コロナ禍にあって何かとお金の問題が取り沙汰される報道が増えた中、何とも不気味なニュースが飛び込んできました。NTTドコモが提供する電子決済サービスのドコモ口座が不正利用され、提携する銀行口座から預金が勝手に引き出されるという被害が相次いでいるのです。ドコモ口座そのものは銀行口座ではありませんが、仮想的な口座としてドコモユーザー以外の人でもメールアドレス1つで手軽に開設できる便利さがありました。
d払いによる商品購入にも使えるドコモ口座が悪用されたのは、口座が紐付けられていた銀行の側から何らかの手段で口座番号や暗証番号が流出したのも一因です。ドコモ口座の側でもセキュリティの甘さを突かれた形で、被害はさらに拡大する恐れがあります。ドコモ口座を開設していない人でも被害に遭う可能性がある不正利用の問題について、銀行預金が勝手に引き出された仕組みと被害を防ぐ対策をまとめてみました。
不正利用されたドコモ口座とは?
今回の報道でドコモ口座の存在を初めて知ったという人も少なくないと見られますが、「口座」と称していても正式な銀行口座ではありません。NTTドコモでは本業の携帯電話事業で契約数が頭打ちとなっている事情もあって、近年は電子決済などの金融サービスに力を入れています。
ドコモ口座もそうした金融サービス事業の一環としてスタートした決済・送金サービスで、当初はドコモ回線と契約しているユーザーだけが対象でした。利便性を高める目的でドコモ以外のユーザーにもサービスを拡大するに当たり、本人確認なしのメールアドレス登録だけで誰でもドコモ口座を開設できるようにしたのです。
ドコモ口座を開設すると仮想的な銀行口座のように利用することが可能になり、他の口座への送金やd払いによる買い物の決済にも使えます。ドコモ口座を送金や決済に利用するには、電子マネーのように銀行口座からのチャージが必要です。不正利用が発覚した2020年9月の時点で35の銀行と提携していますが、ゆうちょ銀行や三井住友銀行・みずほ銀行・イオン銀行以外は提携先に地方銀行が多いという特徴も見られます。
銀行預金が勝手に引き出された仕組み
口座と称していても実際には電子マネーに近い仕組みを持つドコモ口座は、紐付けられた銀行口座からチャージしないと決済や送金ができません。今回の不正利用はこのチャージの仕組みが悪用され、提携する銀行の口座から預金が勝手に引き出されてしまいました。
ドコモ口座は原則として自分名義の銀行口座以外は登録できないことになっているため、普通に考えればこうした不正利用は起こらないはずです。不正利用を行った犯人は何らかの形で提携銀行の口座から名義人の名前を入手し、口座番号と暗証番号も盗み出した上で本人名義のドコモ口座を開設したものと見られます。その上で本物の銀行口座と紐付ければ、預金をドコモ口座へと勝手にチャージすることができるようになるのです。
フィッシング詐欺の例では電子メールなどを使って金融機関のサイトに偽装したページに誘導し、本人に直接入力させて口座番号と暗証番号を盗み出す手口が使われてきました。今回の不正利用ではリバースブルートフォースやパスワードスプレーなど、不正アクセスに使われる攻撃で口座番号と暗証番号を入手した可能性もあります。
提携する銀行の中には名義人と口座番号・暗証番号という3つの情報だけで、本人名義のドコモ口座が開設できてしまうケースがあったのです。本人になりすましてドコモ口座へと不正にチャージされた銀行預金は、他のドコモ口座や銀行口座への送金に加え、d払いを使った買い物にも使われた可能性があります。
この記事を書いた時点で被害に遭った人は、いずれも自分自身ではドコモ口座を開設していないという人たちでした。自分はドコモ口座なんて使っていないから大丈夫というわけにはいかず、提携している銀行に口座を持っている人なら誰でも被害に遭う可能性があります。提携先には地方銀行が多いとは言え、ゆうちょ銀行やみずほ銀行などのメガバンクも含まれていますので、該当する人はいつのまにか残高が減っていないかどうか調べてみるといいでしょう。
不正利用につながったセキュリティの甘さ
今回の事件で最大の原因とされているのは、ドコモ口座がメールアドレス1つで誰でも簡単に開設できるというセキュリティ面の甘さです。本物の銀行口座ほどの厳重な手続きは不要と判断され、本人確認や2段階認証などの手続きなしで開設できるように配慮されていました。
そうやってユーザーの利便性を最優先させた結果、セキュリティがおろそかになっていた点は否めません。他の電子マネーでも不正利用が相次いでいるだけに、お金のやり取りを行う金融サービスはセキュリティの強化が急務となっています。
サービス登録時のセキュリティチェックが甘かったのも不正利用の一因ですが、ドコモ口座を開設しても普通は他人の銀行口座を勝手に登録することはできません。名義人と口座番号・暗証番号という3つの情報が揃っただけで、ドコモ口座と銀行口座が紐付け可能な銀行が存在していた点も大いに問題です。
電子マネー登録などの際にSMS認証などと組み合わせてセキュリティを強化している銀行では、現時点でドコモ口座の不正利用が判明していません。今回の事件はドコモ口座と提携銀行の双方で、セキュリティに問題があった組み合わせが狙われた面もあります。二重三重の認証でセキュリティを強化している銀行は比較的安全と見られますが、ドコモ口座と提携している限りは不正利用が絶対にないとも断言できない状況です。
本業以外の事業に落とし穴
日本の携帯電話業界をリードしてきたNTTドコモにとって、今回の騒動は本業以外に取り組んできた金融サービス事業で手痛い失策を犯した結果となりました。あくまでも携帯電話事業を本来の事業とすると、NTTドコモは金融のプロとは言えない会社です。
日本を代表する大企業の1つであっても、もともとは専門外だった分野の事業に手を出した場合は失敗のリスクも当然出てきます。事業が赤字になるという失敗だけでなく、重大なクレームが発生したり個人情報が流出したりして、顧客に迷惑をかけてしまうような失敗も考えられます。
今回のドコモ口座問題は間接的な影響ながら、提携する銀行の口座を持つ顧客に迷惑をかけてしまった点で、後者の典型的な例です。金融を本業とする会社であればサービス登録の際のセキュリティチェックをもっと厳重にするなりして、不正利用のリスクを低くするよう配慮していたものと思われます。NTTドコモにとって金融サービス事業は「副業」とも言えるサイドビジネスだけに、本業の携帯電話事業よりはチェック態勢が甘くなっていたのでしょうか。
同じようなリスクは本業以外の仕事で収入を得ている個人にも当てはまりますので、ドコモ口座騒動は決して他人事ではありません。どのような副業で収入を得るにしても、労働なりサービスなりの対価としてお金を払ってくれる顧客が存在します。本業の仕事では会社の厳しい管理の下でセキュリティ面に抜かりなく取り組んでいるという人でも、副業となったとたんに管理が甘くなってしまうというのはよくある話です。
特に個人対個人で取引を行うサービスを利用して副業収入を得ている人は、万が一にも顧客の個人情報が流出したりしないよう万全の対策が求められます。個人で事業に取り組む際には法人と比べてどうしてもそのへんの管理が甘くなりがちですので、顧客の安全が確保できない状態では取引をしないぐらいの覚悟が必要です。
被害を防ぐための対策
現時点ではNTTドコモでもドコモ口座の全面停止には踏み切っておらず、提携銀行口座の新規登録だけを停止している状態です。すでに登録してある場合は依然としてドコモ口座へのチャージが可能な状態にあるため、新たな被害発生も懸念されます。現在も1日1万人以上のユーザーがドコモ口座を利用中のため、全面停止にしてしまっては大きな混乱が起きかねません。
そういう難しさがある中でドコモ口座提携銀行に口座を持つ人が被害を防ぐには、預金額のすべてを提携されていない他の銀行口座に移すのが最も確実です。給料の振込先や公共料金等の自動引き落としに使われていたりして完全移行が難しい場合は、口座残高を頻繁にチェックしておく必要があります。
そうした中で身に覚えがないドコモ口座への出金を見つけたら、銀行に申し出ると同時に警察にも通報することをおすすめします。NTTドコモでは銀行側と連携した上で、被害額を全額補償する方向で対応を進めている最中です。問い合わせや相談を受け付ける窓口も設置されましたので、被害が疑われる場合は連絡してみるといいでしょう。
ドコモ口座を利用した不正利用についてのお問い合わせ窓口設置について
ドコモ口座の不正利用まとめ
最近になって被害の状況が急に報じられ始めた事件だけに、ドコモ口座の不正利用に関する全容の解明はまだまだこれからというところです。犯人がどうやって提携銀行から口座番号や暗証番号を盗み出したのか、現時点では詳しいことは何もわかっていません。ドコモ口座の不正利用に関する新たな動きがあれば、当ブログでも最新情報を随時報告していくつもりです。
コメント
[…] […]
[…] ドコモ口座の不正利用とは?銀行預金が勝手に引き出された … […]