NTTドコモが提供するサービス「ドコモ口座」に、連携した金融機関から勝手にお金が振り替えられ、引き出されるという事件が起きました。ドコモ側は10日の会見で「本人確認が甘かった」と謝罪し、銀行とともに全額を補償する方針を示しました。
では、地銀側にはどのような問題があったのでしょうか。事件の背景について元地銀のシステム担当者に話を聞きました。
ドコモ口座ってなに?
ドコモ口座は、NTTドコモが提供するサービスです。銀行口座と連携することで、ドコモ口座に入金(チャージ)することができ、モバイル決済サービス「d払い」としてコンビニなどで使うことができます。
元々は、ドコモの携帯電話回線を使っている人に向けたサービスでした。それが、昨年10月からは、ドコモ携帯ユーザーでなくても使えるようになりました。同社は、キャッシュレスサービス「dポイント」「d払い」などで大きなポイント還元キャンペーンを行うなどして、口座開設者を増やしていました。
被害は約2000万円
今回、被害が判明しているのは10日の会見時点で11銀行で66件。被害総額は1800万円に上り、さらに拡大しています。ドコモ側は会見で、「本人確認が甘かった。悪意のユーザーを排除するという視点が欠落していた」と謝罪しました。
ドコモが説明した不正利用の手口は、以下です。
①何らかの手口で「口座番号」「名義」「4桁の暗証番号」「生年月日」などの銀行口座の認証に用いる情報を入手
②被害者に成り済まし、ドコモ口座を開設
③不正に入手した口座情報を使ってドコモ口座に銀行口座を連携
④開設したドコモ口座にチャージ
⑤「d払い」と連携して商品などを購入、現金化?
ドコモ口座は、任意をアドレスを登録し、セキュリティコードを受信すれば、身分証の提示など本人確認なしに開設できる仕組みでした。これを、どこからか流出した銀行口座番号、氏名、生年月日などの情報と組み合わせると、第三者が、勝手に作ったドコモ口座にお金を移すことが可能だったと説明しました。
10日、NTTドコモが開いた会見
ウェブ上で口座振替するサービスが狙われた?
ある地方銀行で、システム責任者をしていた男性は指摘します。
「銀行側は、地銀ネットワークサービス(CNS)が提供するWeb口振受付サービスを使っていたところが多いと思われます。このサービスは元々、電気やガスなど公共料金支払いするため使われているもの。以前は、口座振替の手続きには、書類を書いて捺印し、銀行に提出する手続きが必要でした。これがウェブ上でできるようになったのです」
「今回のようにWeb口振受付を悪用した不正チャージは予見できたことでした。そのリスクを認識していた地方銀行は既にセキュリティレベルを上げる対策を行っています。つまり、口座情報以外の認証要素を追加したのです」
「でも、システムの改修には多額の費用がかかる。断言はできませんが、対策を見送った銀行が、今回の被害にあったと考えられます。銀行はお客さんの資産をお守りすることができなかった。想定外でした、という言い訳できません」
二段階認証ができていたかどうか
その対策として有効なのが、二段階認証だと言います。
「犯罪組織は、何らかの形で口座番号、暗証番号、生年月日などの情報を手に入れています。例えば、電話で行政機関や警察を名乗り、もっともらしいことを言えば、口座番号の情報をしゃべってしまう高齢者がいることは、皆さんも報道でご存知かと思います」
「仮に口座情報が洩れていても、お金を勝手に引き出せないようにする対策が必要です。例えば、登録していた携帯電話のSMSや、自宅の固定電話で受けとった番号を入力しないと、口座振替の手続きができないようにすべきでした」
ドコモ口座は”お金の出し先”として使われた
10日のドコモの会見で、丸山誠治副社長は再発防止策として、オンラインで本人確認ができる「eKYC」という仕組みや、SMS認証を必須化すると表明しました。
男性はなぜドコモ口座が使われたかについて、こう解説します。
「犯罪組織は、銀行からお金を移動させ、安全に引き出せることができれば、どんな手段でも良かったのです。ATMなどで現金を引き出すにはカードが必要だし、監視カメラに映像が残る。そこで、誰でも開設できる、つまり本人確認がいらないドコモ口座に目をつけたのでしょしょう。ドコモ口座は”出し先”として使われました。足がつかない手段だったんです」
昨年10月のキャリアフリー化が穴だった?
昨年10月、ドコモ携帯ユーザー以外でも口座を作れるようになった時点で、銀行側はセキュリティを確認すべきだったと男性は指摘します。
「誰でも本人確認なしにドコモ口座を開けるとなった段階で、銀行側は対策を考えないといけわなければならなかった。ドコモ口座のユーザーがどんどん増えているのに、そのセキュリティの甘さに気づかなかったと言えます」
「NTTドコモという会社を信頼していても、ドコモ口座のセキュリティについて銀行側はもっと注意すべきでした」
キャッシュレスに対応しても銀行にうまみは少ない
では、なぜ銀行は、セキュリティ上のリスクがあるにも関わらず、キャッシュレス業者と連携するのでしょうか。
「一般的に、銀行がキャッシュレスサービスに連携しても、システムを作るのにお金がかかる一方、収益にはほとんど結びつかないと言われています。ATMにお金を入れておくなどのコストは下がりますが、キャッシュレス事業者から入る手数料はそんなに多くはありません」
「それでも積極的に取り組むのは、預金口座が便利ではないと顧客に捨てられるからです。金利などはないに等しい時代です。『家の近所にあるから』だけでは、顧客は逃げていきます」
ユーザーもセキュリティを意識する必要がある
「銀行が外部の様々な決済サービスと接続できるようになったことで、新しい不正利用、犯罪はどんどん出てくるでしょう。キャッシュカードがないとお金を下ろせない時代は、対策も簡単でした。今は銀行が外部の様々な決済サービスと接続できるようになり、ネットだけですべてが完結できるようになりました。これまでとは違う安全対策が必要です。それぞれの銀行が、見えない敵からお客様の資金を守るコストをいかにかけているのかが問われます」
「お使いの銀行が二段階認証などのセキュリティ対策をきちんとしているのか、ユーザーも意識する必要があります。例えば、ウェブ口振受付サービスを途中までやってみて、妙に簡単にできたら危険です。よくわからず不安であれば、セキュリティ対策について、銀行に直接問い合わせてみるのも有効でしょう」
NTTドコモホームページより
