2020年9月に入り、NTTドコモが提供するサービス「ドコモ口座」にて、不正利用が発覚したというニュースが報道されました。
ドコモ口座とは、送金・決済サービスの名称で、口座といっても銀行口座ではありません。
同様なサービスとしては、業界トップを走るのがソフトバンクグループのサービス「PayPay」があります。
このドコモ口座を使った不正事件が発生しました。
ドコモ口座と連携可能な銀行は、2020年9月10日時点で35行あります。
連携銀行から、このドコモ口座にチャージ(入金)が可能です。
9月7日に、このドコモ口座と連携可能な七十七銀行から、ドコモ口座を使った同行口座の不正利用が発生したと発表しました。
ドコモ口座のウェブサイトのお知らせを見ると、9月4日時点で、「一部銀行の銀行口座登録および銀行口座変更の申込受付停止について」というお知らせがあり、対象金融機関は「七十七銀行」「中国銀行」「大垣共立銀行」の3行が発表されました。
つまり、少なくとも9月4日時点で、不正利用があった事を、NTTドコモは把握していたわけです。
その後、その他の金融機関でも同様の被害が確認され、同じく受付停止が発表されました。
ドコモ口座のウェブサイトには、不正利用についての事が現時点で触れられてませんでした。
現段階で発表ができないのかもしれませんが、報道もされている以上、何とも不誠実な対応だと私には移りました。
そもそもこのドコモ口座はどのような手口で不正送金が行われたのでしょうか。
これについてはまだ憶測の域をでませんが、以下のように考えられてます。
まず、この犯行の前提には、被害者の「口座番号」「名義」「4ケタ暗証番号」の銀行口座情報を必要とし、そしてその被害者の名義で「ドコモ口座」を開設します。
ちなみに、「4ケタ暗証番号」は総当たりで入力してしまう手法も考えられてますので、もしかしたら、こちらの情報は予め犯行には必要ないかもしれません。
被害者の銀行口座情報は、リストからされたものが出回っているとか、フィッシング詐欺で入試したなどの情報があり、現時点で断定できてませんが、いずれ発覚するでしょう。
犯人が被害者名義でドコモ口座を開設し、銀行口座情報を使って紐付けた銀行口座からドコモ口座にチャージをします。
これが今回の不正チャージの構造です。
ここでいくつかの2つのポイントがあります。
まず1つ目は、狙われた銀行は、二段階認証などを用いない銀行が対象となってます。
二段階認証には、ワンタイムパスワードやケータイSMS認証、あるいはキャッシュカードの裏に書かれている特定の番号を入力する手法があります。
これがある場合、例え犯行に及ぶには、被害者がもつもう1つの認証をクリアしなければチャージができません。
二段階認証をもつ銀行で被害が出てないことを考えても、これは有効なセキュリティ対策と言えるでしょう。
次に2つ目のポイントは、ドコモ口座を解説する際に、本人でなくても開設できてしまう点です。
もし、本人確認が厳格だった場合、この不正チャージも起きません。
また、暗証番号についても、4ケタしかないので、総当たりで入力すれば通ってしまいます。
したがって、何回間違えたらロックするなどの、入力ミスに対する制限が必要です。
これらのセキュリティの甘さが、今回の不正チャージを引き起こしたと考えられてます。
よくよく考えれば、何か思い出すことはないでしょうか。
去年、セブンイレブンの「7pay」が開始後すぐに、不正利用によりサービス廃止に追い込まれました。
これは、他人のクレジットカードの不正利用が問題でしたが、この時も認証の甘さが問題視されてました。
「PayPay」でも不正利用が初期の頃ありましたが、キャッシュレス時代を迎えるにあたっては、こうしたセキュリティは必然です。
新しい不正行為も出てくる中、今回の問題は既存の認証の甘さからくる被害だっただけに、少し考えれば分かりそうな事だっただけに、とても残念な事件でなりません。
もっとも、今回は、銀行側とNTTドコモ側で、それぞれに対する問題があり、そこを突かれた形ですので、仕方がないという見方もあるかもしれませんが、それでも利用者の大事な資産を預かる中では、決してあってはならない事です。
それに、NTTドコモ側も、利用できる金融機関を、二段階認証を用いた金融機関に限定するなどの方法があったと思われるだけに、同情の余地はなさそうです。
キャッシュレスのメリットとデメリットはよく熟知しなければなりません。
しかしその一方、今回の事件はドコモ口座を開設していない、普通に当該金融機関に預金口座を持っている人が被害にあうケースです。
キャッシュレスが嫌いで、サービスを利用していない人にも関係ない話では無いことは十分注意しなければなりません。
私は、急速なキャッシュレス化、それも雨後の筍のようにサービスを増やしているのは、政府の後遅しにある考えてますが、今回の件などのように、急速に拡大する事に大いに疑問です。
キャッシュレス拡大を進めるなら、金融庁はもっと厳しく国民の資産を守れるように、しっかりと指導をし、場合によっては国会で法改正を含めた対応をとっていただきたいものです。
<参照:ドコモ口座>
https://docomokouza.jp/
<参照:七十七、「ドコモ口座」使った同行口座の不正利用を発表>
https://www.nikkei.com/article/DGXLASFL07I35_X00C20A9000000/
<参照:ドコモ口座、全35行で新規登録停止 異業種連携に穴>
https://www.nikkei.com/article/DGXMZO63647420Z00C20A9000000/
<参照:「ドコモ口座」以外で金融機関からの不正引き出しは? PayPayはあり、au PAYはなし>
https://k-tai.watch.impress.co.jp/docs/news/1275790.html
<参照:ドコモ口座の新規登録停止 不正利用拡大で―安全対策の甘さ露呈>
https://www.jiji.com/jc/article?k=2020090901099