俺たちはマルチステークホルダー間のセキュリティインシデントから何を学ぶのか

© 2020 LayerX Inc. 社内勉強会資料 Intro • 今回のインシデントは、銀行と資金移動業者がキャッシュレス推進の波に乗り、リスクが顕在化してしまった例です • （キャッシュレスのような社会的イノベーションの前で、）伝統企業に代表される「レガシーだがセキュア」と考えられていた体制を、事業社
側が見つめ直す必要性が出たと考えられます • 伝統的な大企業や金融事業者の「信頼」という1つの機能がアンバンドリングされ、機能が新しいプレイヤーに広がるチャンスにもなります • 一方、信頼が損なわれることにより銀行での解約等が起こっており、取り付け騒ぎからの（国内）システミック・リスクに繋がってしまう可能性も否定はできなかった • 銀行が悪い、資金移動業が悪い、証券が悪い、という話ではなく、顧客の体験と資産を毀損した時点で、全ステークホルダーに責任があります • 本件は様々な種類の「他山の石」になりえる。皆さんご自身で「我々だったら何を学べたか」考えるきっかけになることを望みます • 今後、非金融事業者が金融事業者と金融サービスを提供する流れは今後十分に考えられる • そして、ステークホルダー間で「顧客の資産を保護するためにお互いどういう責任をはたしていくべきか」議論をし、責任を明確に分離・負いつつ、顧客本位を最優先に協力的な体制を整え、信頼を得られる金融サービスを提供するための準備ができるようになることを望みます

© 2020 LayerX Inc. 社内勉強会資料今回のスコープ • 資金移動業者 <-> 銀行間の話
• M x Nパターンある話であるため、ある程度、モデルを簡素化しています。 • 地銀の話を整理してるときに、ゆうちょ銀行が出てきたので、ある程度、一緒にして話ます（例: CNSとゆうちょの勘定系システムをほぼほぼ同じと見立てる等） • 資金移動業者側はドコモ口座を例にとります • 証券 <-> 銀行間の話

© 2020 LayerX Inc. 社内勉強会資料資金移動業者 <-> 銀行の話　(2020/09/15時点) • Web口振受付サービス
• 被害件数: 120件 (うち6割がゆうちょ銀行) • 銀行数: 11件 • 被害総額: 2,542万円 • 時期: 2019/10~2020/09 • 顕在化したリスク(脆弱性 x 脅威): • なりすまし、不正使用 • 脆弱性情報 • 認証の不備 • 攻撃手法: 不明（未確定） • 攻撃経路: インターネット

© 2020 LayerX Inc. 社内勉強会資料 Web口振受付サービス by 地銀ネットワークサービス • 口座振込関係の契約関係
1. 収納企業 <-> 銀行 1. 口座振替の委託 2. 預金者 <-> 銀行 1. 料金等の支払い委託 3. 収納企業 <-> 預金者 1. 料金等の支払を預金口座振替で行う合意 4. 収納企業 <-> CNS 1. Web口座振付利用規約 5. CNS <-> 銀行 1. 業務提携契約

© 2020 LayerX Inc. 社内勉強会資料 Web口振受付サービス by 地銀ネットワークサービス ① •
口座振込関係の契約関係 1. 収納企業 <-> 銀行 1. 口座振替の委託 2. 預金者 <-> 銀行 1. 料金等の支払い委託 3. 収納企業 <-> 預金者 1. 料金等の支払を預金口座振替で行う合意 4. 収納企業 <-> CNS 1. Web口座振付利用規約 5. CNS <-> 銀行 1. 業務提携契約

1. 収納企業 <-> 銀行 1. 口座振替の委託 2. 預金者 <-> 銀行 1. 料金等の支払い委託 3. 収納企業 <-> 預金者 1. 料金等の支払を預金口座振替で行う合意 4. 収納企業 <-> CNS 1. Web口座振付利用規約 5. CNS <-> 銀行 1. 業務提携契約

1. 収納企業 <-> 銀行 1. 口座振替の委託 2. 預金者 <-> 銀行 1. 料金等の支払い委託 3. 収納企業 <-> 預金者 1. 料金等の支払を預金口座振替で行う合意 4. 収納企業 <-> CNS 1. Web口座振付利用規約 5. CNS <-> 銀行 1. 業務提携契約 ③

1. 収納企業 <-> 銀行 1. 口座振替の委託 2. 預金者 <-> 銀行 1. 料金等の支払い委託 3. 収納企業 <-> 預金者 1. 料金等の支払を預金口座振替で行う合意 4. 収納企業 <-> CNS 1. Web口座振付利用規約 5. CNS <-> 銀行 1. 業務提携契約 ④、⑤

© 2020 LayerX Inc. 社内勉強会資料クイズ! 今回問題が発生したポイントはどこ？ • 口座振込関係の契約関係 1.
収納企業 <-> 銀行 1. 口座振替の委託 2. 預金者 <-> 銀行 1. 料金等の支払い委託 3. 収納企業 <-> 預金者 1. 料金等の支払を預金口座振替で行う合意 4. 収納企業 <-> CNS 1. Web口座振付利用規約 5. CNS <-> 銀行 1. 業務提携契約

© 2020 LayerX Inc. 社内勉強会資料答え • 口座振込関係の契約関係 1. 収納企業
<-> 銀行 1. 口座振替の委託 2. 預金者 <-> 銀行 1. 料金等の支払い委託 3. 収納企業 <-> 預金者 1. 料金等の支払を預金口座振替で行う合意 4. 収納企業 <-> CNS 1. Web口座振付利用規約 5. CNS <-> 銀行 1. 業務提携契約 ③ 不正ログインなりすまし登録なりすましログイン

© 2020 LayerX Inc. 社内勉強会資料簡略化 • 口座振込関係の契約関係 1. 収納企業
<-> 銀行 1. 口座振替の委託 2. 預金者 <-> 銀行 1. 料金等の支払い委託 3. 収納企業 <-> 預金者 1. 料金等の支払を預金口座振替で行う合意 4. 収納企業 <-> CNS 1. Web口座振付利用規約 5. CNS <-> 銀行 1. 業務提携契約不正ログイン　　銀行事業者 Web 口振受付システムなりすまし登録銀行利用者なりすまし認証インターネットバンキング名義照合店舗で使うキャッシュカード

© 2020 LayerX Inc. 社内勉強会資料大部分の収納企業・銀行で共通して発生しているミス • 事業者のミス • 弱い身元確認(Identity
Assurance) • Kyash, paypayなど • 銀行のミス • 弱い当人認証(Authenticator Assurance Level) • 口座番号・名義 • 照合可能: リバートブルートフォースが疑われる理由（未確定） • 弱い秘密情報: • キャシュカードなどの４桁の暗証番号（4桁のパスワード） • 生年月日: ググったりすれば一瞬 • キャッシュカードの4桁の暗証番号を生年月日と同じにしないが人どれだけいるのか • りそな、地銀、ゆうちょ（一部）不正ログイン　　銀行事業者 Web 口振受付システムなりすまし登録銀行利用者なりすまし認証インターネットバンキング名義照合店舗で使うキャッシュカード

© 2020 LayerX Inc. 社内勉強会資料身元確認と当人認証の違いって？ • 身元確認（移動業の瑕疵） • 実体をシステム上のユーザー
として登録し、ユーザーの認証情報を発行する作業（いわゆるKYC） • 当人認証（銀行側の瑕疵） • ユーザーとして主張する実体を、検証し、検証結果を連携して、ユーザーセッションを発行する作業不正ログイン

© 2020 LayerX Inc. 社内勉強会資料事業者の身元確認で弱かったポイントはどこか • 銀行による「本人確認」実行済みであることに依拠していたところが多い •
例: CNSの本人確認情報提供サービス • もともとキャッシュレスは経産省の管轄 • なので、金融庁が推進していたFATF準拠をどの程度もとめられていたか不明 • 事業者側（例: Line Pay）でも実施するところは増えていた • 実は、ドコモ（総務省管轄）は2020/09以前はしていた（後述） • 今回明るみになっていないが、弱いアイデンティティ連携で口座間を連携している（ Federation Assurance Levelの話） • 名前は不変でも一意でもないのに、名義照合に使われる • 連携に必要な情報一覧　銀行事業者口振受付システムなりすまし登録銀行利用者なりすまし認証インターネットバンキング名義照合店舗で使うキャッシュカードキャッシュレス GOGO 僕は総務省管轄 AML/CFT 対応… docomo

© 2020 LayerX Inc. 社内勉強会資料 • 銀行による「本人確認」実行済みであることに依拠していたところが多い • 例: CNSの本人確認情報提供サービス
• もともとキャッシュレスは経産省の管轄 • なので、金融庁などが推進しているようなFATF対応などとは別 • 事業者側（例: Line Pay）でも実施するところは増えていた • 実は、ドコモ（総務省管轄）は2020/09以前はしていた（後述） • 今回明るみになっていないが、弱いアイデンティティ連携で口座間を連携している（ Federation Assurance Levelの話） • 名前や生年月日は不変じゃないし、一意でもない • 連携に必要な情報一覧 • https://www.nss-jp.com/wp-content/uploads/2020/02/web_koufuri_a nnnai.pdf 事業者の身元確認で弱かったポイントはどこか銀行口振受付システムなりすまし登録銀行利用者なりすまし認証インターネットバンキング名義照合店舗で使うキャッシュカード - 名義一致しただけで送金可能になる身元確認手法のリスク評価の抜け漏れ - とはいえ、CNS等から「本人確認情報」を貰える！と言われたら、当時の銀行を信頼する判断はある程度やむを得ないかもしれない - 事業的推進は経産省で、一方、規制は金融庁。その間でどのような規制がかけられているかは調べきれておらず事業者 -（遺憾ながら）金融庁や全銀の発表から、事業者側もKYCが必要になる可能性がある -ただ、本人確認情報をAPIで渡してビジネス化しようとしていた銀行にも痛手

© 2020 LayerX Inc. 社内勉強会資料 • ローカル認証 vs リモート認証 •
キャッシュカードへ物理アクセスが必要 + 認証されるまでの経路がPoS端末だけ -> ローカル認証 • 悪者がウヨウヨいるのでローカル認証の実装が使えるけど使ってはいけない -> リモート認証 • 昭和で地銀向けに提供されていた本来、弱い認証を選べてしまうシステム • なぜ、今まで問題にならなかったかは不明 • 大事になってない、顧客と直接対応して表に出てない可能性はある • インターネットバンキングつくったタイミング & 数年以内に統合するのが筋 • でも残っちゃった。銀行とNTTデータ間でどのようなやり取りがあったか不明 • （妄想）NTTデータ「やったほうがよくないすか？」銀行「お金ない。判断できない」-> FIN • キャッシュレス大航海時代到来! でも、スタートアップはCAFISつなぐための体力も時間もない… • キャッシュレス事業社「Webの入り口があるCNSとかどうよ」ということで事例が増える • 流行 + お金があるということは、それを狙って攻撃者（リスク）もやってくる… • 本来は、銀行側がWeb口振受付の契約を申し込む収納企業が審査・リスク評価するはず... • 銀行が気づきNTTデータに相談したかは不明 • また、NTTデータが気づかないわけないが、そのときにNTTデータと銀行間で、そのようなやりとりがあったかは不明 • ドコモや7payだって気づけたはずだが… キャッシュレス消費者還元施策するよ!!! 9/15 銀行の認証で弱かったポイントはどこか銀行事業者 Web 口振受付システムなりすまし登録銀行利用者なりすまし認証インターネットバンキング口座に対するネットワーク経由での認証店舗で使うキャッシュカード名義照合物理的な認証提供「松」「竹」「梅」といった具合にセキュリティー強度の異なる選択肢が用意 NTT DATA

© 2020 LayerX Inc. 社内勉強会資料 … 9/15 銀行事業者 Web
口振受付システムなりすまし登録銀行利用者なりすまし認証インターネットバンキング口座に対するネットワーク経由での認証店舗で使うキャッシュカード名義照合物理的な認証提供 … 9/15 銀行の認証で弱かったポイントはどこか (Web口振受付でゆうちょの2段階認証を実装したので) 事業者に2段階認証の対応してと強く要望していた。実装の問題などで、合意には至らなかった 09/16 認識の食い違い。が、自組織のシステムに対するリスク評価は銀行の領域 NTT DATA ゆうちょ銀行 LINE Pay 　　依頼がなかったと認識 9月17日までに口座登録時に二要素認証が導入される予定他の資金移動業者

© 2020 LayerX Inc. 社内勉強会資料キャッシュレス消費者還元施策するよ!!! 9/15 銀行の認証で弱かったポイントはどこか • ローカル認証
vs リモート認証 • キャッシュカードへ物理アクセスが必要 + 認証されるまでの経路がPoS端末だけ、ということでローカル認証 • ネットワーク経路は悪者がウヨウヨいるのでローカル認証の実装が使えるからと言って、使ってはいけない • 元々、昭和で地銀向けに提供されていて、本来、弱い認証を持つシステム • インターネットバンキングつくって数年以内に統合するのが筋 • でも残っちゃった。銀行とNTTデータ間でどのようなやり取りがあったか不明 • NTTデータ「やらなくていっすか？」銀行「お金ない」Fin… • キャッシュレス推進! でも、startupsはCAFISつなぐための体力も時間もないということで2019年に流行 • 流行 + お金があるということは、それを狙って攻撃者（リスク）もやってくる… • 本来は、銀行側がリスク評価して「いや、ちょっとまって」と言わないといけなかった • 銀行が気づきNTTデータに相談したかは不明 • また、どっかのタイミングでNTTデータは気づかないわけないが、そのときにNTTデータと銀行間で、そのようなやりとりがあったかお不明銀行事業者口振受付システムなりすまし登録銀行利用者なりすまし認証インターネットバンキング口座に対するネットワーク経由での認証店舗で使うキャッシュカード名義照合物理的な認証 https://news.biglobe.ne.jp/it/0909/imn_200909_8151351951.html https://www.resonabank.co.jp/hojin/service/eb/urikakekin/webkouza/ https://novtan.hatenablog.com/entry/2020/09/10/095100 提供 - 認証の口を複数つくってしまう、全体システム設計上の悪手ローカル認証をインターネット認証に適用する、認証設計上の悪手 - 認証の口を統合しない、ロードマップ設計上の悪手 - 社会的変化にリスク再評価をしなかった、あるいは誤評価した - 銀行側と事業社側の認識のちがい -「銀行はレガシーだけどセキュア」神話の崩壊 - 銀行というシステムへのトラストがアンバンドリングされた

© 2020 LayerX Inc. 社内勉強会資料ドコモ口座特有の悪かったポイント①: 身元確認の必要のないパスを作った • 2019/09からd払いウオレット機能としてスタート •
出金・送金はできないけど、口座内のお金で(足のつかない)価値交換は可能 • 銀行と口座振替する契約を結ぶ際に、どのような前提で同意していたか不明 • また、身元確認のないd口座設立をはじめたタイミングで、どのようなやりとりがあったかも不明 • 会見によると、ドコモから担当者ベースで各銀行担当者に連携はした模様。どれくらいカバーできたかは不明 • 銀行担当者がどのような判断をしたかも不明 • システムを請負うNTTデータに連携したかも不明不正ログイン d口座作りたい（回線認証による）身元確認が必要な d垢もってたらいいよ d口座作りたい身元確認なしでもサービス登録できるようにする (2019/09以降) （回線認証による）本人確認が必要な d垢もってたらいいよ Web口座振替できるようにしようず 2019/05 (確認した・確認してないかは不明) https://www.77bank.co.jp/pdf/newsrelease/19052901_dcmyknchaj.pdf キャッシュレス消費者還元施策するよ!!! 9/15 docomo 七十七銀行

© 2020 LayerX Inc. 社内勉強会資料ドコモ口座特有の悪かったポイント①: 身元確認の必要のないパスを作った • 2019/09からd払いウオレット機能としてスタート •
出金・送金はできないけど、口座内のお金で(足のつかない)価値交換は可能 • 銀行と口座振替する契約を結ぶ際に、どのような前提で同意していたか不明 • また、身元確認のないd口座設立をはじめたタイミングで、どのようなやりとりがあったかも不明 • 会見によると、ドコモから担当者ベースで各銀行担当者に連携はした模様。どれくらいカバーできたかは不明 • 銀行担当者がどのような判断をしたかも不明 • システムを請負うNTTデータに連携したかも不明不正ログイン d口座作りたい（回線認証による）身元確認が必要な d垢もってたらいいよ d口座作りたい身元確認なしでもサービス登録できるようにする (2019/09以降) （回線認証による）本人確認が必要な d垢もってたらいいよ Web口座振替できるようにしようず 2019/05 は？ https://www.77bank.co.jp/pdf/newsrelease/19052901_dcmyknchaj.pdf キャッシュレス消費者還元施策するよ!!! 9/15 - 社会的変革の圧力に屈し、セキュリティをデグレさせることを許容した - 結果的にパートナーのセキュリティについて追跡できなかった（銀行側） - 変革に強い（resilient）セキュリティが必須 - パートナーリレーションも含めたセキュリティ体制の必要性 docomo

© 2020 LayerX Inc. 社内勉強会資料ドコモ特有の悪かったポイント②: 過去事例を共有せず • みずほ、りそなは2019/05に両行ともドコモ口座でぬかれてい
る • 当時はドコモ口座と銀行口座間の名義が同一でなくても、口座連携できたらしい(！！） • まあ、共有したところで… 不正ログイン実はやられた事例あります　　　やられました　2019/05 　　　聞いてない... 　　　普通は業界横断組織内に共有　　　他社で起こったこと　　事例は聞いてない 2020/09/16 docomo みずほ銀行りそな銀行七十七銀行ゆうちょ銀行

© 2020 LayerX Inc. 社内勉強会資料ドコモ特有の悪かったポイント②: 過去事例を共有せず • みずほ、りそなは2019/05に両行ともドコモ口座でぬかれてい
る • 当時はドコモ口座と銀行口座間の名義が同一でなくても、口座連携できたらしい(！！） • まあ、共有したところで… 不正ログイン実はやられた事例ありますやられました 2019/05 きいてないんだけど？・・・こうでーす 9/15 普通はこういう業界横断組織で共有業界の（良い）慣習を、事業提携者そして業界新規参入者が知らない、したがわない（かったかもしれない） - アンバンドリングされた結果、参入してきたプレイヤーとも適切なガバナンス体制を構築していく docomo みずほ銀行りそな銀行七十七銀行ゆうちょ銀行

© 2020 LayerX Inc. 社内勉強会資料 • 被害者への真摯な対応が求められるのに、お互いに責任をなすりつけあうことで、最終的にSNS書き込み ->
全国ニュースに発展。 • 総務省のフライングを許して、さらに不安を煽ることに • 被害者の不安がSNSに暴露される前に、事業社と銀行側で適切に調査・協議する体制がなかった • 被害者に不備があったと言いたいわけではないてーへんだ! てーへんだ! 被害状況はこうです 9/15 不正ログインやられたっぽいんだけど 9/3 SNSに投稿… 金融機関は調べて!!!! 9/11 銀行ちょっと確認してよ 9/8 ドコモ/ 銀行のせいのはず調査もしない 9/4 ・・・ ... 9/15 　状況確認中なのに... 決済機関も銀行もプロセス見直して　 9/15 てーへんだ! てーへんだ! 大変だ!!!! 大変だ!!! ドコモ/ 七十七銀行特有の悪かったポイント: 預金者からの連絡を無視（裏を取れず） docomo 七十七銀行

© 2020 LayerX Inc. 社内勉強会資料やられたっぽいんだけど俺たち、責任は別だけど、どっちの責任かわからない以上顧客のために協力して調査しよう
俺たち、責任は別だけどどっちの責任かわからないから協力して調査しようオレの責任じゃないと思うからあっちに聞いて!!! 責任分界点はあって然るべき。その上で、顧客にどう向き合うかドコモ/ 七十七銀行特有の悪かったポイント: 預金者からの連絡を無視（裏を取れず） doco mo docomo 七十七銀行七十七銀行

© 2020 LayerX Inc. 社内勉強会資料 • 被害者への真摯な対応が求められるのに、お互いに責任をなすりつけあうことで、最終的にSNS書き込み ->
全国ニュースに発展。 • 総務省のフライングを許して、さらに不安を煽ることに • 被害者の不安がSNSに暴露される前に、事業社と銀行側で適切に調査・協議する体制がなかった • 被害者に不備があったと言いたいわけではないてーへんだ! てーへんだ! 被害状況はこうでーす 9/15 不正ログインやられたっぽいんだけど 9/3 SNSに投稿… 金融機関は調べろ!!!! 9/11 銀行ちょっと確認してよ 9/8 https://www.asahi.com/articles/ASN9C451QN9CULFA00P.html 知らね、ドコモ/ 銀行のせいのはず調査もしない 9/4 今、状況確認中なんだが!!! 決済機関も銀行もプロセス見直して 9/15 ・・・こうでーす 9/15 https://www.nikkei.com/article/DGXMZO63847510V10C20A9EAF000/ てーへんだ! てーへんだ! てーへんだ!!!! てーへんだ!!! 銀行・ドコモともに顧客に対する態度が、自社の利益を最大化（リスクを最小化）する方向に向かい、相互連携がとれなかった - 顧客資産の保全が最重要課題であることを、ステークホルダー間で共通認識とする - 共通認識を持った上で責任分界点と連絡体制などを構成ドコモ/ 七十七銀行特有の悪かったポイント: 預金者からの連絡を無視（裏を取れず）

© 2020 LayerX Inc. 社内勉強会資料 SBI証券 <-> 銀行の話 • 入出金サービス
• 被害件数: 6口座 (1件がUFJ, 5件がゆうちょ) • 銀行数: 2件 • 被害総額: 9864万円（2020/09/17時点) • 時期: 2019/10~2020/09 • 顕在化したリスク(脆弱性 x 脅威): • なりすまし、不正使用 • 脆弱性情報 • 認証の不備 • 身元確認の不備 • 攻撃手法: 不明 • パスワードの推測や窃取？ • 攻撃経路: インターネット + 窓口

© 2020 LayerX Inc. 社内勉強会資料図 • 毀損されたポイント • 証券システムのログオン、口座設定、出金
• ログオンも取引時パスワードも↓雑魚 • 半角英数字6文字以上10文字以内 • 銀行のKYCプロセス(!!!) • キャッシュレスさーびすどころか、G-SIFSでもあるガチガチUFJが、やられている • 件数、金額、KYC突破状況から考えて、事前に標的を決めていたのでは？（個人の考え） • 標的がまだもっていない口座じゃないと、標的になりすまして口座を開設できない • 9864/6/120 = 13年分のNISA額/被害者なので、ある程度の資産を保持している対象になる（日本では少ないはず） • 良い子の皆はパスワードマネージャ使うんだよ… 不正ログイン銀行証券 ①証券利用者なりすまし認証 ①口座登録 ②出金口座設定 ③出金 0. 標的選別入出金システム ④不正送金

© 2020 LayerX Inc. 社内勉強会資料証券側のミス • 毀損されたポイント • 証券システムのログオン、口座設定、出金
• ログオンも取引時パスワードも↓雑魚 • 半角英数字6文字以上10文字以内 • 銀行のKYCプロセス(!!!) • キャッシュレスさーびすどころか、G-SIFSでもあるガチガチUFJが、やられている • 件数、金額、KYC突破状況から考えて、事前に標的を決めていたのでは？（個人の考え） • 標的がまだもっていない口座じゃないと、標的になりすまして口座を開設できない • 9864/6/120 = 13年分のNISA額/被害者なので、ある程度の資産を保持している対象になる（日本では少ないはず）不正ログイン銀行証券 ①証券利用者なりすまし認証 ①口座登録 ②出金口座設定 ③出金 0. 標的選別入出金システム両方パスワードだから覚えやすいのにしよ… 使いまわしちゃえ… （推測）良い子の皆はパスワードマネージャ使うんだ!!! ④不正送金

© 2020 LayerX Inc. 社内勉強会資料証券側のミス • 毀損されたポイント • 証券システムのログオン、口座設定、出金
• ログオンも取引時パスワードも↓雑魚 • 半角英数字6文字以上10文字以内 • 銀行のKYCプロセス(!!!) • キャッシュレスさーびすどころか、G-SIFSでもあるガチガチUFJが、やられている • 件数、金額、KYC突破状況から考えて、事前に標的を決めていたのでは？（個人の考え） • 標的がまだもっていない口座じゃないと、標的になりすまして口座を開設できない • 9864/6/120 = 13年分のNISA額/被害者なので、ある程度の資産を保持している対象になる（日本では少ないはず）不正ログイン銀行証券 ①証券利用者なりすまし認証 ①口座登録 ②出金口座設定 ③出金 0. 標的選別入出金システム良い子の皆はパスワードマネージャ使うんだ!!! ④不正送金両方パスワードだから覚えやすいのにしよ… 使いまわしちゃえ… （推測）これだけなら、不正ログイン・不正取引はありえるかもだが、（口座が本人のものであれば）不正出金はされない！

© 2020 LayerX Inc. 社内勉強会資料銀行側のミス（証券側でも起こりうる） • 毀損されたポイント • 証券システムのログオン、口座設定、出金
• ログオンも取引時パスワードも↓雑魚 • 半角英数字6文字以上10文字以内 • 銀行のKYCプロセス(!!!) • キャッシュレスさーびすどころか、G-SIBSでもあるガチガチUFJ が、やられている • 暗黙的な銀行の（本人確認）信頼度が崩れた • 証券口座と銀行口座の紐付けは、銀行側の身元確認照合が信頼できる前提でなりたっていた • 件数、金額、KYC突破状況から考えて、事前に標的を決めていたのでは？（個人の考え） • 標的がまだもっていない口座じゃないと、標的になりすまして口座を開設できない • 9864/6/120 = 13年分のNISA額/被害者なので、ある程度の資産を保持している対象になる（日本では少ないはず） • 良い子の皆はパスワードマネージャ使うんだよ… 不正ログイン銀行証券 ①証券利用者なりすまし認証 ①口座登録 ②出金口座設定 ③出金 0. 標的選別入出金システムなりすまし登録されちゃいました 2020/09/16 えっ？えっ？名義照合だけぢゃダメじゃん… 不正な口座への送金リスクだけ見ると、証券口座が本人以外の銀行口座に紐付けできるリスクの脆弱性のが優先度は高い（私見）セキュリティちゃんとコストかけてちゃんとやってます。だから本人確認情報をAPIでとれるようなビジネスも考えています。事業者えっ？銀行口座ってあんだけやって、不正登録されちゃうの？証券口座側の本人とは限らなくなっちゃうなら名義照合だけじゃダメじゃん… そうかも… じゃあ、名義照合だけでいいか… Before 2020/09/16 そうかも… じゃあ、名義照合だけでいいか… Before 2020/09/16 ④不正送金そうかも… じゃあ、名義照合だけでいいか… Before 2020/09/16 ゆうちょ UFJ

© 2020 LayerX Inc. 社内勉強会資料今回の攻撃はある程度特定の顧客しか狙ってなかった説 • 毀損されたポイント • 証券システムのログイン、口座設定、出金
• ログオンも取引時パスワードも↓雑魚 • 半角英数字6文字以上10文字以内 • 銀行のKYCプロセスへの信頼 • G-SIFSでもあるUFJさえ、不正登録されている • 件数、金額、KYC突破状況から考えて、事前に標的を決めていたのでは？（個人の考え） • 標的がまだもっていない口座じゃないと、標的になりすまして口座を開設できない • 9864/6/120 = 13年分のNISA額/被害者なので、ある程度の資産を保持している対象になる（日本では少ないはず） • 良い子の皆はパスワードマネージャ使うんだよ… 不正ログイン銀行証券 ①証券利用者なりすまし認証 ①口座登録 ②出金口座設定 ③出金 0. 標的選別入出金システム ④不正送金

© 2020 LayerX Inc. 社内勉強会資料図 • 毀損されたポイント • 証券システムのログオン、口座設定、出金
• ログオンも取引時パスワードも↓雑魚 • 半角英数字6文字以上10文字以内 • 銀行のKYCプロセス(!!!) • キャッシュレスさーびすどころか、G-SIFSでもあるガチガチUFJが、やられている • 件数、金額、KYC突破状況から考えて、事前に標的を決めていたのでは？（個人の考え） • 標的がまだもっていない口座じゃないと、標的になりすまして口座を開設できない • 9864/6/120 = 13年分のNISA額/被害者なので、ある程度の資産を保持している対象になる（日本では少ないはず） • 良い子の皆はパスワードマネージャ使うんだよ… 不正ログイン銀行証券 ①証券利用者なりすまし認証 ①口座登録 ②出金口座設定 ③出金 0. 標的選別入出金システム FATF的に考えると、他者に送金可能な銀行側のKYCが毀損されたのがまずい。これは資金移動業よりさらにインパクトがでかいし、証券側の不正ログインよりリスクがでかいと思われる（のに、何も続報がない） - 証券は口座連携する際に、銀行口座が不正登録されたものであることを勘案したリスク対策を建てる必要が発生 - なので、最初から2FAを用意して、送金時や口座設定・変更時に2FA側の認証をかけるなどをするのがコストが安い - でなければ、出金時の挙動からヒューリスティクスなモニタリングなどの統計的検知手法に頼らざるをえなくなる - とはいえ、銀行側も規模や予算、体制までまちまちであり、絶対にミスしない、ということはありえない - その前提にたちリスクアペタイトを考え、「銀行からの情報でも検証する」というTrust, But Verifyな姿勢にすべき

© 2020 LayerX Inc. 社内勉強会資料根本的に必要とされる仕組み銀行A 証券当人認証したよ、証明はこれだよ
検証しておｋそうだから銀行Aに出金していいよ身元確認したよ、証明はこれだよ。出金したい銀行にログインしてちょ。強い当人認証があるよ強い当人認証が出金と口座設定にかかってるよ

© 2020 LayerX Inc. 社内勉強会資料 - FATF的には送金行為が可能な銀行口座を、不正作成できるのが問題 - だが、不正ログイン・不正な取引・不正な口座との紐付けができてしまうのも当然よくない -
100%根本的な対応にはならないが、一定の努力はしなければならない - 努力例 - 二段階認証前提のシステム構築 - 資産の多い顧客の洗い出し - 既存顧客への適切なコミュニケーション - 出来る範囲での出金、口座設定状況のモニタリング一時的に証券側で必要とされる仕組み

© 2020 LayerX Inc. 社内勉強会資料証券ケース（左） vs 資金移動業者ケース（右）不正ログイン銀行
証券 ①証券利用者なりすまし認証 ①なりすまし口座登録 ③出金口座設定 ④出金 0. 標的選別入出金システム不正ログイン銀行事業者口振受付システムなりすまし登録銀行利用者なりすまし認証インターネットバンキング名義照合店舗で使うキャッシュカード名義照合送金送金

© 2020 LayerX Inc. 社内勉強会資料証券ケース（左） vs 資金移動業者ケース（右）不正ログイン銀行
証券 ①証券利用者なりすまし認証 ①なりすまし口座登録 ③出金口座設定 ④出金 0. 標的選別入出金システム不正ログイン銀行事業者口振受付システムなりすまし登録銀行利用者なりすまし認証インターネットバンキング名義照合店舗で使うキャッシュカード名義照合 -KYC的観点: 左は銀行のKYCを突破、右は未実施 -認証的観点: 左は証券のWeb認証を突破、右は銀行の口振受付システム認証を突破 -左は正常な口座の紐付けである以上、口座変更の通知や統計的分析を用いるなどの検知的手法以外は対応が難しい送金送金

© 2020 LayerX Inc. 社内勉強会資料様々な観点から学びがあるインシデント • 設計 • リスク評価の抜け漏れ
• 顧客対応 • 新規産業（キャッシュレス）と金融アンバンドリングによる不慣れなプレイヤーの参加 • 業務委託・業務提携先との目線合わせ • 複数事業者が関わる際の責任分界点 • 銀行 = 信頼できる、が崩壊した • たとえ銀行であっても、継続的にチェックする必要がある

© 2020 LayerX Inc. 社内勉強会資料再掲 • 今回のインシデントは、銀行と資金移動業者がキャッシュレス推進の波に乗り、リスクが顕在化してしまった例です • （キャッシュレスのような社会的イノベーションの前で、）伝統企業に代表される「レガシーだがセキュア」と考えられていた体制を見直す
きっかけになった • 伝統的な大企業や金融事業者の「信頼」という1つの機能がアンバンドリングされ、機能が新しいプレイヤーに広がるチャンスにもなります • 一方、信頼が損なわれることにより銀行での解約等が起こっており、取り付け騒ぎからの（国内）システミック・リスクに繋がってしまう可能性も否定はできなかった • 銀行が悪い、資金移動業が悪い、証券が悪い、という話ではなく、顧客の体験と資産を毀損した時点で、全ステークホルダーに責任があります • 本件は様々な種類の「他山の石」になりえる。皆さんご自身で「我々だったら何を学べたか」考えるきっかけになることを望みます • 今後、非金融事業者が金融事業者と金融サービスを提供する流れは今後十分に考えられる • そして、ステークホルダー間で「顧客の資産を保護するためにお互いどういう責任をはたしていくべきか」議論をし、責任を明確に分離・負いつつ、顧客本位を最優先に協力的な体制を整え、信頼を得られる金融サービスを提供するための準備ができるようになることを望みます

© 2020 LayerX Inc. 社内勉強会資料参考ページ一覧 https://www.chigin-cns.co.jp/services/web_service/index.php https://www.resonabank.co.jp/hojin/service/eb/urikakekin/webkouza/ https://www.meti.go.jp/press/2020/04/20200417002/20200417002.html https://www.nss-jp.com/wp-content/uploads/2020/02/web_koufuri_annnai.pdf
https://news.biglobe.ne.jp/it/0909/imn_200909_8151351951.html https://xtech.nikkei.com/atcl/nxt/column/18/00139/092400070/ https://novtan.hatenablog.com/entry/2020/09/10/095100 https://k-tai.watch.impress.co.jp/docs/news/1277576.html https://ideco-ipo-nisa.com/37391 https://news.yahoo.co.jp/articles/8160831fd281a4dc70ee7afd053d29e3c33d2aad https://www.fsa.go.jp/news/r2/sonota/20200915/20200915_01.pdf https://www.nikkei.com/article/DGXMZO63847510V10C20A9EAF000/ https://www.asahi.com/articles/ASN9C451QN9CULFA00P.html https://twitter.com/nattsurun/status/1301515369786605569 https://www.nikkei.com/article/DGXMZO63720510R10C20A9000000/ https://www.nikkei.com/article/DGXMZO63905840W0A910C2EE9000/ https://www.fsa.go.jp/news/r2/shouken/20200917.html

俺たちはマルチステークホルダー間のセキュリティインシデントから何を学ぶのか

俺たちはマルチステークホルダー間のセキュリティインシデントから何を学ぶのか

More Decks by Kengo Suzuki

Other Decks in Technology

Featured

Transcript