スマホ社会はなぜ生きにくいか ⑤

続き：

4.　本人確認

7月　米国ツイッター社の認証済み有名人アカウント多数で乗っ取り詐欺

7月　米国量子コンピュータ対抗用の次世代暗号規格の最終段階候補発表

7月　米国議会が巨大IT企業4社の独禁法問題公聴会

8月　米国アップル、グーグルがスマホゲーム「フォートナイト」を配信ストアから削除

8月　米国大統領選挙候補者が正式決定

9月　在宅勤務の社内ネット接続用の仮想私設網ログイン情報が多数企業で流出

9月　ドコモ連携のゆうちょ銀行口座他から不正出金判明

　2020年春頃のキャッシュレス決済の開始手順は次の通りである。要点は銀行口座との連携手続きで、連携手続きは銀行ごとに異なっていた。一つの銀行では、口座番号とキャッシュカードの四桁暗証番号で連携できると書いてあった。通常の銀行オンライン取引と比べて簡単であった。

■スマホ決済と不正出金攻撃

　スマホのQRコードキャッシュレス決済サービスを運営する決済事業者はしばしば外部からの攻撃を受ける。2018年にはクレジットカード登録時の三桁セキュリティーコードの入力回数無制限や流出済み利用で攻撃を受け、事業者はカード本人確認を強化した。2019年には本人確認がゆるい事業者が決済事業から撤退した。パスワードをリセットする際に、事前登録したメールアドレス以外の任意メールアドレスへの送信を許したためである。撤退した事業者は会見で安全性の第三者審査にも合格したと語っていたという。

　2020年9月、通信事業者と連携先銀行の両方で本人確認がゆるいところが攻撃された。その結果、通信事業者のキャッシュレス決済と無関係に、銀行口座を持っている人の口座から不正出金が発生した。

　攻撃方法は、フィッシング詐欺で得た正確な個人情報が、頻出パスワードを制限回数内のみ試す逆総当たり攻撃だろうと伝えられた。

■なりすまし

　2013年のことだが、通信社の短文投稿サイトの公式アカウントが乗っ取られ、「ホワイトハウスで爆発2回、大統領負傷」という虚偽と投稿が発信された。株価は急落し時価総額13.5兆円が消滅したという。訂正投稿は通信社の他のアカウントが行なった。この結果、短文投稿サイトでは、二段階（二要素）認証が採用され、利用者名とパスワードの入力時に、さらに利用者スマホに送られたコード入力を課すことが可能になった。

　二段階認証は有効だが、二段階認証を行なうニセのフィッシングサイトに誘導され、本物サイトと利用者の中間位置にいる攻撃者がメッセージを両方向に中継すると、攻撃は成功する。スイスなどの金融機関の口座で発生したので、チーズの名前を取ってエメンタール攻撃と呼ばれている。