ドコモ口座事件

ドコモ口座を利用した、預金口座からの不正引き出し事件が起きました。これを契機に、セキュリティの問題について考えてみましょう。

まずは〝ドコモ口座事件〟について見てみます。何らかの方法で、氏名、生年月日、銀行預金の口座番号、暗証番号を入手した犯罪者が、その名前でNTTドコモのドコモ口座を作成します。ドコモ口座は、元々はNTTドコモの携帯利用者のための支払い専用口座でした。携帯電話は契約の際に本人確認をとっていますので、第三者が口座を作ることはできません。しかし、QRコード決済の「d払い」の口座として利用されるようになると、携帯電話利用者以外でも本人確認なしで口座を開設できるようにしました。ここが第1の問題点です。

ドコモ口座を作成した犯罪者は、入手した銀行の口座をドコモ口座とひも付けし、銀行口座から出金をしたのです。銀行側では、暗証番号を入力することで本人確認としていました。しかし、最近の技術では暗証番号を割り出すことはそう難しいことではないようです。4桁しかない上、生年月日や打ちやすい番号などで設定されていることが多いためです。逆に、パスワードから口座番号を割り出す場合もあるそうです。銀行側は、決済サービス事業者で本人確認をしている上に、銀行口座の暗証番号で二重のセキュリティを確保できていると認識していたようです。これが第2の問題点です。

事件の被害者は、ドコモ口座を保有していない人です。何らかの経路で、氏名、生年月日、銀行預金の口座番号が流出し、犯罪者によって、銀行口座がドコモ口座にひも付けされてしまったのです。被害者の一人は、おかしな出金に気がつき、すぐに銀行に問い合わせたのですが、すぐには取り合ってもらえなかったそうです。銀行からしてみると、正規のルートで口座のひも付けがなされ、それによって出金されているので、「自らに落ち度はない」との認識だからです。一方、NTTドコモにとっても、銀行口座とのひも付けには、氏名、生年月日、銀行預金の口座番号と暗証番号が必要で、銀行が口座開設時に本人確認をしている以上、本人に間違いはないと認識していたようです。お互いがお互いを信頼していることで、不正は起こりえないと安心していたようです。これが第3の問題点です。

このような不正事件が明らかになりましたので、ドコモ口座による銀行口座とのひも付けと出金には、すぐに対応策が取られるでしょう。しかし、今後も類似の不正がなされる可能性があると覚悟しなければなりません。この犯罪の恐ろしいところは、「ドコモ口座を利用しなければよい」というわけではないことです。被害にあった人はドコモ口座を持っていなかった人であり、銀行口座さえあれば、勝手にひも付けされて出金される可能性がないとは言えないのです。被害を完全に防ぐ方法は、「銀行口座を持たない」以外にありません。

そうは言っても、給料も年金も銀行口座への振り込みとなっている今の時代、どんなに頑張っても銀行口座を持たないわけにはいきませんし、常にある程度は残高を置いておかざるを得ません。現金決済の割合が高い日本ですが、それでも現金だけで生活するのは無理な話です。とりあえずできる対応策としては、「小まめに銀行口座の入出金を確認し、不審な点があればすぐに調べる」しかないでしょう。

これからは、セキュリティに重きを置いた金融機関や決済サービスを選ぶということも大切になります。私も、何度も暗証番号やパスワードを求められると、煩わしくてイライラしていたのですが、それではいけないと、反省しました。今回のドコモ口座事件でも、ゆうちょ銀行、イオン銀行、そして多くの地方銀行が被害にあい、現在はドコモ口座への出金を停止しています。

その中で、みずほ銀行と三井住友銀行は現在もドコモ口座への出金を止めていません。出金にはワンタイムパスワードを入力するなど、そのたびごとに本人確認が行われており、不正が起きる余地はないとの判断のようです。また、三菱UFJ銀行はドコモ口座の提携銀行になっていませんでした。(最大手の銀行ですから、提携の誘いは当然あったはずです。)りそな銀行は、昨年の5月にドコモ口座による不正事件を契機に提携を止めたそうです。昨年の不正事件は、今回とは状況が違いますが、セキュリティ面での脆弱性は解消されていなかったようです。

他のQRコード決済の口座はどうなっているでしょうか? 他の決済事業者では、口座開設時にはメールアドレスだけでなく、SMSでの本人確認も取っているとのことです。SMSでの本人確認は、登録した携帯電話の番号にショートメールで暗証番号を送り、それを入力してもらうことで、本人確認とする方法です。ショートメールでの確認で、はたして不正が起きないと言えるのか、疑問は残ります。

また、アカウントへの入金は、クレジットカードまたは特定の金融機関だけとしているところが主流です。クレジットカードであれば不正に対する補償があるので安心だというわけですが、それにしてもカードの利用履歴のチェックが必要になります。最近は郵送での報告を有料にしているカード会社も多く、そうするとサイトを開いての履歴チェックが必要になります。

QR決済にしても、ネットショッピング、ネットバンキングにしても、本人確認の段階を増やすと、それだけで利用者は減少してしまうそうです。このような事件が起きるとセキュリティが見直されますが、顧客獲得競争が激しくなると利便性が重視される傾向にあります。やはりセキュリティ面で問題のある業者は出てくるでしょうし、それを利用した不正操作で、誰もが被害者となる可能性があります。気をつけていれば、被害にあわないとはけっして言い切れません。銀行口座とクレジットカードの履歴のチェックは、習慣にしておく必要があります。

2020.9.12記

No related posts.

質問はこちらから