■「銀行から１万４０００件の情報流出」を当事者目線で解説したい

出会い系サイト運営者と繋がりのある方より直接話を聞くことができました。

文才がないながらも出来るだけ当事者側からの目線で解説したいと思います。

先に言いますが、本件は出会い系サイト自身が被害者でもありますので、「出会い系サイトなんて全部サクラサイトだろ?」みたいな先入観をお持ちの方は一旦捨てて頂くと理解しやすいかと思います。真っ当に運営されている出会い系サイトが被害者です。

まず流出したであろう情報とは何なのか?

「残高照会ダイヤル」は、契約者が持つ口座の残高や、通帳に「印字されうる」取引明細も音声で知ることができます。例えば

「27-11-27 振込 フグタマスオ *30,000」

「27-11-30 振込 イソノカツオ *10,000」

このような入出金の取引を、音声で知ることができます。

もちろん契約者(契約団体)自身しかアクセスできないはずの情報なわけですが、この残高照会ダイヤルの操作において恐らくセキュリティホールがあり、かなり長い間第三者が通帳情報を知ることができていました。

ここから得ることのできる個人情報で、何が起こったのか?

振込をするときの「振込人名義」は、たいてい「フグタマスオ」のような人名か「カ)ウミヤマショウジ」のような社名です。ということは、通帳情報から漏れうるのは「誰が、どの口座に、何円振り込んだ」という情報になるはずです。

では、この流出した通帳情報だけを使って架空請求できるのかと言われても、恐らく何もできないはずです。

よほどレアな氏名でもない限り、氏名だけを悪用するのは難しいです。どこに住んでる人かも分からないですので。

「振込人名義」を知ったところで、本人と連絡の取りようがない。ここが重要です。

銀行の不祥事なのに、なぜ出会い系サイトとセットで報道される必要があったか?

この答えは最後にまとめますが、出会い系サイトでは、会員に対して「周りに秘密で、匿名で使える」ことをアピールするため「銀行振込をするときは名前の代わりに電話番号を入力すれば、それで照合しますよ」という案内をして利用料を支払わせる方法をとる場合が多いです。

「氏名の代わりに電話番号を書かせる」を実際にやると、通帳の情報はこうなります。

:

「27-11-27 振込 090xxxx3634 *10,000」

「27-11-30 振込 090xxxx2005 *30,000」

「27-11-30 振込 090xxxx3634 *10,000」

「27-11-30 振込 080xxxx2309 * 5,000」

:

つまり何が1万4000件あったのか?

「出会い系サイトにお金を払った人の入金履歴と電話番号」です。

同一人物が複数回振り込むことのほうが多いため、ユニークでは数千人であろうと推測します。これはスマホの重課金者の比率と大体同じと思って頂いていいかと思います。

どのように悪用されたと考えられるか?

上記のリストが「出会い系サイトの運営者ですらない第三者」に漏れました。

架空請求の被害者の話からすると、通帳の情報は恐らくかなり高い頻度で(1日に数十回以上)チェックされていたのではないかと思います。

:

「27-11-27 振込 090xxxx3634 *10,000」

「27-11-30 振込 090xxxx2005 *30,000」

「27-11-30 振込 090xxxx3634 *10,000」

「27-11-30 振込 080xxxx2309 * 5,000」

:

大事なのは「リアルタイム(新鮮)なデータを入手できていた可能性が高い」ということです。振り込め詐欺師であれば、この情報を使って巧みに話すことができます。

実際にあった架空請求の電話内容を教えてもらいましたので、以下に示します。

もしもし、ありがとうございます、出会いサイトのセンターの者ですが、つい先ほどご入金頂きました件です、ええ、今ちょっとだけお時間よろしいでしょうか。

お客様の携帯番号は090-xxxx-3634でお間違えなかったでしょうか。

お客様、11/27と11/30にそれぞれ1万円ずつ入金頂いておりますよね、ありがとうございます。

ただですね、入会金が未払いのままなんです。

入会金をお支払いただかないとせっかくご購入頂いたポイントがもうすぐ使えなくなっちゃうんですよ。

システムの都合でお客様に正しく伝わってないかもしれません、ご存じなかったとしたら申し訳ございません。

弊社のシステムはちゃんとした出会いを保証しておりまして、入会金5万円頂戴しているんですね。

今日中にお支払いただければ、今ご購入いただいたポイントはそのままお使い頂けますので、今すぐご入金頂けますか?

今から口座お伝えしますね。

序盤でパーソナルな内容を吹き込まれています。ほんの数時間～数日前の振込を知っているわけで、これはうっかり信用しちゃうのではないでしょうか。

出会い系サイト運営者は、セキュリティ面で何に心がけるべきだったか?

振り込め詐欺師にとって、最低限、詐欺を行うために必要なデータは、以下の3パターンです。

世の中のシステム管理者は覚えておくべきです。

以下のどれかを入手できれば振り込め詐欺師は詐欺を試すことができます。振り込め詐欺師にとって、氏名なんて全くいらないようです。

• 「電話番号と、その情報源」
• 「住所氏名と、その情報源」
• 「メルアドと、その情報源」

今回はここに「入金履歴」という非常にパーソナルな情報がセットで漏れました。素晴らしいデータです。出会い系サイトにお金を払う勇気のある人リストです。

これ一般企業でも、取引履歴の主キーに電話番号を使うようなリストを使ってる会社は超ヤバいですよね。

また、振込人名義に電話番号を書かせるシステムを採用しているECサイトなどは、出会い系サイトに限らず今回のようなセキュリティリスクを負うことになります。

実際に被害を受けた出会い系サイト運営者の顛末

情報源の方は2010年前後に出会い系サイトの運営を実際に行っていました。今回のような被害を2011年に受け、ネット上で「あのサイトは入会金の後払い請求をしてくる」と悪評が一気に広がってしまい、開設から1年半で閉鎖することになりました。

当時「振込履歴が流出してるらしいが、どこから流出しているかが分からない。出会い系システムのせいか?ショルダーハックか?」と騒動になったそうです。流出源として社員全員に疑いを掛けられ、社内の風通しも悪くなり、企業の対外関係にまで悪影響があったそうです。

運営者も指をくわえて眺めているわけではなく、色々な情報漏洩対策を検討しました。そんな中、

「架空請求被害を受けている人は銀行振込の経験者だけで、クレジットカード払いの人には架空請求が行われていないらしい。出会い系サイト自体がクラッキングされてるとしたら、カード払いの人にも架空請求するはずだ。なぜだろう。じゃあ試しに、出会い系に登録していない電話番号でわざと\3,000口座に振込んでみるか?」

という所に気付いた社員が現れました。

この条件で振込をしたところ、その20分後、実際にその番号に架空請求が来ました。

「システムがクラッキングされてるわけではなく、通帳の情報だけが漏洩しているぞ!」という所まで、なんとかこの企業は特定したのです。

あとは通帳の情報がどう漏洩したかのルートです。これが結局最後まで特定できませんでした。

最初は「無通帳口座であったとしても、国内の誰かが通帳を持っていて、定期的に記帳しているのではないか?」と銀行を疑いました。

しかし銀行からは「無通帳口座なのでどこかのATMで印字したログ的なものは一切ない」と一蹴され、この筋は無いということになりました。

最後まで、流出源の特定ができませんでした。

いずれにしても運営者は電話番号を振込人名義にするのをやめ、代わりに「振込む時は、あなたの会員IDを入力して下さい」などとし、IDの照合でポイントなどを購入させるようにシステムを改善しました。これにより架空請求の新たな発生がゼロになったようです。

架空請求がゼロになったことで、この企業は銀行に対するこれ以上の追及をしませんでした。

惜しかったのは「三菱東京UFJの口座だけが被害を受けている」という所まで突き詰めることができなかったことです。

ここからは推測かつ創作ですが。

新たな架空請求の発生を止めることはできても、すでに会員の信頼を失いきってしまった出会い系サイトの被害は甚大でした。

しかし、この運営者側から警察に被害届が出されることはありませんでした。

出会い系サイトだから、あまり警察のお世話になりたくない。そういう気持ちが働いたのではないかと思います。

振り込め詐欺師は、この微妙な所を逆手に取ったのではないかと推測します。

攻撃しても表沙汰にならなそうで都合のいい出会い系サイト口座だけを、意図的に狙ったのではないかと思うのです。

銀行の不祥事なのに、出会い系サイトとセットで語らないといけない根本的な理由はおそらくこのあたりですし、これが「残高照会ダイヤル」の不具合を長いこと放置することになった最大の要因ではないかと思います。

http://www3.nhk.or.jp/news/html/20151130/k10010324671000.html

http://www.bk.mufg.jp/news/news2015/pdf/news1130.pdf

Permalink | 記事への反応(9) | 16:26

ツイートシェア