Upgrade to PRO for Only $50/Year—Limited-Time Offer! 🔥

俺たちはマルチステークホルダー間のセキュリティインシデントから何を学ぶのか

Kengo Suzuki
September 18, 2020

 俺たちはマルチステークホルダー間のセキュリティインシデントから何を学ぶのか

銀行 <-> 資金移動業者、銀行 <-> 証券会社で発生したセキュリティインシデントに関する社内向けの勉強会資料です。2020/09/18移行は基本的に追っていないため、最新でない可能性があります。
本件に関する指摘・コメントは @ken5scal までお願いします。

Kengo Suzuki

September 18, 2020
Tweet

More Decks by Kengo Suzuki

Other Decks in Technology

Transcript

  1. © 2020 LayerX Inc. 社内勉強会資料 社内勉強会資料 2020/09/18 @ken5scal LayerX Inc.

    俺たちはマルチステークホルダー間の セキュリティインシデントから何を学ぶの か(公開版) © 2020 LayerX Inc. 社内勉強会資料
  2. © 2020 LayerX Inc. 社内勉強会資料 Intro • 今回のインシデントは、銀行と資金移動業者がキャッシュレス推進の波に乗り、リスクが顕在化してしまった例です • (キャッシュレスのような社会的イノベーションの前で、)伝統企業に代表される「レガシーだがセキュア」と考えられていた体制を、事業社

    側が見つめ直す必要性が出たと考えられます • 伝統的な大企業や金融事業者の「信頼」という1つの機能がアンバンドリングされ、機能が新しいプレイヤーに広がるチャンスにもなりま す • 一方、信頼が損なわれることにより銀行での解約等が起こっており、取り付け騒ぎからの(国内)システミック・リスクに繋がってしまう可能 性も否定はできなかった • 銀行が悪い、資金移動業が悪い、証券が悪い、という話ではなく、顧客の体験と資産を毀損した時点で、全ステークホルダーに責任があ ります • 本件は様々な種類の「他山の石」になりえる。皆さんご自身で「我々だったら何を学べたか」考えるきっかけになることを望みます • 今後、非金融事業者が金融事業者と金融サービスを提供する流れは今後十分に考えられる • そして、ステークホルダー間で「顧客の資産を保護するためにお互いどういう責任をはたしていくべきか」議論をし、責任を明確に分離・ 負いつつ、顧客本位を最優先に協力的な体制を整え、信頼を得られる金融サービスを提供するための準備ができるようになることを望 みます
  3. © 2020 LayerX Inc. 社内勉強会資料 今回のスコープ • 資金移動業者 <-> 銀行間の話

    • M x Nパターンある話であるため、ある程度、モデルを簡素化しています。 • 地銀の話を整理してるときに、ゆうちょ銀行が出てきたので、ある程度、一緒にし て話ます (例: CNSとゆうちょの勘定系システムをほぼほぼ同じと見立てる等) • 資金移動業者側はドコモ口座を例にとります • 証券 <-> 銀行間の話
  4. © 2020 LayerX Inc. 社内勉強会資料 資金移動業者 <-> 銀行の話 (2020/09/15時点) • Web口振受付サービス

    • 被害件数: 120件 (うち6割がゆうちょ銀行) • 銀行数: 11件 • 被害総額: 2,542万円 • 時期: 2019/10~2020/09 • 顕在化したリスク(脆弱性 x 脅威): • なりすまし、不正使用 • 脆弱性情報 • 認証の不備 • 攻撃手法: 不明(未確定) • 攻撃経路: インターネット
  5. © 2020 LayerX Inc. 社内勉強会資料 Web口振受付サービス by 地銀ネットワークサービス • 口座振込関係の契約関係

    1. 収納企業 <-> 銀行 1. 口座振替の委託 2. 預金者 <-> 銀行 1. 料金等の支払い委託 3. 収納企業 <-> 預金者 1. 料金等の支払を預金口座振替 で行う合意 4. 収納企業 <-> CNS 1. Web口座振付利用規約 5. CNS <-> 銀行 1. 業務提携契約
  6. © 2020 LayerX Inc. 社内勉強会資料 Web口振受付サービス by 地銀ネットワークサービス ① •

    口座振込関係の契約関係 1. 収納企業 <-> 銀行 1. 口座振替の委託 2. 預金者 <-> 銀行 1. 料金等の支払い委託 3. 収納企業 <-> 預金者 1. 料金等の支払を預金口座振替 で行う合意 4. 収納企業 <-> CNS 1. Web口座振付利用規約 5. CNS <-> 銀行 1. 業務提携契約
  7. © 2020 LayerX Inc. 社内勉強会資料 Web口振受付サービス by 地銀ネットワークサービス • 口座振込関係の契約関係

    1. 収納企業 <-> 銀行 1. 口座振替の委託 2. 預金者 <-> 銀行 1. 料金等の支払い委託 3. 収納企業 <-> 預金者 1. 料金等の支払を預金口座振替 で行う合意 4. 収納企業 <-> CNS 1. Web口座振付利用規約 5. CNS <-> 銀行 1. 業務提携契約
  8. © 2020 LayerX Inc. 社内勉強会資料 Web口振受付サービス by 地銀ネットワークサービス • 口座振込関係の契約関係

    1. 収納企業 <-> 銀行 1. 口座振替の委託 2. 預金者 <-> 銀行 1. 料金等の支払い委託 3. 収納企業 <-> 預金者 1. 料金等の支払を預金口座振替 で行う合意 4. 収納企業 <-> CNS 1. Web口座振付利用規約 5. CNS <-> 銀行 1. 業務提携契約 ③
  9. © 2020 LayerX Inc. 社内勉強会資料 Web口振受付サービス by 地銀ネットワークサービス • 口座振込関係の契約関係

    1. 収納企業 <-> 銀行 1. 口座振替の委託 2. 預金者 <-> 銀行 1. 料金等の支払い委託 3. 収納企業 <-> 預金者 1. 料金等の支払を預金口座振替 で行う合意 4. 収納企業 <-> CNS 1. Web口座振付利用規約 5. CNS <-> 銀行 1. 業務提携契約 ④、⑤
  10. © 2020 LayerX Inc. 社内勉強会資料 クイズ! 今回問題が発生したポイントはどこ? • 口座振込関係の契約関係 1.

    収納企業 <-> 銀行 1. 口座振替の委託 2. 預金者 <-> 銀行 1. 料金等の支払い委託 3. 収納企業 <-> 預金者 1. 料金等の支払を預金口座振替 で行う合意 4. 収納企業 <-> CNS 1. Web口座振付利用規約 5. CNS <-> 銀行 1. 業務提携契約
  11. © 2020 LayerX Inc. 社内勉強会資料 答え • 口座振込関係の契約関係 1. 収納企業

    <-> 銀行 1. 口座振替の委託 2. 預金者 <-> 銀行 1. 料金等の支払い委託 3. 収納企業 <-> 預金者 1. 料金等の支払を預金口座振替 で行う合意 4. 収納企業 <-> CNS 1. Web口座振付利用規約 5. CNS <-> 銀行 1. 業務提携契約 ③ 不正ログイン な り す ま し 登 録 なりすましログイン
  12. © 2020 LayerX Inc. 社内勉強会資料 簡略化 • 口座振込関係の契約関係 1. 収納企業

    <-> 銀行 1. 口座振替の委託 2. 預金者 <-> 銀行 1. 料金等の支払い委託 3. 収納企業 <-> 預金者 1. 料金等の支払を預金口座振替で行う 合意 4. 収納企業 <-> CNS 1. Web口座振付利用規約 5. CNS <-> 銀行 1. 業務提携契約 不正ログイン   銀行 事業者 Web 口振 受付 システム なりすまし登 録 銀行利用者 なりすまし認証 インターネット バンキング 名義 照合 店舗で使う キャッシュカード
  13. © 2020 LayerX Inc. 社内勉強会資料 大部分の収納企業・銀行で共通して発生しているミス • 事業者のミス • 弱い身元確認(Identity

    Assurance) • Kyash, paypayなど • 銀行のミス • 弱い当人認証(Authenticator Assurance Level) • 口座番号・名義 • 照合可能: リバートブルートフォースが疑われる理由(未確定) • 弱い秘密情報: • キャシュカードなどの4桁の暗証番号(4桁のパスワード) • 生年月日: ググったりすれば一瞬 • キャッシュカードの4桁の暗証番号を生年月日と同じにしないが 人どれだけいるのか • りそな、地銀、ゆうちょ(一部) 不正ログイン   銀行 事業者 Web 口振 受付 システム なりすまし登 録 銀行利用者 なりすまし認証 インターネット バンキング 名義 照合 店舗で使う キャッシュカード
  14. © 2020 LayerX Inc. 社内勉強会資料 身元確認と当人認証の違いって? • 身元確認(移動業の瑕疵) • 実体をシステム上のユーザー

    として登録し、ユーザーの認 証情報を発行する作業(いわ ゆるKYC) • 当人認証(銀行側の瑕疵) • ユーザーとして主張する実体 を、検証し、検証結果を連携し て、ユーザーセッションを発行 する作業 不正ログイン
  15. © 2020 LayerX Inc. 社内勉強会資料 事業者の身元確認で弱かったポイントはどこか • 銀行による「本人確認」実行済みであることに依拠していたところが多 い •

    例: CNSの本人確認情報提供サービス • もともとキャッシュレスは経産省の管轄 • なので、金融庁が推進していたFATF準拠をどの程度もとめられて いたか不明 • 事業者側(例: Line Pay)でも実施するところは増えていた • 実は、ドコモ(総務省管轄)は2020/09以前はしていた(後述) • 今回明るみになっていないが、弱いアイデンティティ連携で口座間を 連携している( Federation Assurance Levelの話) • 名前は不変でも一意でもないのに、名義照合に使われる • 連携に必要な情報一覧  銀行 事業者 口振 受付 システム なりすまし登録 銀行利用者 なりすまし認証 インターネット バンキング 名義 照合 店舗で使う キャッシュカード キャッシュレス GOGO 僕は 総務省管轄 AML/CFT 対応… docomo
  16. © 2020 LayerX Inc. 社内勉強会資料 • 銀行による「本人確認」実行済みであることに依拠していたところが多い • 例: CNSの本人確認情報提供サービス

    • もともとキャッシュレスは経産省の管轄 • なので、金融庁などが推進しているようなFATF対応などとは別 • 事業者側(例: Line Pay)でも実施するところは増えていた • 実は、ドコモ(総務省管轄)は2020/09以前はしていた(後述) • 今回明るみになっていないが、弱いアイデンティティ連携で口座間を連携して いる( Federation Assurance Levelの話) • 名前や生年月日は不変じゃないし、一意でもない • 連携に必要な情報一覧 • https://www.nss-jp.com/wp-content/uploads/2020/02/web_koufuri_a nnnai.pdf 事業者の身元確認で弱かったポイントはどこか 銀行 口振 受付 システム なりすまし登録 銀行利用者 なりすまし認証 インターネット バンキング 名義 照合 店舗で使う キャッシュカード - 名義一致しただけで送金可能になる身元確認手法のリスク評価の抜け漏れ - とはいえ、CNS等から「本人確認情報」を貰える!と言われたら、当時の銀行を信頼する 判断はある程度やむを得ないかもしれない - 事業的推進は経産省で、一方、規制は金融庁。その間でどのような規制がかけられてい るかは調べきれておらず 事業者 -(遺憾ながら)金融庁や全銀の発表から、事業者側もKYCが必要になる可能性がある -ただ、本人確認情報をAPIで渡してビジネス化しようとしていた銀行にも痛手
  17. © 2020 LayerX Inc. 社内勉強会資料 • ローカル認証 vs リモート認証 •

    キャッシュカードへ物理アクセスが必要 + 認証されるまでの経路がPoS端末だけ -> ローカル認証 • 悪者がウヨウヨいるのでローカル認証の実装が使えるけど使ってはいけない -> リモート認証 • 昭和で地銀向けに提供されていた本来、弱い認証を選べてしまうシステム • なぜ、今まで問題にならなかったかは不明 • 大事になってない、顧客と直接対応して表に出てない可能性はある • インターネットバンキングつくったタイミング & 数年以内に統合するのが筋 • でも残っちゃった。銀行とNTTデータ間でどのようなやり取りがあったか不明 • (妄想)NTTデータ「やったほうがよくないすか?」銀行「お金ない。判断できない」-> FIN • キャッシュレス大航海時代到来! でも、スタートアップはCAFISつなぐための体力も時間もない… • キャッシュレス事業社「Webの入り口があるCNSとかどうよ」ということで事例が増える • 流行 + お金があるということは、それを狙って攻撃者(リスク)もやってくる… • 本来は、銀行側がWeb口振受付の契約を申し込む収納企業が審査・リスク評価するはず... • 銀行が気づきNTTデータに相談したかは不明 • また、NTTデータが気づかないわけないが、そのときにNTTデータと銀行間で、そのようなやりとりがあっ たかは不明 • ドコモや7payだって気づけたはずだが… キャッシュレス消費者還元施策するよ!!! 9/15 銀行の認証で弱かったポイントはどこか 銀行 事業者 Web 口振 受付 システム なりすまし登録 銀行利用者 なりすまし認証 インターネット バンキング 口座に対するネットワーク経由での認証 店舗で使う キャッシュカード 名義 照合 物理的な認証 提供 「松」「竹」「梅」といった具合に セキュリティー強度の異なる選 択肢が用意 NTT DATA
  18. © 2020 LayerX Inc. 社内勉強会資料 … 9/15 銀行 事業者 Web

    口振 受付 システム なりすまし登録 銀行利用者 なりすまし認証 インターネット バンキング 口座に対するネットワーク経由での認証 店舗で使う キャッシュカード 名義 照合 物理的な認証 提供 … 9/15 銀行の認証で弱かったポイントはどこか (Web口振受付でゆうちょの2段階認証を実装したので) 事業者に2段階認証の対応してと強く要望していた。 実装の問題などで、合意には至らなかった 09/16 認識の 食い違い。 が、自組織のシステム に対するリスク評価は 銀行の領域 NTT DATA ゆうちょ銀行 LINE Pay   依頼がなかったと認識 9月17日までに口座登録時に 二要素認証が導入される予定 他の資金移動業者
  19. © 2020 LayerX Inc. 社内勉強会資料 キャッシュレス消費者還元施策するよ!!! 9/15 銀行の認証で弱かったポイントはどこか • ローカル認証

    vs リモート認証 • キャッシュカードへ物理アクセスが必要 + 認証されるまでの経路がPoS端末だけ、ということでローカ ル認証 • ネットワーク経路は悪者がウヨウヨいるのでローカル認証の実装が使えるからと言って、使ってはい けない • 元々、昭和で地銀向けに提供されていて、 本来、弱い認証を持つシス テム • インターネットバンキングつくって数年以内に統合するのが筋 • でも残っちゃった。銀行とNTTデータ間でどのようなやり取りがあったか不明 • NTTデータ「やらなくていっすか?」銀行「お金ない」Fin… • キャッシュレス推進! でも、startupsはCAFISつなぐための体力も時間もないということで2019年に流行 • 流行 + お金があるということは、それを狙って攻撃者(リスク)もやってくる… • 本来は、銀行側がリスク評価して「いや、ちょっとまって」と言わないといけなかった • 銀行が気づきNTTデータに相談したかは不明 • また、どっかのタイミングでNTTデータは気づかないわけないが、そのときにNTTデータと銀行間で、 そのようなやりとりがあったかお不明 銀行 事業者 口振 受付 システム なりすまし登録 銀行利用者 なりすまし認証 インターネット バンキング 口座に対するネットワーク経由での認証 店舗で使う キャッシュカード 名義 照合 物理的な認証 https://news.biglobe.ne.jp/it/0909/imn_200909_8151351951.html https://www.resonabank.co.jp/hojin/service/eb/urikakekin/webkouza/ https://novtan.hatenablog.com/entry/2020/09/10/095100 提供 - 認証の口を複数つくってしまう、全体システム設計上の悪手 ローカル認証をインターネット認証に適用する、認証設計上の悪手 - 認証の口を統合しない、ロードマップ設計上の悪手 - 社会的変化にリスク再評価をしなかった、あるいは誤評価した - 銀行側と事業社側の認識のちがい -「銀行はレガシーだけどセキュア」神話の崩壊 - 銀行というシステムへのトラストがアンバンドリングされた
  20. © 2020 LayerX Inc. 社内勉強会資料 ドコモ口座特有の悪かったポイント①: 身元確認の必要のないパスを作った • 2019/09からd払いウオレット機能としてスタート •

    出金・送金はできないけど、口座内のお金で(足のつか ない)価値交換は可能 • 銀行と口座振替する契約を結ぶ際に、どのような前提 で同意していたか不明 • また、身元確認のないd口座設立をはじめたタイミング で、どのようなやりとりがあったかも不明 • 会見によると、ドコモから担当者ベースで各銀行担当 者に連携はした模様。どれくらいカバーできたかは不 明 • 銀行担当者がどのような判断をしたかも不明 • システムを請負うNTTデータに連携したかも不明 不正ログイン d口座 作りたい (回線認証による)身元 確認が必要な d垢もってたらいいよ d口座 作りたい 身元確認 なしでもサービス 登録できるようにする (2019/09以降) (回線認証による)本人 確認が必要な d垢もってたらいいよ Web口座振替 できるように しようず 2019/05 (確認した・ 確認してないかは 不明) https://www.77bank.co.jp/pdf/newsrelease/19052901_dcmyknchaj.pdf キャッシュレス消費者還元施策するよ!!! 9/15 docomo 七十七銀行
  21. © 2020 LayerX Inc. 社内勉強会資料 ドコモ口座特有の悪かったポイント①: 身元確認の必要のないパスを作った • 2019/09からd払いウオレット機能としてスタート •

    出金・送金はできないけど、口座内のお金で(足のつか ない)価値交換は可能 • 銀行と口座振替する契約を結ぶ際に、どのような前提 で同意していたか不明 • また、身元確認のないd口座設立をはじめたタイミング で、どのようなやりとりがあったかも不明 • 会見によると、ドコモから担当者ベースで各銀行担当 者に連携はした模様。どれくらいカバーできたかは不 明 • 銀行担当者がどのような判断をしたかも不明 • システムを請負うNTTデータに連携したかも不明 不正ログイン d口座 作りたい (回線認証による)身元 確認が必要な d垢もってたらいいよ d口座 作りたい 身元確認 なしでもサービス 登録できるようにする (2019/09以降) (回線認証による)本人 確認が必要な d垢もってたらいいよ Web口座振替 できるように しようず 2019/05 は? https://www.77bank.co.jp/pdf/newsrelease/19052901_dcmyknchaj.pdf キャッシュレス消費者還元施策するよ!!! 9/15 - 社会的変革の圧力に屈し、セキュリティをデグレさせることを許容した - 結果的にパートナーのセキュリティについて追跡できなかった(銀行側) - 変革に強い(resilient)セキュリティが必須 - パートナーリレーションも含めたセキュリティ体制の必要性 docomo
  22. © 2020 LayerX Inc. 社内勉強会資料 ドコモ特有の悪かったポイント②: 過去事例を共有せず • みずほ、りそなは2019/05に両 行ともドコモ口座でぬかれてい

    る • 当時はドコモ口座と銀行口座 間の名義が同一でなくても、口 座連携できたらしい(!!) • まあ、共有したところで… 不正ログイン 実はやられた事 例あります    やられました  2019/05    聞いてない...     普通は業界横断組織内 に共有    他社で起こったこと  事 例は聞いてない 2020/09/16 docomo みずほ銀行 りそな銀行 七十七銀行 ゆうちょ銀行
  23. © 2020 LayerX Inc. 社内勉強会資料 ドコモ特有の悪かったポイント②: 過去事例を共有せず • みずほ、りそなは2019/05に両 行ともドコモ口座でぬかれてい

    る • 当時はドコモ口座と銀行口座 間の名義が同一でなくても、口 座連携できたらしい(!!) • まあ、共有したところで… 不正ログイン 実はやられた事 例あります やられました 2019/05 きいてないんだけど? ・・・ こうでーす 9/15 普通はこういう業界横 断組織で共有 業界の(良い)慣習を、事業提携者そして業界新規参入者 が知らない、したがわない(かったかもしれない) - アンバンドリングされた結果、参入してきたプレイヤーとも適切なガバナンス体制を構築してい く docomo みずほ銀行 りそな銀行 七十七銀行 ゆうちょ銀行
  24. © 2020 LayerX Inc. 社内勉強会資料 • 被害者への真摯な対応が求められるのに、お互い に責任をなすりつけあうことで、最終的にSNS書き 込み ->

    全国ニュースに発展。 • 総務省のフライングを許して、さらに不安を煽るこ とに • 被害者の不安がSNSに暴露される前に、事業社と 銀行側で適切に調査・協議する体制がなかった • 被害者に不備があったと言いた いわけではない てーへんだ! てーへんだ! 被害状況は こうです 9/15 不正ログイン やられたっ ぽいんだけど 9/3 SNSに投稿… 金融機関は 調べて!!!! 9/11 銀行ちょっと 確認してよ 9/8 ドコモ/ 銀行のせいのはず 調査もしない 9/4 ・・・ ... 9/15  状況確認中なのに... 決済機関も銀行もプロセス 見直して  9/15 てーへんだ! てーへんだ! 大変だ!!!! 大変だ!!! ドコモ/ 七十七銀行 特有の悪かったポイント: 預金者からの連絡を無視(裏を取れず) docomo 七十七銀行
  25. © 2020 LayerX Inc. 社内勉強会資料 やられたっ ぽいんだけど 俺たち、責任は別だけど、 どっちの責任かわからない以上 顧客のために協力して調査しよう

    俺たち、責任は別だけど どっちの責任かわからないから 協力して調査しよう オレの責任じゃないと思うから あっちに聞いて!!! 責任分界点はあって然るべき。 その上で、顧客にどう向き合うか ドコモ/ 七十七銀行 特有の悪かったポイント: 預金者からの連絡を無視(裏を取れず) doco mo docomo 七十七銀行 七十七銀行
  26. © 2020 LayerX Inc. 社内勉強会資料 • 被害者への真摯な対応が求められるのに、お互い に責任をなすりつけあうことで、最終的にSNS書き 込み ->

    全国ニュースに発展。 • 総務省のフライングを許して、さらに不安を煽るこ とに • 被害者の不安がSNSに暴露される前に、事業社と 銀行側で適切に調査・協議する体制がなかった • 被害者に不備があったと言いた いわけではない てーへんだ! てーへんだ! 被害状況は こうでーす 9/15 不正ログイン やられたっ ぽいんだけど 9/3 SNSに投稿… 金融機関は 調べろ!!!! 9/11 銀行ちょっと 確認してよ 9/8 https://www.asahi.com/articles/ASN9C451QN9CULFA00P.html 知らね、ドコモ/ 銀行のせいのはず 調査もしない 9/4 今、状況確認中なんだが!!! 決済機関も銀行もプロセス見直して 9/15 ・・・ こうでーす 9/15 https://www.nikkei.com/article/DGXMZO63847510V10C20A9EAF000/ てーへんだ! てーへんだ! てーへんだ!!!! てーへんだ!!! 銀行・ドコモともに顧客に対する態度が、 自社の利益を最大化(リスクを最小化)する 方向に向かい、相互連携がとれなかった - 顧客資産の保全が最重要課題であることを、ステークホルダー間で共通認識とする - 共通認識を持った上で責任分界点と連絡体制などを構成 ドコモ/ 七十七銀行 特有の悪かったポイント: 預金者からの連絡を無視(裏を取れず)
  27. © 2020 LayerX Inc. 社内勉強会資料 SBI証券 <-> 銀行の話 • 入出金サービス

    • 被害件数: 6口座 (1件がUFJ, 5件がゆうちょ) • 銀行数: 2件 • 被害総額: 9864万円(2020/09/17時点) • 時期: 2019/10~2020/09 • 顕在化したリスク(脆弱性 x 脅威): • なりすまし、不正使用 • 脆弱性情報 • 認証の不備 • 身元確認の不備 • 攻撃手法: 不明 • パスワードの推測や窃取? • 攻撃経路: インターネット + 窓口
  28. © 2020 LayerX Inc. 社内勉強会資料 図 • 毀損されたポイント • 証券システムのログオン、口座設定、出金

    • ログオンも取引時パスワードも↓雑魚 • 半角英数字6文字以上10文字以内 • 銀行のKYCプロセス(!!!) • キャッシュレスさーびすどころか、G-SIFSでもあるガ チガチUFJが、やられている • 件数、金額、KYC突破状況から考えて、事前に標的を決め ていたのでは?(個人の考え) • 標的がまだもっていない口座じゃないと、標的になりすま して口座を開設できない • 9864/6/120 = 13年分のNISA額/被害者なので、ある程 度の資産を保持している対象になる(日本では少ないは ず) • 良い子の皆はパスワードマネージャ使うんだよ… 不正ログイン 銀行 証券 ①証券利用者 なりすまし認証 ①口座登録 ②出金口座 設定 ③出金 0. 標的選別 入出金 システム ④不正送金
  29. © 2020 LayerX Inc. 社内勉強会資料 証券側のミス • 毀損されたポイント • 証券システムのログオン、口座設定、出金

    • ログオンも取引時パスワードも↓雑魚 • 半角英数字6文字以上10文字以内 • 銀行のKYCプロセス(!!!) • キャッシュレスさーびすどころか、G-SIFSでもある ガチガチUFJが、やられている • 件数、金額、KYC突破状況から考えて、事前に標的を 決めていたのでは?(個人の考え) • 標的がまだもっていない口座じゃないと、標的になり すまして口座を開設できない • 9864/6/120 = 13年分のNISA額/被害者なので、あ る程度の資産を保持している対象になる(日本では 少ないはず) 不正ログイン 銀行 証券 ①証券利用者 なりすまし認証 ①口座登録 ②出金口座 設定 ③出金 0. 標的選別 入出金 システム 両方パスワードだから 覚えやすいのにしよ… 使いまわしちゃえ… (推測) 良い子の皆はパスワードマネージャ 使うんだ!!! ④不正送金
  30. © 2020 LayerX Inc. 社内勉強会資料 証券側のミス • 毀損されたポイント • 証券システムのログオン、口座設定、出金

    • ログオンも取引時パスワードも↓雑魚 • 半角英数字6文字以上10文字以内 • 銀行のKYCプロセス(!!!) • キャッシュレスさーびすどころか、G-SIFSでもある ガチガチUFJが、やられている • 件数、金額、KYC突破状況から考えて、事前に標的を 決めていたのでは?(個人の考え) • 標的がまだもっていない口座じゃないと、標的になり すまして口座を開設できない • 9864/6/120 = 13年分のNISA額/被害者なので、あ る程度の資産を保持している対象になる(日本では 少ないはず) 不正ログイン 銀行 証券 ①証券利用者 なりすまし認証 ①口座登録 ②出金口座 設定 ③出金 0. 標的選別 入出金 システム 良い子の皆はパスワードマネージャ 使うんだ!!! ④不正送金 両方パスワードだから 覚えやすいのにしよ… 使いまわしちゃえ… (推測) これだけなら、不正ログイン・不正取引はありえるかもだが、 (口座が本人のものであれば)不正出金はされない!
  31. © 2020 LayerX Inc. 社内勉強会資料 銀行側のミス(証券側でも起こりうる) • 毀損されたポイント • 証券システムのログオン、口座設定、出金

    • ログオンも取引時パスワードも↓雑魚 • 半角英数字6文字以上10文字以内 • 銀行のKYCプロセス(!!!) • キャッシュレスさーびすどころか、G-SIBSでもあるガチガチUFJ が、やられている • 暗黙的な銀行の(本人確認)信頼度が崩れた • 証券口座と銀行口座の紐付けは、銀行側の身元確認照合が信頼 できる前提でなりたっていた • 件数、金額、KYC突破状況から考えて、事前に標的を決めていたので は?(個人の考え) • 標的がまだもっていない口座じゃないと、標的になりすまして口座を 開設できない • 9864/6/120 = 13年分のNISA額/被害者なので、ある程度の資産を 保持している対象になる(日本では少ないはず) • 良い子の皆はパスワードマネージャ使うんだよ… 不正ログイン 銀行 証券 ①証券利用者 なりすまし認証 ①口座登録 ②出金口座 設定 ③出金 0. 標的選別 入出金 システム なりすまし 登録されちゃいました 2020/09/16 えっ? えっ? 名義照合だけぢゃ ダメじゃん… 不正な口座への送金リスクだけ見ると、 証券口座が本人以外の 銀行口座に紐付けできるリスクの 脆弱性のが優先度は高い (私見) セキュリティちゃんとコストかけて ちゃんとやってます。 だから本人確認情報をAPIでとれるような ビジネスも考えています。 事業者 えっ? 銀行口座ってあんだけやって、不正登録されちゃうの? 証券口座側の本人とは限らなくなっちゃうなら 名義照合だけじゃダメじゃん… そうかも… じゃあ、名義照合だけでいいか… Before 2020/09/16 そうかも… じゃあ、名義照合だけでいいか… Before 2020/09/16 ④不正送金 そうかも… じゃあ、名義照合だけでいいか… Before 2020/09/16 ゆうちょ UFJ
  32. © 2020 LayerX Inc. 社内勉強会資料 今回の攻撃はある程度特定の顧客しか狙ってなかった説 • 毀損されたポイント • 証券システムのログイン、口座設定、出金

    • ログオンも取引時パスワードも↓雑魚 • 半角英数字6文字以上10文字以内 • 銀行のKYCプロセスへの信頼 • G-SIFSでもあるUFJさえ、不正登録されている • 件数、金額、KYC突破状況から考えて、事前に標的を決め ていたのでは?(個人の考え) • 標的がまだもっていない口座じゃないと、標的になりすま して口座を開設できない • 9864/6/120 = 13年分のNISA額/被害者なので、ある程 度の資産を保持している対象になる(日本では少ないは ず) • 良い子の皆はパスワードマネージャ使うんだよ… 不正ログイン 銀行 証券 ①証券利用者 なりすまし認証 ①口座登録 ②出金口座 設定 ③出金 0. 標的選別 入出金 システム ④不正送金
  33. © 2020 LayerX Inc. 社内勉強会資料 図 • 毀損されたポイント • 証券システムのログオン、口座設定、出金

    • ログオンも取引時パスワードも↓雑魚 • 半角英数字6文字以上10文字以内 • 銀行のKYCプロセス(!!!) • キャッシュレスさーびすどころか、G-SIFSでもあるガ チガチUFJが、やられている • 件数、金額、KYC突破状況から考えて、事前に標的を決め ていたのでは?(個人の考え) • 標的がまだもっていない口座じゃないと、標的になりすま して口座を開設できない • 9864/6/120 = 13年分のNISA額/被害者なので、ある程 度の資産を保持している対象になる(日本では少ないは ず) • 良い子の皆はパスワードマネージャ使うんだよ… 不正ログイン 銀行 証券 ①証券利用者 なりすまし認証 ①口座登録 ②出金口座 設定 ③出金 0. 標的選別 入出金 システム FATF的に考えると、他者に送金可能な銀行側のKYCが毀損されたのがまずい。 これは資金移動業よりさらにインパクトがでかいし、証券側の不正ログインより リスクがでかいと思われる(のに、何も続報がない) - 証券は口座連携する際に、銀行口座が不正登録されたものであることを勘案したリスク対策を建てる必要が発生 - なので、最初から2FAを用意して、送金時や口座設定・変更時に2FA側の認証をかけるなどをするのがコストが安い - でなければ、出金時の挙動からヒューリスティクスなモニタリングなどの統計的検知手法に頼らざるをえなくなる - とはいえ、銀行側も規模や予算、体制までまちまちであり、絶対にミスしない、ということはありえない - その前提にたちリスクアペタイトを考え、「銀行からの情報でも検証する」というTrust, But Verifyな姿勢にすべき
  34. © 2020 LayerX Inc. 社内勉強会資料 根本的に必要とされる仕組み 銀行A 証券 当人認証したよ、 証明はこれだよ

    検証しておkそうだから 銀行Aに出金していいよ 身元確認したよ、 証明はこれだよ。 出金 したい 銀行にログインしてちょ。 強い当人認証があるよ 強い当人認証が 出金と口座設定 にかかってるよ
  35. © 2020 LayerX Inc. 社内勉強会資料 - FATF的には送金行為が可能な銀行口座を、不正作成できるのが問題 - だが、不正ログイン・不正な取引・不正な口座との紐付けができてしまうのも当然よくない -

    100%根本的な対応にはならないが、一定の努力はしなければならない - 努力例 - 二段階認証前提のシステム構築 - 資産の多い顧客の洗い出し - 既存顧客への適切なコミュニケーション - 出来る範囲での出金、口座設定状況のモニタリング 一時的に証券側で必要とされる仕組み
  36. © 2020 LayerX Inc. 社内勉強会資料 証券ケース(左) vs 資金移動業者ケース(右) 不正ログイン 銀行

    証券 ①証券利用者 なりすまし認証 ①なりすまし口座登録 ③出金口座設定 ④出金 0. 標的選別 入出金 システム 不正ログイン 銀行 事業者 口振 受付 システム なりすまし登録 銀行利用者 なりすまし認証 インターネット バンキング 名義 照合 店舗で使う キャッシュカード 名義 照合 送金 送金
  37. © 2020 LayerX Inc. 社内勉強会資料 証券ケース(左) vs 資金移動業者ケース(右) 不正ログイン 銀行

    証券 ①証券利用者 なりすまし認証 ①なりすまし口座登録 ③出金口座設定 ④出金 0. 標的選別 入出金 システム 不正ログイン 銀行 事業者 口振 受付 システム なりすまし登録 銀行利用者 なりすまし認証 インターネット バンキング 名義 照合 店舗で使う キャッシュカード 名義 照合 -KYC的観点: 左は銀行のKYCを突破、右は未実施 -認証的観点: 左は証券のWeb認証を突破、右は銀行の口振受付システム認証を突破 -左は正常な口座の紐付けである以上、口座変更の通知や統計的分析を用いるなどの検知 的手法以外は対応が難しい 送金 送金
  38. © 2020 LayerX Inc. 社内勉強会資料 様々な観点から学びがあるインシデント • 設計 • リスク評価の抜け漏れ

    • 顧客対応 • 新規産業(キャッシュレス)と金融アンバンドリングによる不慣れなプレイヤーの参加 • 業務委託・業務提携先との目線合わせ • 複数事業者が関わる際の責任分界点 • 銀行 = 信頼できる、が崩壊した • たとえ銀行であっても、継続的にチェックする必要がある
  39. © 2020 LayerX Inc. 社内勉強会資料 再掲 • 今回のインシデントは、銀行と資金移動業者がキャッシュレス推進の波に乗り、リスクが顕在化してしまった例です • (キャッシュレスのような社会的イノベーションの前で、)伝統企業に代表される「レガシーだがセキュア」と考えられていた体制を見直す

    きっかけになった • 伝統的な大企業や金融事業者の「信頼」という1つの機能がアンバンドリングされ、機能が新しいプレイヤーに広がるチャンスにもなりま す • 一方、信頼が損なわれることにより銀行での解約等が起こっており、取り付け騒ぎからの(国内)システミック・リスクに繋がってしまう可能 性も否定はできなかった • 銀行が悪い、資金移動業が悪い、証券が悪い、という話ではなく、顧客の体験と資産を毀損した時点で、全ステークホルダーに責任があ ります • 本件は様々な種類の「他山の石」になりえる。皆さんご自身で「我々だったら何を学べたか」考えるきっかけになることを望みます • 今後、非金融事業者が金融事業者と金融サービスを提供する流れは今後十分に考えられる • そして、ステークホルダー間で「顧客の資産を保護するためにお互いどういう責任をはたしていくべきか」議論をし、責任を明確に分離・ 負いつつ、顧客本位を最優先に協力的な体制を整え、信頼を得られる金融サービスを提供するための準備ができるようになることを望 みます
  40. © 2020 LayerX Inc. 社内勉強会資料 参考ページ一覧 https://www.chigin-cns.co.jp/services/web_service/index.php https://www.resonabank.co.jp/hojin/service/eb/urikakekin/webkouza/ https://www.meti.go.jp/press/2020/04/20200417002/20200417002.html https://www.nss-jp.com/wp-content/uploads/2020/02/web_koufuri_annnai.pdf

    https://news.biglobe.ne.jp/it/0909/imn_200909_8151351951.html https://xtech.nikkei.com/atcl/nxt/column/18/00139/092400070/ https://novtan.hatenablog.com/entry/2020/09/10/095100 https://k-tai.watch.impress.co.jp/docs/news/1277576.html https://ideco-ipo-nisa.com/37391 https://news.yahoo.co.jp/articles/8160831fd281a4dc70ee7afd053d29e3c33d2aad https://www.fsa.go.jp/news/r2/sonota/20200915/20200915_01.pdf https://www.nikkei.com/article/DGXMZO63847510V10C20A9EAF000/ https://www.asahi.com/articles/ASN9C451QN9CULFA00P.html https://twitter.com/nattsurun/status/1301515369786605569 https://www.nikkei.com/article/DGXMZO63720510R10C20A9000000/ https://www.nikkei.com/article/DGXMZO63905840W0A910C2EE9000/ https://www.fsa.go.jp/news/r2/shouken/20200917.html