口座でぬかれている• 当時はドコモ口座と銀行口座間の名義が同一でなくても、口座連携できたらしい(!!)• まあ、共有したところで…不正ログイン実はやられた事例あります やられました 2019/05 聞いてない... 普通は業界横断組織内に共有 他社で起こったこと 事例は聞いてない2020/09/16docomoみずほ銀行りそな銀行七十七銀行ゆうちょ銀行
© 2020 LayerX Inc.社内勉強会資料ドコモ特有の悪かったポイント②: 過去事例を共有せず• みずほ、りそなは2019/05に両行ともドコモ口座でぬかれている• 当時はドコモ口座と銀行口座間の名義が同一でなくても、口座連携できたらしい(!!)• まあ、共有したところで…不正ログイン実はやられた事例ありますやられました2019/05きいてないんだけど?・・・こうでーす9/15普通はこういう業界横断組織で共有業界の(良い)慣習を、事業提携者そして業界新規参入者が知らない、したがわない(かったかもしれない)- アンバンドリングされた結果、参入してきたプレイヤーとも適切なガバナンス体制を構築していくdocomoみずほ銀行りそな銀行七十七銀行ゆうちょ銀行
© 2020 LayerX Inc.社内勉強会資料• 被害者への真摯な対応が求められるのに、お互いに責任をなすりつけあうことで、最終的にSNS書き込み -> 全国ニュースに発展。• 総務省のフライングを許して、さらに不安を煽ることに• 被害者の不安がSNSに暴露される前に、事業社と銀行側で適切に調査・協議する体制がなかった• 被害者に不備があったと言いたいわけではないてーへんだ!てーへんだ!被害状況はこうです9/15不正ログインやられたっぽいんだけど9/3SNSに投稿…金融機関は調べて!!!!9/11銀行ちょっと確認してよ9/8ドコモ/銀行のせいのはず調査もしない9/4・・・...9/15 状況確認中なのに...決済機関も銀行もプロセス見直して 9/15てーへんだ!てーへんだ!大変だ!!!!大変だ!!!ドコモ/ 七十七銀行特有の悪かったポイント: 預金者からの連絡を無視(裏を取れず)docomo 七十七銀行
© 2020 LayerX Inc.社内勉強会資料やられたっぽいんだけど俺たち、責任は別だけど、どっちの責任かわからない以上顧客のために協力して調査しよう俺たち、責任は別だけどどっちの責任かわからないから協力して調査しようオレの責任じゃないと思うからあっちに聞いて!!!責任分界点はあって然るべき。その上で、顧客にどう向き合うかドコモ/ 七十七銀行特有の悪かったポイント: 預金者からの連絡を無視(裏を取れず)docomodocomo 七十七銀行七十七銀行
© 2020 LayerX Inc.社内勉強会資料• 被害者への真摯な対応が求められるのに、お互いに責任をなすりつけあうことで、最終的にSNS書き込み -> 全国ニュースに発展。• 総務省のフライングを許して、さらに不安を煽ることに• 被害者の不安がSNSに暴露される前に、事業社と銀行側で適切に調査・協議する体制がなかった• 被害者に不備があったと言いたいわけではないてーへんだ!てーへんだ!被害状況はこうでーす9/15不正ログインやられたっぽいんだけど9/3SNSに投稿…金融機関は調べろ!!!!9/11銀行ちょっと確認してよ9/8https://www.asahi.com/articles/ASN9C451QN9CULFA00P.html知らね、ドコモ/銀行のせいのはず調査もしない9/4今、状況確認中なんだが!!!決済機関も銀行もプロセス見直して9/15・・・こうでーす9/15https://www.nikkei.com/article/DGXMZO63847510V10C20A9EAF000/てーへんだ!てーへんだ!てーへんだ!!!!てーへんだ!!!銀行・ドコモともに顧客に対する態度が、自社の利益を最大化(リスクを最小化)する方向に向かい、相互連携がとれなかった- 顧客資産の保全が最重要課題であることを、ステークホルダー間で共通認識とする- 共通認識を持った上で責任分界点と連絡体制などを構成ドコモ/ 七十七銀行特有の悪かったポイント: 預金者からの連絡を無視(裏を取れず)
© 2020 LayerX Inc.社内勉強会資料SBI証券 <-> 銀行の話• 入出金サービス• 被害件数: 6口座 (1件がUFJ, 5件がゆうちょ)• 銀行数: 2件• 被害総額: 9864万円(2020/09/17時点)• 時期: 2019/10~2020/09• 顕在化したリスク(脆弱性 x 脅威):• なりすまし、不正使用• 脆弱性情報• 認証の不備• 身元確認の不備• 攻撃手法: 不明• パスワードの推測や窃取?• 攻撃経路: インターネット + 窓口
© 2020 LayerX Inc.社内勉強会資料図• 毀損されたポイント• 証券システムのログオン、口座設定、出金• ログオンも取引時パスワードも↓雑魚• 半角英数字6文字以上10文字以内• 銀行のKYCプロセス(!!!)• キャッシュレスさーびすどころか、G-SIFSでもあるガチガチUFJが、やられている• 件数、金額、KYC突破状況から考えて、事前に標的を決めていたのでは?(個人の考え)• 標的がまだもっていない口座じゃないと、標的になりすまして口座を開設できない• 9864/6/120 = 13年分のNISA額/被害者なので、ある程度の資産を保持している対象になる(日本では少ないはず)• 良い子の皆はパスワードマネージャ使うんだよ…不正ログイン銀行証券①証券利用者なりすまし認証①口座登録②出金口座設定③出金0. 標的選別 入出金システム④不正送金
© 2020 LayerX Inc.社内勉強会資料証券側のミス• 毀損されたポイント• 証券システムのログオン、口座設定、出金• ログオンも取引時パスワードも↓雑魚• 半角英数字6文字以上10文字以内• 銀行のKYCプロセス(!!!)• キャッシュレスさーびすどころか、G-SIFSでもあるガチガチUFJが、やられている• 件数、金額、KYC突破状況から考えて、事前に標的を決めていたのでは?(個人の考え)• 標的がまだもっていない口座じゃないと、標的になりすまして口座を開設できない• 9864/6/120 = 13年分のNISA額/被害者なので、ある程度の資産を保持している対象になる(日本では少ないはず)不正ログイン銀行証券①証券利用者なりすまし認証①口座登録②出金口座設定③出金0. 標的選別 入出金システム両方パスワードだから覚えやすいのにしよ…使いまわしちゃえ…(推測)良い子の皆はパスワードマネージャ使うんだ!!!④不正送金
© 2020 LayerX Inc.社内勉強会資料証券側のミス• 毀損されたポイント• 証券システムのログオン、口座設定、出金• ログオンも取引時パスワードも↓雑魚• 半角英数字6文字以上10文字以内• 銀行のKYCプロセス(!!!)• キャッシュレスさーびすどころか、G-SIFSでもあるガチガチUFJが、やられている• 件数、金額、KYC突破状況から考えて、事前に標的を決めていたのでは?(個人の考え)• 標的がまだもっていない口座じゃないと、標的になりすまして口座を開設できない• 9864/6/120 = 13年分のNISA額/被害者なので、ある程度の資産を保持している対象になる(日本では少ないはず)不正ログイン銀行証券①証券利用者なりすまし認証①口座登録②出金口座設定③出金0. 標的選別 入出金システム良い子の皆はパスワードマネージャ使うんだ!!!④不正送金両方パスワードだから覚えやすいのにしよ…使いまわしちゃえ…(推測)これだけなら、不正ログイン・不正取引はありえるかもだが、(口座が本人のものであれば)不正出金はされない!
© 2020 LayerX Inc.社内勉強会資料銀行側のミス(証券側でも起こりうる)• 毀損されたポイント• 証券システムのログオン、口座設定、出金• ログオンも取引時パスワードも↓雑魚• 半角英数字6文字以上10文字以内• 銀行のKYCプロセス(!!!)• キャッシュレスさーびすどころか、G-SIBSでもあるガチガチUFJが、やられている• 暗黙的な銀行の(本人確認)信頼度が崩れた• 証券口座と銀行口座の紐付けは、銀行側の身元確認照合が信頼できる前提でなりたっていた• 件数、金額、KYC突破状況から考えて、事前に標的を決めていたのでは?(個人の考え)• 標的がまだもっていない口座じゃないと、標的になりすまして口座を開設できない• 9864/6/120 = 13年分のNISA額/被害者なので、ある程度の資産を保持している対象になる(日本では少ないはず)• 良い子の皆はパスワードマネージャ使うんだよ…不正ログイン銀行証券①証券利用者なりすまし認証①口座登録②出金口座設定③出金0. 標的選別 入出金システムなりすまし登録されちゃいました2020/09/16えっ?えっ?名義照合だけぢゃダメじゃん…不正な口座への送金リスクだけ見ると、証券口座が本人以外の銀行口座に紐付けできるリスクの脆弱性のが優先度は高い(私見)セキュリティちゃんとコストかけてちゃんとやってます。だから本人確認情報をAPIでとれるようなビジネスも考えています。事業者えっ?銀行口座ってあんだけやって、不正登録されちゃうの?証券口座側の本人とは限らなくなっちゃうなら名義照合だけじゃダメじゃん…そうかも…じゃあ、名義照合だけでいいか…Before 2020/09/16そうかも…じゃあ、名義照合だけでいいか…Before 2020/09/16④不正送金そうかも…じゃあ、名義照合だけでいいか…Before 2020/09/16ゆうちょUFJ
© 2020 LayerX Inc.社内勉強会資料• 金融庁は一切、銀行の身元確認プロセスの点検について触れてない• 謎…
© 2020 LayerX Inc.社内勉強会資料今回の攻撃はある程度特定の顧客しか狙ってなかった説• 毀損されたポイント• 証券システムのログイン、口座設定、出金• ログオンも取引時パスワードも↓雑魚• 半角英数字6文字以上10文字以内• 銀行のKYCプロセスへの信頼• G-SIFSでもあるUFJさえ、不正登録されている• 件数、金額、KYC突破状況から考えて、事前に標的を決めていたのでは?(個人の考え)• 標的がまだもっていない口座じゃないと、標的になりすまして口座を開設できない• 9864/6/120 = 13年分のNISA額/被害者なので、ある程度の資産を保持している対象になる(日本では少ないはず)• 良い子の皆はパスワードマネージャ使うんだよ…不正ログイン銀行証券①証券利用者なりすまし認証①口座登録②出金口座設定③出金0. 標的選別 入出金システム④不正送金
© 2020 LayerX Inc.社内勉強会資料図• 毀損されたポイント• 証券システムのログオン、口座設定、出金• ログオンも取引時パスワードも↓雑魚• 半角英数字6文字以上10文字以内• 銀行のKYCプロセス(!!!)• キャッシュレスさーびすどころか、G-SIFSでもあるガチガチUFJが、やられている• 件数、金額、KYC突破状況から考えて、事前に標的を決めていたのでは?(個人の考え)• 標的がまだもっていない口座じゃないと、標的になりすまして口座を開設できない• 9864/6/120 = 13年分のNISA額/被害者なので、ある程度の資産を保持している対象になる(日本では少ないはず)• 良い子の皆はパスワードマネージャ使うんだよ…不正ログイン銀行証券①証券利用者なりすまし認証①口座登録②出金口座設定③出金0. 標的選別 入出金システムFATF的に考えると、他者に送金可能な銀行側のKYCが毀損されたのがまずい。これは資金移動業よりさらにインパクトがでかいし、証券側の不正ログインよりリスクがでかいと思われる(のに、何も続報がない)- 証券は口座連携する際に、銀行口座が不正登録されたものであることを勘案したリスク対策を建てる必要が発生- なので、最初から2FAを用意して、送金時や口座設定・変更時に2FA側の認証をかけるなどをするのがコストが安い- でなければ、出金時の挙動からヒューリスティクスなモニタリングなどの統計的検知手法に頼らざるをえなくなる- とはいえ、銀行側も規模や予算、体制までまちまちであり、絶対にミスしない、ということはありえない- その前提にたちリスクアペタイトを考え、「銀行からの情報でも検証する」というTrust, But Verifyな姿勢にすべき
© 2020 LayerX Inc.社内勉強会資料根本的に必要とされる仕組み銀行A証券当人認証したよ、証明はこれだよ検証しておkそうだから銀行Aに出金していいよ身元確認したよ、証明はこれだよ。出金したい銀行にログインしてちょ。強い当人認証があるよ強い当人認証が出金と口座設定にかかってるよ
© 2020 LayerX Inc.社内勉強会資料- FATF的には送金行為が可能な銀行口座を、不正作成できるのが問題- だが、不正ログイン・不正な取引・不正な口座との紐付けができてしまうのも当然よくない- 100%根本的な対応にはならないが、一定の努力はしなければならない- 努力例- 二段階認証前提のシステム構築- 資産の多い顧客の洗い出し- 既存顧客への適切なコミュニケーション- 出来る範囲での出金、口座設定状況のモニタリング一時的に証券側で必要とされる仕組み
© 2020 LayerX Inc.社内勉強会資料証券ケース(左) vs 資金移動業者ケース(右)不正ログイン銀行証券①証券利用者なりすまし認証①なりすまし口座登録③出金口座設定④出金0. 標的選別 入出金システム不正ログイン銀行事業者口振受付システムなりすまし登録銀行利用者なりすまし認証インターネットバンキング名義照合店舗で使うキャッシュカード名義照合送金送金
© 2020 LayerX Inc.社内勉強会資料証券ケース(左) vs 資金移動業者ケース(右)不正ログイン銀行証券①証券利用者なりすまし認証①なりすまし口座登録③出金口座設定④出金0. 標的選別 入出金システム不正ログイン銀行事業者口振受付システムなりすまし登録銀行利用者なりすまし認証インターネットバンキング名義照合店舗で使うキャッシュカード名義照合-KYC的観点: 左は銀行のKYCを突破、右は未実施-認証的観点: 左は証券のWeb認証を突破、右は銀行の口振受付システム認証を突破-左は正常な口座の紐付けである以上、口座変更の通知や統計的分析を用いるなどの検知的手法以外は対応が難しい送金送金
© 2020 LayerX Inc.社内勉強会資料様々な観点から学びがあるインシデント• 設計• リスク評価の抜け漏れ• 顧客対応• 新規産業(キャッシュレス)と金融アンバンドリングによる不慣れなプレイヤーの参加• 業務委託・業務提携先との目線合わせ• 複数事業者が関わる際の責任分界点• 銀行 = 信頼できる、が崩壊した• たとえ銀行であっても、継続的にチェックする必要がある
© 2020 LayerX Inc.社内勉強会資料再掲• 今回のインシデントは、銀行と資金移動業者がキャッシュレス推進の波に乗り、リスクが顕在化してしまった例です• (キャッシュレスのような社会的イノベーションの前で、)伝統企業に代表される「レガシーだがセキュア」と考えられていた体制を見直すきっかけになった• 伝統的な大企業や金融事業者の「信頼」という1つの機能がアンバンドリングされ、機能が新しいプレイヤーに広がるチャンスにもなります• 一方、信頼が損なわれることにより銀行での解約等が起こっており、取り付け騒ぎからの(国内)システミック・リスクに繋がってしまう可能性も否定はできなかった• 銀行が悪い、資金移動業が悪い、証券が悪い、という話ではなく、顧客の体験と資産を毀損した時点で、全ステークホルダーに責任があります• 本件は様々な種類の「他山の石」になりえる。皆さんご自身で「我々だったら何を学べたか」考えるきっかけになることを望みます• 今後、非金融事業者が金融事業者と金融サービスを提供する流れは今後十分に考えられる• そして、ステークホルダー間で「顧客の資産を保護するためにお互いどういう責任をはたしていくべきか」議論をし、責任を明確に分離・負いつつ、顧客本位を最優先に協力的な体制を整え、信頼を得られる金融サービスを提供するための準備ができるようになることを望みます
© 2020 LayerX Inc.社内勉強会資料重要なのは、顧客と顧客の資産です。この認識を全ステークホルダーがもつのが最初のステップいくらマルチステークホルダー化しようとも
© 2020 LayerX Inc.社内勉強会資料顧客にとってはただの金融サービス重要なのは、顧客と顧客の資産です。この認識を全ステークホルダーがもつのが最初のステップ
© 2020 LayerX Inc.社内勉強会資料(大きなチャレンジだが)ステークホルダー間での信頼関係を構築し、安全安心な金融サービスを提供していきたい便利で安心出来るサービス サイコー
© 2020 LayerX Inc.社内勉強会資料参考ページ一覧https://www.chigin-cns.co.jp/services/web_service/index.phphttps://www.resonabank.co.jp/hojin/service/eb/urikakekin/webkouza/https://www.meti.go.jp/press/2020/04/20200417002/20200417002.htmlhttps://www.nss-jp.com/wp-content/uploads/2020/02/web_koufuri_annnai.pdfhttps://news.biglobe.ne.jp/it/0909/imn_200909_8151351951.htmlhttps://xtech.nikkei.com/atcl/nxt/column/18/00139/092400070/https://novtan.hatenablog.com/entry/2020/09/10/095100https://k-tai.watch.impress.co.jp/docs/news/1277576.htmlhttps://ideco-ipo-nisa.com/37391https://news.yahoo.co.jp/articles/8160831fd281a4dc70ee7afd053d29e3c33d2aadhttps://www.fsa.go.jp/news/r2/sonota/20200915/20200915_01.pdfhttps://www.nikkei.com/article/DGXMZO63847510V10C20A9EAF000/https://www.asahi.com/articles/ASN9C451QN9CULFA00P.htmlhttps://twitter.com/nattsurun/status/1301515369786605569https://www.nikkei.com/article/DGXMZO63720510R10C20A9000000/https://www.nikkei.com/article/DGXMZO63905840W0A910C2EE9000/https://www.fsa.go.jp/news/r2/shouken/20200917.html
© 2020 LayerX Inc.社内勉強会資料おしまい