1.ドコモの開放戦略に死角、被害は73件・2000万円弱に拡大(9.11 日経XTECH)
NTTドコモが電子決済サービス「ドコモ口座」でつまずいた。ドコモの通信回線を契約していない顧客に対する認証に甘さがあり、不正利用を許した。ドコモはポイントを軸に自社の回線契約者以外にもサービスを提供する「開放戦略」を推し進めてきたが、その死角を突かれた。
「不正利用の被害者の方々におわび申し上げると共に、お客様のほか、多数の皆様にご心配、ご迷惑をおかけしたことを深くおわびする」。2020年9月10日夕、ドコモの丸山誠治副社長は都内で開いた緊急記者会見でこう謝罪した。
不正利用の被害を受けたのは、ドコモ回線を契約していない顧客だった。犯人は被害者になりすましてドコモ口座を開設したうえで、不正に入手した口座情報を使ってドコモ口座と被害者の銀行口座をひも付けていた。その後、犯人は被害者の銀行口座からドコモ口座にお金をチャージし、商品などを購入していたとみられる。
ドコモは同社回線を契約していない顧客がドコモ口座を開設する際、メールを使った2段階認証を採用していたが、ここにセキュリティー上の甘さがあった。他人になりすまして、容易にドコモ口座を開設できたのだ。丸山副社長は「ドコモ口座の作成に当たって、我々の本人確認が不十分だった」と認める。
ドコモは9月10日、全35行を対象に、ドコモ口座と銀行口座の新規のひも付けを停止した。一部銀行では新規口座の登録だけでなく、銀行口座からドコモ口座へのチャージ機能も取りやめた。
9月11日午前0時時点で、被害件数は73件、被害総額は2000万円弱に達する。ドコモは「(被害者への)補償については、銀行と連携のうえ、全額を補償するよう真摯に対応したい」(丸山副社長)とした。
再発防止に向けては、ドコモ回線を契約していない顧客がドコモ口座を開設する際にSMS(ショート・メッセージ・サービス)を使った2段階認証を導入する。さらに9月末に、オンライン上での本人確認の仕組みを指す「eKYC(electronic Know Your Customer)」の導入も予定している。
2.motetの猛威再び、攻撃メールを見破るポイントは差出人や署名にあり(9.11 日経XTECH)
2019年秋に大きな被害をもたらしたマルウエア「Emotet(エモテット)」が再び猛威を振るい始めた。セキュリティー組織やセキュリティーベンダーは相次いで注意を呼びかけている。Emotetは「進化」を続け、今では差出人の詐称や添付ファイルの暗号化などの危険な仕掛けを幾つも備えている。
「企業ネットワークへのアクセス権を販売する動きが見られる」。同社の岡本勝之セキュリティエバンジェリストは2020年上半期のサイバー犯罪の動向をこう説明する。攻撃者は何らかの方法で企業ネットワークに侵入してバックドアを構築し、そのバックドアを使う「権利」を販売したりレンタルしたりしているという。
岡本セキュリティエバンジェリストは「AaaSとEmotetは関係がある」と話す。攻撃者は、不特定多数に向けて同じ文面のなりすましメールを送り、マルウエアに感染させたりフィッシングサイトに誘導したりする「ばらまき型メール」でEmotetを拡散させている。メール受信者が誤って添付ファイルを実行するなどでEmotetに感染するとパソコンに保存されたメール内容やメールアドレスを盗まれ、その情報はネット上の指令サーバー(C&Cサーバー)に送られる。
最近のEmotetを使った攻撃では、情報を盗むだけでなく他のマルウエアやトロイの木馬ウイルスに感染させて企業のネットワークにバックドアを構築するケースがある。「他の犯罪者が侵入するという危険性がある」と岡本セキュリティエバンジェリストは警鐘を鳴らす。Emotetの感染を検知できなければ、Emotetを仕掛けた攻撃者だけでなくAaaSでアクセス権を購入した別の攻撃者にも不正アクセスを許してしまうというわけだ。
3.VPN装置からのパスワード大量流出、1年前の脆弱性が突かれたわけ(9.11 日経XTECH)
VPN装置のIDやパスワードが世界中の900社から流出する事件が発生した。脆弱性を抱えたまま運用していたVPN製品が攻撃を受けた。狙われた脆弱性は、VPN装置上の任意のファイルを外部から読み出せるもの。認証情報を平文で一時保存していたキャッシュファイルを読み取られた。日本企業も40〜80社が被害を受けたとみられる。
2020年8月上旬、世界のセキュリティー専門家の間に衝撃が走った。日本を含めて世界で普及しているVPN(仮想私設網)装置から、IDやパスワードなどの認証情報が大量に流出していたことが判明したからだ。
米国のIT専門メディア「ZDNet」が2020年8月4日(現地時間)にWeb版でいち早く報じた。ロシア語圏のハッカーが集まるフォーラムサイトにVPN装置のIDやパスワードなどの情報が掲載されたことから、流出が明らかになった。VPN装置のIPアドレスごとにIDやパスワードなどの認証情報がフォルダーに整理され、1つの圧縮ファイルにまとめられていた。悪用されれば、VPN経由で社内ネットワークに不正侵入される恐れがあった。
情報の流出元は米パルスセキュアのVPN装置「Pulse Connect Secure」や旧機種の「MAG」で「旧機種での被害が多い」(パルスセキュア日本法人)という。パルスセキュアは2014年、ネットワーク機器大手の米ジュニパーネットワークスからVPN事業を分社して設立した。
Pulse Connect Secureには2019年3月に脆弱性が発見され、同社は既にパッチを提供している。しかし脆弱性が放置されたまま運用されている製品が依然として多く、そうした製品が狙われたと見られる。
4.南都銀行が「日本初」の営業店端末全廃へ、窓口手続き減らす店舗改革(9.10 日経XTECH)
南都銀行は今後2年半をかけ営業店舗に配備した業務端末を原則全廃する。目指すのは窓口で書類手続きや現金の手渡しを大幅に減らす店舗改革だ。店舗の役割を顧客の課題解決にシフトし、相談窓口を充実させる。
奈良県を地盤とする南都銀行は2023年3月末までに、107ある全ての本支店を次世代店舗へと改修する計画だ。窓口での紙の書類や現金の取り扱いを減らしてバックオフィスを大幅に縮小し、その分を顧客向け相談窓口やコンサルティングのスペースに当てる。
一部の機能を先取りした新型の店舗は2019年4月から展開し、2020年8月時点で約30店まで広がった。これらの店舗では取引窓口に準セルフ型のATM(現金自動預払機)やタブレット端末を配備している。
高額取引など従来は窓口でのみ対応していた取引も、行員が付き添いながら来店客が自らATMやタブレット端末を操作する方法に移行した。これにより窓口対応の際に記入していた取引依頼の申込用紙が不要になった。
新型店舗では、準セルフ型ATMなどの導入に伴い、銀行業務向けの営業店端末(BT:Banking Terminal)を一部窓口から撤去し始めた。BTは行員が取引内容の入力や現金の登録などに用いるものだ。顧客が自ら操作して完了する取引を増やせば、行員がBTを操作する機会を減らせる。
次の段階の次世代型店舗は2022年初めから導入する。大半の取引や手続きを準セルフ型ATMやタブレット端末で完結できるようにする計画だ。これにより南都銀行の営業店は店舗にあるBTを原則として全廃する。
長引く超低金利で銀行の収益環境は厳しく、メガバンクを含めた銀行業界は店舗の再編や人員削減などに取り組み始めている。南都銀行以外でも店頭でのタブレット端末活用やATMの高機能化などが始まっている。例えば、りそな銀行がITの活用でバックオフィスを縮小した店舗を増やしている。
5.あの10万円給付システムはアジャイル開発か、「なんちゃって」にはご用心(9.7 日経XTECH)
インターネットでニュースを拾い読みしていて、面白い記事を見つけた。タイトルは「10万円給付のウェブ申請、テスト不十分 開発10日」(8月21日 朝日新聞DIGITL)だ。
この記事の要旨は、当初の特別定額給付金事業は「減収世帯の30万円」だったのが、急に「全国民一律10万円」になり1カ月のシステム開発期間が10日になってしまった。それにより十分なテストを行うことができないまま受付を開始していた。見切り発車のため、稼働しながら不具合の修整をするしかなかった、という内容である。
記事の内容もさることながら、コメントがなかなか面白い。「10日の開発ってすごいな」「開発から運用までたった10日間って、何人体制で作ったの」「普通はベンダーに依頼しても10日じゃ概算見積も出ないだろう」といったコメントが目立つ。
記事の論調は「10日間の開発だから、入力ミスや重複申請に対応できず混乱を招いたのでは?」という感じでやや批判的であったが、読者の多くの関心は「どうやって開発したの?」にあったようだ。筆者もまったく同感である。
短期間の開発というと「アジャイル開発」が想起される。給付金オンライン申請システムがアジャイルで開発されたかどうかは不明であるが、10日間という非常に短い期間であること、稼働しながら見つかった不具合を修正していくやり方からして、アジャイル的な手法を用いた可能性が高いのではないか、と推測している。
アジャイル開発はその趣旨や進め方を正しく理解してれば、とても有用な方法なのだが、「なんちゃってアジャイル」も横行している。アジャイル開発ではおおまかに言うと、以下の作法でシステムを作る。
開発対象を小さな機能に分割して、1つのイテレーションで1つの機能を作る
イテレーションとは要件定義〜実装、文書化までの開発工程サイクル全般を指す
このイテレーションを繰り返して、機能を追加していく
プロジェクト関係者が必要な時に全員集まって直接意思疎通する
上記のプロジェクト関係者には開発者と利用者の双方が含まれ、一緒に作業する
本気でアジャイル開発をやるのは、けっこう大変なのである。参加する関係者全員に主体性と達成意欲が求められる。だからうまく回れば効果も大きいのである。
一方、「なんちゃってアジャイル」はアジャイルの表面的な特徴を都合のいいように解釈して、つまみ食いする。例えば、以下のような行動が挙げられる。
アジャイルだから仕様書などの文書は書かなくていい
仕様検討は手ぶらで来て、打ち合わせの時にその場の流れで決めよう、なぜならアジャイルだから
プロトタイプを作って、それをユーザーに見せながらやれば、それはアジャイル的
今回の打ち合わせはエンドユーザーは欠席だったが、情シスが「まあいいんじゃない」と言ったので、イテレーション1つ終了
「なんちゃってアジャイル」がはびこる理由はいくつかあるが、その最も大きなものは「アジャイル」という言葉に希望的観測を持ってしまうことだ。ウォーターフォールの開発は期間が長く、手順をきちんと踏む必要があり、ドキュメント作成も大仕事である。「ウォーターフォールでやりましょう」と言われて心がときめく人はあまりいないはずだ。
それが「アジャイルでやりましょう」と言われたらどうだろう。字づらや音の響きもクールで、なんだかカッコいい、と感じさせる。特にウォーターフォールで苦労してきた人には魅力的な響きだ。また、アジャイル開発をきちんと理解していないと「早くシステムができる、ドキュメントもあまり書かない、仕様変更が簡単にできるらしい」という、おいしいイメージだけが浮かんでくるのではないか。開発者側もユーザー側も「アジャイル」に対して都合の良い期待を抱き、その期待に様々なリスクや考慮すべき点をすべて「丸投げ」して、開発を始める。それが「なんちゃってアジャイル」が生じる理由であろう。
アジャイル開発は魔法でもなんでもない。むしろ、専門的なマネージメントスキルと関係者全員の高いモチベーションが求められる。だからこそ得られる果実も大きい。
その意味でも冒頭の給付金オンライン申請システムは、もしアジャイル開発を行っていたとすれば成功例といってよいのではないか。7月の当コラムにも書いたが、筆者は給付金のオンライン申請開始後すぐに申請を行い、まったく問題なくできたので、よりそう感じるのかもしれない。
事業費総額12兆円以上の国策に関わるシステムをわずか10日で開発し、システムを稼働しながら修正を繰り返す。平時の日本ではありえない。コロナ禍という非常時だからこそできたのだ。この経験は日本のIT業界にシェアすべきである。この10日間の開発秘話をぜひともドキュメンタリータッチのドラマでやってもらえないかと思う。
ホームページへ