- 会員限定
- 2020/09/16 掲載
「ドコモ口座不正」から何を学ぶか? 金融サービスとして“ありえない”対応とは
FINOLAB コラム:
そもそもドコモ口座とは何か、事件の概要とは
この8月、NTTドコモの提供する「ドコモ口座」を経由して地方銀行に口座を保有する人の預金が不正に引き出されるという事件が起こった。ドコモとの回線契約がなく、利用した覚えもないのに出金のあった被害者の通帳には、「ドコモコウザ」という摘要が印字されていた。被害者からの問合せに、当初は「銀行に聞いて欲しい」と答えていたNTTドコモも、事件報道拡大に対応して9月10日には、不正利用の内容、被害者に対する補償、再発防止策について記者会見を開いた。9月11日午前0時の時点で、12の銀行で73件、計1990万円の被害が発生と発表されたが、14日午後には11行で120件、計2542万円の被害との発表がなされ、8月以前にも被害が発生していたことも判明。被害の全体像が把握されていないことを印象づけた。
「ネットやアプリ上で送金やお買い物ができるバーチャルなお財布」であり、「どなたでも無料で簡単に開設できます!」とNTTドコモがPRしているように、PayPayやauPAYと同様のモバイルウォレットである。
不正利用の手口とは?
下図のように、他人名義でドコモ口座を開設し、その人の銀行口座から本人が知らない間に「チャージ」を行い、ドコモ口座から「支払い」を行ったもので、購入した物品は換金されたと想定される。不正利用の問題点とは?
事件発生に関する疑問は多くあるが、犯行プロセスに沿ってポイントを整理すると以下の通りである。(1)犯人はどうやって被害者の銀行口座情報を入手したのか?
銀行を装った偽メールを送り、銀行そっくりの偽サイトに誘導、口座番号や暗証番号を入力させて口座情報を盗み取るという手口の「フィッシング詐欺」の可能性がある。また、各種データベースに不正アクセスして大量の口座情報を入手、「リバースブルートフォース攻撃」という暗証番号を固定して多数の口座番号を試す手口の可能性もある。さらに、検索エンジンに引っかからない「ディープウェブ」「ダークウェブ」と呼ばれるネットワークで入手できる、過去にスキミング被害にあったアカウントや流出した情報からターゲットを絞り込んでいる可能性も考えられるが、現段階では推測の域を出ない。
(2)ドコモ口座の開設にあたって、犯人はどうして被害者になりすますことができたか?
ドコモ口座は、NTTドコモの携帯電話契約がなくても、メールアドレスさえあればオンラインで簡単に開設できる。このため、フリーメールなどを使えば他人になりすまして口座を作ることも可能で、この点が今回悪用された。ドコモ回線の契約者については回線認証を行っているので、今回の不正利用は発生していない。
(3)ドコモ口座と銀行口座のひもづけに際してどのような確認プロセスがとられていたのか?
被害のあった銀行は、いずれも「Web口振受付サービス」を使ってドコモ口座とひもづけており、ドコモ口座への銀行口座の登録には「口座名義」「口座番号」「暗証番号(4桁)」(「生年月日」を加えた銀行もあった)で確認を行っていた模様である。銀行によっては、ネットバンキングで採用している2要素認証を必要としている場合もあり、そうした銀行の口座保有者は難を逃れている。
(4)ひもづけた銀行口座からドコモ口座に入金した際に被害者は気付かなかったのか?
ネットバンキングの機能が充実している銀行によっては、口座から出金した情報を「アラート」として口座保有者に送るサービスを提供しているが、今回被害にあった銀行はそうした機能を提供していない、もしくは被害者がネットバンキングを利用していなかったために、通帳を記帳するまで気付かなかった。従って、今後も被害が拡大する可能性がある。
(5)なりすました他人の名義ネット購買をで行うことは可能か?
ネット購買のサイトでは、購入する人の本人確認を購買の都度行うわけではなく、利用される決済手段の名義と同じ名前を使えば簡単に購入できる。クレジットカードの不正利用は多く発生していることから、3Dセキュアなどの2段階認証を決済時に採用しているケースは多いが、「ドコモ口座」についてはそのまま支払いが可能である。
今回の事件から学ぶべき教訓は
メディアでは当事者の責任追及に終始した記事が多く、本質的な問題点が整理されていない感が強いが、ここでは今後のために学ぶべき点を整理してみたい。<サービス提供者にとって>
・顧客拡大及び利便性確保は重要だが、セキュリティレベルの低下を許容すべきではない
当初ドコモ口座の利用にはドコモ回線が必須であったが、2019年9月「d払い」にウォレット(プリペイド残高)サービスを追加するタイミングに合わせてキャリアフリー化され、ドコモ契約がない人はメールアドレスだけで登録が可能となった。「メールによる二段階認証」という表現で説明されたが、メールアドレスを保有していることを確認しているにすぎず、誰でも任意の名前で登録が可能となった。
このことによって、今回発生したのは同社サービスの利用者でない銀行口座保有者が被害者になるという事象であるが、それ以外にも「ドコモ口座」の悪用・濫用という可能性も考えられることから、SMSやオンライン本人確認方法(eKYC)が導入されるまではドコモ契約者以外の登録を停止する判断が必要と思われる。
記者会見では、本人確認が甘かった点は認めた上で、「新規の銀行振替登録は停止するが、新規利用者の登録は継続する」と説明された。アカウントごとの利用金額が小額だとしても、ほぼ無制限にアカウントを開設できる状態を考えると、犯罪者に悪用される可能性も考慮する必要があろう。
たとえば、麻薬の売人が代金回収のために、架空名義の口座を多数作るといった事態も考えられる。金融機関であれば放置が許されず、是正が求められる可能性もある 。
・不正事案発生に際しては被害の拡大を止めることを優先すべきである
不正事案の拡大に対応して、ドコモ回線契約者以外のドコモ口座登録を中止したが、既存登録者のチャージは継続して許容している。セキュリティが甘いとみられた銀行は順々にチャージ機能停止の措置をとった。被害を拡大させないために、ドコモ回線契約者以外のドコモ口座に対するチャージを停止する判断を不正事象が判明した段階でとるべきであったものと考えられる。
「毎日1万3000件ほどのチャージがあり、止めると既存ユーザーが不便になる」との説明が記者会見であったが、本件の最大の問題はドコモとまったく接点のない地方銀行の預金者の口座から不正に資金が引き出されている点である。被害範囲の特定と被害拡大を食い止めるために最大限の努力を行わないとさらに信頼を失う可能性が高い。
【次ページ】「金融サービスを提供している」という意識が足りない
PR
PR
PR