1. ホーム /
  2. キャッシュレス /
  3. もはやドコモ口座だけの問題ではない。

もはやドコモ口座だけの問題ではない。

ドコモ口座を経由し、一部の銀行から不正に預金が引き出される事件が起こっている事で、現在銀行口座が危険な状態であることが話題となっています。現時点で把握できている銀行は、いずれも臨時の措置としてドコモ口座への新規登録を停止中です。

同様の不正出金問題は今や、9月16日のゆうちょ銀行の謝罪会見で明らかになったPayPayやメルペイなどの少なくとも5事業者に広がり、関連する銀行にはメガバンクのみずほ銀行も含まれる。

今や「決済サービス事業者」のセキュリティの良し悪しではなく、接続する銀行側の認証も甘かったという「両者を連携する仕組みの課題」にまで広がってきた。

はっきりとした原因は判明していませんが、少なくとも「ドコモ側から口座番号や暗証番号が漏れたわけではない」(ドコモ広報部)と言います。どこかで漏洩していた情報が使われ、ドコモ口座が踏み台になった可能性が高そうです。

そもそも、ドコモ口座で何が起こったのか

今回の事件では大枠で下記の2つの問題があると考えられています。

  1. スマートフォンを使った決済サービスなどで利用する「アカウント」における本人確認の問題
  2. 当該のアカウントに残高をチャージするための銀行口座をひも付ける「Web口座振替」のセキュリティ問題

1つめは、ドコモの各種サービスを利用するための「dアカウント」について。利用範囲拡大のためにドコモ回線にひも付かない、いわゆる「キャリアフリー」として開放されていたことに起因している。

もともとドコモを含む大手携帯キャリアでは、回線契約時に身分証明書による本人確認が行われている。少なくとも回線を維持している限りは「本人確認済み」として扱われている。

ところが、従来まで回線にひも付いていたdアカウントがキャリアフリー化され、誰もが本人確認なしでアカウント開設できるようになった。

そして「d払い」の利便性向上のため、同社は2019年9月末に「ドコモ口座」の残高を「回線契約のないdアカウントのユーザー」にも開放していた。

今回の最初の被害と思われるものが2019年10月から始まっていることから、これが結果的に、セキュリティ上の“穴”を広げる原因となったと思われる。

この事から利便性の向上とセキュリティ上の欠点は、表裏一体である事をご理解いただきたい。

2つめに、ドコモ口座には銀行口座に接続することで残高チャージを行う機能がある。

このひも付けに利用された「Web口座振替」の仕組みそのものに脆弱性があったと考えられている。

Web口座振替を依頼する際に要求される本人確認のための情報は銀行によって異なるが、ワンタイムパスワードなど「毎回変化する専用の認証番号」を要求する銀行がある一方で、口座番号や暗証番号、生年月日など「基本的な情報のみを要求する銀行」もあり、今回のケースでは後者のような比較的認証が甘い銀行が狙われている。

特に、専用のインターネットバンキングの仕組みを持っていないような地銀であったり、少し前まで最低限の情報でWeb口座振替が利用可能だったゆうちょ銀行やイオン銀行が被害対象として挙げられていることから、「Web口座振替が持つ潜在的な問題が悪用された」と考えていい。

それを踏まえた今回の事件のポイントは次の2つだ。

  • スマホ決済サービス利用の有無は関係なく、対策の甘い銀行の口座を持っているだけで被害に遭う可能性
  • ドコモが目立って報道されているが、この問題は他の類似サービスも抱えている。銀行側が抜本的な対策をとらない限り問題は終息しない

今回の最大のポイントは、本人の意思に関係なく対策の甘い銀行口座を所持しているだけで被害に遭う可能性があると筆者は考えている。

現在報道されている「なにかしらの方法で口座情報を入手している。」といった、このなにかしらに関しては思い当たる人も多いのではないかと思います。

例えばスパムメールなどで有名通信事業者等から「アカウントが停止しました」や「情報を更新してください」等のメールが届けば、利用中のサービスであれば思わず入力してしまう方もいるのではないかと考えます。

多くのケースでは怪しい出入金があってもメールアドレスや電話(SMS)で通知する仕組みもなく、本人が通帳記入などを行わない限り問題が発覚しにくいのだ。これが、事件の全容把握を遅らせる結果にもつながっている。

「ドコモ口座」以外にも同様の事例

今回は対策の甘さからドコモが矢面に立っている形だが、その仕組み上、他の類似サービスも同様の問題を抱えていると考えている。

例えば「ドコモ口座」に端を発した、銀行口座連携での不正引き出しに関連して、ゆうちょ銀行が決済事業者8社への新規口座登録と振替(チャージ)の順次停止を発表。さらに、決済サービス各社がゆうちょ銀行口座での不正利用状況について公表した。

PayPayは17件の被害が判明

 PayPayは9月15日、2020年1月からの8カ月間で、ゆうちょ銀行口座における不正利用が17件あったと発表した。被害金額は141万5141円で、同社が8月より開始している全額補償制度の対象になるとしており、一部被害者には全額を補償済みという。

ゆうちょ銀行では同日夜に2要素認証を導入していない8事業者(PayPay、LINE Pay、PayPal、ウェルネット、楽天Edy、ビリングシステム、メルペイ、ゆめカード)について即時振替サービスを停止すると発表した。

一方、PayPayではSMSによる回線認証に加えてeKYC(インターネット経由の本人認証サービス)の導入を報告している。

では、どのようにして口座を守る?

結論から言うと、今のところはマメに自分の銀行口座の残高情報を確認するしかないと考える。

今のところドコモ口座にしてもゆうちょ銀行にしても被害損失分は全額補償するとの事ではあるが、ご自身が被害にあっている事を認識していないことが最大のリスクである事、口座の取引があった場合にSMSなどの認証を行い、引き落とし時にはその連絡がメール等で届くように設定することが好ましいが、今後引き落としのメールに至ってもスパムである可能性を疑う事。

日々進化し続ける多様化された決済手段は我々国民の生活上の利便性を高め、それらは次世代の技術に活用されながらIoTの多様化とともに進化の歴史を辿ってきました。

これらの利便性とリスクは表裏一体である。それらを認識しながら皆様の個人資産を守って頂ければと考えております。