ドコモ口座 被害拡大…“d払い”というNTTドコモ電子決済サービスを使って、銀行から不正に預金を引き出す被害が相次いでいます…
NTTドコモの電子決済サービス「ドコモ口座」を使って、銀行から不正に預金を引き出す被害が相次いでいます。
ドコモ口座は、銀行口座を登録すれば、スマートフォンを通じてネット上で送金や買い物ができる「d払い」サービスです。
今回の問題(事件)は、何者かが新たなドコモ口座を開設し、不正に取得した銀行の口座番号やキャッシュカードの暗証番号をひも付けて預金を引き出したと見られています。
これまでに確認された被害は12銀行で73件、合わせておよそ1990万円に広がっていることが明らかになりました。
なかには60万円を引き出された人もいます。
NTTドコモは本人確認が不十分だったと認め、銀行と協議して全額を補償するとしています。
丸山副社長は「NTTドコモの本人確認が不十分だった」とセキュリティーに不備があったことを認め、再発防止に向けてなりすましを防ぐ対策などを今月末までに導入するとしています。
そのうえで、被害を受けた人に対しては、各銀行と協議して全額を補償するとしています。
ドコモによりますと、連携する35の銀行全てで新規のひも付けを停止しました。9月9日までに「ゆうちょ銀行」を含む18の銀行が停止しました。
今回の不正取引は、自分でドコモ口座を登録していなくても被害にあうのが特徴のようで、ドコモ口座を登録していない宮城県内の30代の女性が、七十七銀行から計30万円を何者かによって引き出されたという証言を、NHKは報道しています。
昨年5月には、ドコモ口座と連携したりそな銀行と埼玉りそな銀行の口座から不正に預金が引き出される被害が発生していました。
手口は今回と同じで、何らかの形で口座番号や暗証番号が盗まれていたということです。
ドコモと連携している銀王は、大手銀行では三井住友銀行やみずほ銀行、コンビニ専用のイオン銀行や、地方銀行が多く連携先となっています。
三菱UFJ銀行がドコモ口座と連携していないのは、アメリカのマネーロンダリング基準を守らためにドコモと提携できなかったからだとされています。
マネーロンダリングに関しては、世界的に撲滅を目指していて、かなり厳しい基準が設けられていますので、裏を返せば、ドコモはその基準を満たしていないということになります。
今回の問題は
- ドコモ側のセキュリティの甘さ
- 銀行側のセキュリティの甘さ
- 消費者の口座管理に隙がある
ことによるものと思われます。
詐欺をする側の立場にたてば、この3つが揃って成り立ったと言えそうです…
ドコモ側のセキュリティの甘さ
一連の預金不正引き出しの仕組みは、不正に入手した銀行口座、名前、生年月日、暗証番号を利用して、勝手にドコモ口座を開設して不正に入手した銀行情報を使って連携させ、銀行にあるお金を勝手に作ったドコモ口座に送金し、「d払い」でものを購入してそのものを転売するというものです。
まずはここで取り上げるのは
勝手にドコモ口座を作ることができる
ということです。
不正に銀行情報を入手しても、それだけでは利用することができません。ドコモ口座という存在が、一連の問題のキーポイントとなります。
銀行からお金を移動させて受け取る側が作ることができる、それがドコモ口座だということです。
ドコモ口座は、「メールアドレス」のみで開設することができるのです。
メールアドレスは、グーグルやヤフーなど、無料で作ることができます。
ドコモ「d払い」以外のネット決済システムは、携帯電話番号の登録が必要で、その携帯番号に送られるショートメールによる認証番号を入力する必要があります。
携帯電話は、厳重な身分証明書等本人確認がなければ持つことができないことから、携帯電話のショートメールを利用することで、セキュリティを高めているのです。
「2段階認証」と呼ばれるもので、お金を預かるネットシステム利用では、多くの場合、この「2段階認証」を求められるのですが、ドコモ口座開設では、この「2段階認証」にはなっていないのです。
誰でも簡単にドコモ口座を作ることができると言えます。
昨年、りそな銀行と埼玉りそな銀行で、今回を同自手口のドコモ口座をめぐる不正預金引き出しが発生していました。
この事により、りそなグループは、ドコモとの連携を解消しました。
ドコモ側は、それまでの銀行からドコモ口座への送金月額金額上限100万円を今の30万円に引き下げました。
今回の被害額で多いのは30万円で、不正引き出しに気づかず月をまたいで被害額が60万円になった人もいるようです。
りそな側からの不正預金引き出し発覚の時点で、2段階認証等のセキュリティ強化をドコモ側が行えばよかったのですが、送金金額上限を引き下げただけでした。
ドコモとしては、多くの人に「d払い」決算システムを使ってもらうために、利用におけるハードルを上げたくなかったと説明しています。
ネット決済システムにおける顧客囲い込みは、確かに競争激化で、差別化により、自社サービスにより多くの顧客を囲い込もうとする思惑はわかりますが、それがセキュリティを犠牲にした上で成り立っていることには、今更ながら疑問が生じます。
「d払い」のサイトには
あらかじめ設定した4ケタのパスワードだけで決済ができて、お支払いも月々の電話料金と合算して払えるのでかんたん、便利にショッピングをお楽しみになれます。
さらにd払いなら購入金額に応じてdポイントがたまり、たまったポイントはお支払いにも使えます…
とあります。
今回の問題は、ドコモ口座がなければ成り立たないというところに、NTT側に責任の重さが伺えると言えます。
ドコモユーザー以外が被害者に
2018年に「d払い」サービスが開始されましたが、その中で「d払い」をドコモの回線契約者以外にも開放する「キャリアフリー」の戦略を進め、2019年9月末からドコモの回線契約がなくてもドコモ口座が使えるようになりました。
ここに落とし穴があったとの指摘があります。
本人確認の方法に問題が合ったとのことで、ドコモの回線契約者の場合、回線契約の段階で運転免許証などで本人確認が済んでいて、ドコモ口座の開設には回線認証や契約者自身が設定するネットワーク暗証番号が必要ですが、ドコモ以外の通信会社のユーザーの場合は、メールアドレスさえあれば誰でもdアカウントを取得し、ドコモ口座を開設・入金できるようになっていて、身分証明書などによる本人確認のプロセスがなかったとのことです。
実際、今回の被害者はすべてドコモ以外の通信会社を利用している人だったということです。
携帯会社競争の間隙を縫って仕組まれたものだとの指摘です。
9月10日に記者会見したドコモの丸山誠治副社長は
「われわれのサービスをすべてのお客に開放し、会員基盤を広げるという趣旨の中で、(メールアドレスのみによる口座開設という)簡易な手段を取っていた。ただ本人確認が十分でなかったと反省している」
と謝罪しました。
スマホ決済業者間の競争が激しくなる中、ドコモは回線契約者以外への決済サービスの拡大を急いだことが裏目に出たとの指摘は免れず、不正にチャージされたお金を使えないようにするには、スマホ決済業者がセキュリティ強化でせき止めなければならないところを、ドコモの場合はそれが不十分だったと指摘されています。
銀行側のセキュリティの甘さ
今回、不正預金引き出しの被害を報告しているのは地方銀行がほとんどです。
ドコモ口座と連携している銀行にはみずほ銀行と三井住友銀行の都銀もありますが、被害を報告しているのは地方銀行が多いのはなぜでしょう。
やはりここにもセキュリティ問題が関わってきます。
「2段階認証」を行っているかいないかですね。
ゆうちょ銀行も、口座開設で2段階認証を行っていませんでした。いま準備中との説明もありましたが、この問題が発覚時には、ゆうちょ銀行もセキュリティが甘かったと言わざるを得ません。
自分の口座からネットで振り込む際には、口座の暗証番号以外の数字を入力するのが、振り込みにおける「2段階認証」で、たとえ「VIP Access」といったスマホ認証アプリからアットランダムに表示される数字を入力しなければ送金できないなどのシステムを用いている銀行もあります。
ここまで解説したとおり、ドコモ口座を持っていなくても、ドコモ口座と連携している地方銀行口座を持っているだけで、被害者になる可能性があると言えます。
こまめに通帳記入をして、覚えのない引き落としがないかを確認するようにして、不審な引き落としがあれば、すぐに銀行やドコモに連絡するようにしましょう。
被害額は全額保証してくれる姿勢を、NTTドコモ側は示していますからね。
ドコモ口座と連携している銀行一覧
都市銀行など
- みずほ銀行
- 三井住友銀行
- ゆうちょ銀行
地方銀行など
- 伊予銀行
- 池田泉州銀行
- 愛媛銀行
- 大分銀行
- 大垣共立銀行
- 紀陽銀行
- 京都銀行
- 滋賀銀行
- 静岡銀行
- 七十七銀行
- 十六銀行
- スルガ銀行
- 但馬銀行
- 第三銀行
- 千葉銀行
- 千葉興業銀行
- 中国銀行
- 東邦銀行
- 鳥取銀行
- 南都銀行
- 西日本シティ銀行
- 八十二銀行
- 肥後銀行
- 百十四銀行
- 広島銀行
- 福岡銀行
- 北洋銀行
- みちのく銀行
- 琉球銀行
その他銀行
- イオン銀行
- ソニー銀行
上記近郷の中には、セキュリティが厳しく、今回被害報告していないところもありますが、通帳記入をしていない人も多く、まだ被害を気づいていない人も多くいると思われます。
上記銀行口座を持っている人は、ただちに通帳記入して確認してください。
責任のなすりつけ合い
不正引き出しを発見した預金者が問い合わせた際の、NTT側はドコモ側とや銀行の対応が広いことも問題とされています。
つまり事態が把握でき、自身の正当性を主張していたとのことです。
どこも口座に問い合わせたら、ドコモには問題がないので銀行に問い合わせるように言われたり、銀行に問い合わせたらNTTドコモに聞けと、取り合ってはくれなかったケースが多くあったようです。
ドコモ口座解約の申し出も受け付けてもらえなかったケースが多く合ったとのことです。
ユーザーの口座管理に隙がある
ユーザー行動として、通帳記入をこまめにする人は少ないようです。そのことが、被害に気づくのが遅くなっているのかもしれません。
定期預金と普通預金が連動している場合、普通預金残高がマイナスになても、定期預金額の範囲で普通預金から引落すことができます。
ユーザーのセキュリティに対する重要性にも問題があるのかもしれませんね。
今回の手口で、何者か銀行口座番号や名前、生年月日や暗証番号といった銀行情報を盗み取っていたことがわかっています。
どうやってこのような個人情報を盗み取ったのでしょうか。
被害者が偽サイトにアクセスしたとか、何かの送金をする際に銀行情報を入力したのが盗まれたとかが考えられますが、自身としても、わからないサイトにアクセスしないとか、むやみに銀行情報を入力しないなどの慎重さを持つことが大事です。
銀行情報を盗む手口
今回被害が発生しているのはいずれも地方銀行だということで、NTTドコモは
「被害のあった銀行はいずれも『Web口振受付サービス』を使ってドコモ口座と連携していた」
と話しています。
Web口振受付サービスは、地銀ネットワークサービス(東京都中央区)が提供する、収納企業(決済サービス提供社)と地方銀行の連携サービスで、ユーザーは収納企業のWebサイトを通じて預金口座振替の新規登録などの手続きを行うことができます。
ユーザーが自身のドコモ口座へ銀行口座から入金するには、ドコモ口座のWebサイトから銀行口座を登録する必要がありますが、ドコモは
「銀行のWebサイト側での作業ではあるが、いずれの銀行も登録には『口座番号』『名義』『4ケタの暗証番号』の3点を利用していた」
と明かしています。つまりドコモは、これらの情報が何らかの理由で第三者に漏れたことが不正利用の一因ではないかとしているようです。
銀行口座番号や名前、生年月日は、ネット上で入力する作業をすれば容易に盗まれるでしょうが、暗証番号はどうやって特定しているのでしょう。
それには「リバースブルートフォース」や「パスワードスプレー」と呼ばれる攻撃があったのではないかという臆測が上がっています。
「リバースブルートフォース」はパスワードを固定して口座番号を総当たりする攻撃のことです。パスワードは3回以上まちがうと口座にロックが掛かってしまうので、盗んである口座番号を順番に固定した暗証番号に充てていくという手法です。
暗証番号には、ある一定の規則性があるそうで、例えばキーボードの縦の配列「8520」とか「0258」などが使われやしそうで、その法則性からある程度は特定できるそうです。
もちろん人がやるのではなくPCが実際には行います。
「パスワードスプレー」は、数千~数万のIPアドレスを使っていろいろなIPアドレスから少しずつ攻撃し、攻撃を気付かれにくくする手法です。
いずれにせよ今回は、NTTドコモが、ユーザーの利便性を優先して暗証番号を4ケタにしたことが、ドコモ口座が狙われた理由になっているのではないでしょうか。
ドコモ口座はPCからでも利用できることにも抜け穴があるという指摘もあります。
ログインに2段階認証は必要なものの、口座開設時に携帯回線をひも付けていなければ登録メールアドレスにセキュリティコードが送られてくるために、攻撃者自身がドコモ口座を開いた場合はPCのみで操作が完結するようです。
セキュリティ意識が大きく欠如している
私たちは、ネットの利便性は求めますが、その半目にあるセキュリティの重要性をあまり理解していないようにも思えます。
今回のことは、そのことへの警鐘とも受け取れます。
とくに政府機関や行政機関等、公的機関のセキュリティ意識はどうなっているんか問いただしてみたいですね。
行政機関から情報が漏れることが多発しています。
マイナンバーカード普及、デジタル庁創設が検討されているようですが、セキュリティ意識がどうなっているかを、チェックすることは非常に大事です。
USBメモリーの存在を知らないとか、2段階認証を理解していない人が、この国のIT担当大臣であることが非常に問題で、それを大臣に据えるこの国は大丈夫ですかね…
Follow me!
