電子決済サービス「ドコモ口座」を通じて、預金が引き出される被害が起きた。露呈したのは、NTTドコモと銀行双方のセキュリティーの甘さだ。AERA 2020年9月21日号で掲載された記事を紹介する。
* * *
NTTドコモの送金・決済サービス「ドコモ口座」がセキュリティーの甘さを突かれ、不正利用の温床となっていることが明るみに出た。被害額は今年8月以降、9月11日午前0時時点で73件約1990万円に達している。ドコモは全額補償する方針だが、スマートフォン決済「d払い」など金融事業全体への不信感につながる可能性も高い。
ドコモ口座はスマホ普及以前から提供されている古いサービスだ。他の決済サービスに比べてセキュリティー対策が甘いという問題点が数年前から社内で指摘され、問題を放置した経営責任を指摘する声も聞かれる。一方で「銀行側のセキュリティーの甘さにも責任がある」との指摘も専門家から出ており、銀行側の対策も急務と言えそうだ。
■利用者拡大優先が裏目
「携帯がドコモじゃないのに『ドコモコウザ』から銀行口座のお金が引き出されている」
こうした内容の書き込みが9月に入ってからSNS上で散見されるようになった。
ドコモ口座とは、お金を送金したり携帯電話利用料を支払ったり、銀行口座に払い出したりするための仮想的な口座で、2011年にドコモが開始した。当初はドコモの携帯電話契約者だけに提供されていた。しかし、19年9月からは、d払いの利用者にもドコモ口座が開設されるようになるなど、ドコモは自社の様々なサービスの利用を携帯契約者以外に広げる方向に方針転換したのに合わせて、ドコモ口座の普及にも努めてきた。
七十七銀行(仙台市)に口座を持つ人からの報告がSNSであったのを皮切りに、不正振り込みは12の銀行から行われていた。多くは地方銀行だが、イオン銀行とゆうちょ銀行も含まれている。ドコモはいったん、ドコモ口座と銀行口座の新規連携を中止。10日に急遽、謝罪会見を開いたドコモは「今後、桁が変わるほど大きな被害は出ないと考えている」と説明したが、すでに連携済みの口座で被害が広がらないとは言い切れず、警察当局も捜査に乗り出した。
不正振り込みの手口はまだ解明されていないが、複数の専門家は、ドコモ口座だけでなく、ドコモ口座とひも付く銀行側のセキュリティーの甘さが悪用されたと指摘している。
まずドコモ口座の問題点については、メールアドレスだけで持つことができるという、本人確認が徹底されていない点が挙げられる。犯罪者側にとっては、ドコモ口座は銀行口座よりもお金の受取先として足がつきにくく、簡単に作ることができて便利と言える。10日に会見したドコモの丸山誠治副社長はこの点を事件の原因として強調する姿勢を見せて“平謝り”に徹した。
丸山氏は、今後、今はドコモ契約者だけに送られている携帯電話の「SMS(ショートメッセージサービス)」のほか、顔写真付きの身分証と本人の顔写真をオンラインで突き合わせる「eKYC」と呼ばれる仕組みで、本人確認を徹底させるように見直す考えを示した。
しかし、ドコモ口座のセキュリティーの甘さは数年前から露呈していた。今回明らかになった73件以前に、昨年5月にはりそな銀行からの不正振り込みも明らかになっているが、関係者は「小さな『ヒヤリ・ハット』はほかにもあった。対策を取るべきだという声も上がっていたのに、ユーザー拡大を優先した結果だ」と吐き捨てた。
■独自の本人確認は無し
もう一つ、ドコモ口座側の問題としては、丸山氏は強調しなかったが、銀行口座からお金をチャージ(振り込み)するために必要となる口座振替の手続きを銀行側の仕組みにほぼ任せているため、他の決済サービスよりも容易に不正なチャージができてしまった点が挙げられる。
銀行口座からチャージするのはドコモ口座だけではない。最近までクレジットカードからのチャージができなかったLINE Payを始めとして、PayPayやauPAYなどほぼすべてのスマホ決済でも同様だ。銀行口座からチャージした上で、QRコードを店頭で見せるなどして決済するわけだ。
ただ、ドコモ口座以外のサービスはここ数年で新しく始まったため、銀行口座とひも付ける際には銀行側の仕組みに任せず、独自に本人確認を強化している。地銀の一部はセキュリティー強化が遅れており、「名義人・口座番号・暗証番号」の三つさえわかれば口座振替契約が可能な場合がある。そのため、LINE Payが住所の入力も必要とするなど、各サービスで不正チャージを防ぐための追加の対応が取られている。
一方、ドコモ口座は独自の本人確認を行っておらず、銀行任せ。それを元々は別のサービスだったスマホ決済の「d払い」と連携させたことで、不正チャージを許す「穴」が生まれたと言える。(ライター・平土令)
※AERA 2020年9月21日号より抜粋
外部リンク