ドコモ口座の件

2020年9月10日木曜日

今日はドコモ口座の件です。

記事を紹介します。

ドコモ口座の新規登録停止　不正利用拡大で―安全対策の甘さ露呈：時事ドットコム

　ＮＴＴドコモの電子決済サービス「ドコモ口座」を使った不正な預金の引き出しが９日、ゆうちょ銀行でも確認されるなど、地方銀行を中心に不正利用の被害が相次いでいる。ドコモ口座はメールアドレスさえあれば架空名義でも開設が可能で、こうしたセキュリティー対策の甘さが露呈した格好だ。事態の拡大を受けドコモは１０日未明からドコモ口座の新規登録を一斉に停止。本格的な対応に乗り出す。

　キャッシュレス決済の普及が進む中、不正利用を防ぐ一段の取り組みが求められている。
　金融庁は同日、銀行とドコモに被害者補償の徹底を求めた上で、原因究明と再発防止を指示。ドコモは再発防止に向け、「携帯電話番号を使った認証など本人確認を徹底し、不審な金の出入りの監視も強化する」（広報部）としている。
　これまでに預金の不正引き出しが確認されたのは、ゆうちょ銀行（東京）、イオン銀行（同）、七十七銀行（仙台市）、中国銀行（岡山市）、東邦銀行（福島市）、滋賀銀行（大津市）、鳥取銀行（鳥取市）、大垣共立銀行（岐阜県大垣市）、紀陽銀行（和歌山市）、みちのく銀行（青森市）の１０行。宮城県警関係者によると、９日までに七十七銀の預金者約２０人から相談が寄せられており、被害金額は最大で１人当たり６０万円、被害総額は数百万円規模に上るという。今後の被害拡大を防ぐため、これらを含む２０行が同日夜までにドコモ口座への新規口座登録の停止を決めており、七十七銀は既存口座のチャージ（入金）も停止した。
　ドコモ口座は、銀行口座を登録してチャージすることで、スマートフォンで送金や買い物ができるサービス。口座開設時の本人確認はメールアドレスのみで行う仕組みで、携帯電話のショートメッセージサービス（ＳＭＳ）などを使った認証は導入していない。業界関係者は「ペイペイなど他の決済サービスに比べてなりすましに悪用されやすい」と指摘する。
　今回の不正では、銀行預金者の名義や口座番号、暗証番号が何らかの方法で盗まれ、第三者がなりすましてドコモ口座を開設。これに銀行口座を登録して、お金を不正に引き出したとみられる。

NTTドコモの電子決済サービス「ドコモ口座」を使った不正な預金の引き出しが確認されており、不正利用の被害が拡大しているとのことです。当初は地方銀行がメインで狙われていましたが、他の銀行などでも拡大してるとのことです。

関連記事を何個か紹介します。

以下の記事も紹介します。

ドコモ口座専門家「業界全体で基準や対策見直しを」 | IT・ネット | NHKニュース

専門家「業界全体で基準や対策見直しを」
金融関連の情報セキュリティーに詳しく、政府の情報化統括責任者補佐官を務める楠正憲さんは「より多くの人がキャッシュレスサービスを使うようになってきた中で、システムのセキュリティーの弱さが露呈した。業界全体で基準や対策を見直す必要がある」と指摘しています。

「ドコモ口座」の決済サービスは、電子メールのアドレスがあればアカウントを取って口座を開設できます。

今回、犯人はこの仕組みを悪用して、別人になりすましてドコモ口座を開設し、何らかの方法で割り出した銀行口座の名義や口座番号、暗証番号を使って銀行から預金を引き出したものとみられています。

楠さんは、ドコモ口座では、開設の際に、携帯電話の番号とのひもづけなど、本人確認の仕組みが弱かったと指摘しています。

一方で、今回、預金を引き出される被害にあった銀行側のシステムでも、ドコモ口座と連携させる際に、通帳の預金残高を確認して本人確認するような仕組みを使っていなかったとみられるとして、セキュリティーの甘さを指摘しています。

楠さんは、「ドコモ口座のような電子決済サービスは、急激に普及してきているが、インターネットバンキングに比べてセキュリティー対策が甘く、今回のような被害がまた起こる可能性がある。本人確認や認証の仕組みを強化する必要がある」と話しています。

ドコモ口座と地銀の連携には、地銀ネットワークサービスが提供する｢Web口振受付サービス｣が利用されており、しかし、認証方式に関してはそれぞれの銀行が個別に判断しているようです。ドコモ口座を踏み台にして、不正入手した口座情報を、振替の手続きが容易な銀行が狙われたようです。

Web口振受付サービス｜地銀ネットワークサービス

今回のドコモ口座を踏み台とした不正利用の条件は以下の通り。

・ドコモ口座を登録可能な銀行

・口座番号や暗証番号、氏名で振替手続きが可能な銀行

・漏洩された口座情報

因みに、ワンタイムパスワードや乱数表の数字、キャッシュカードに記載された製造番号などの別の情報が必要な場合など不正利用の可能性は低いのですが、口座情報の漏洩(ダークウェブで売買されていた可能性？？)となると、ハードルはそれなりに高いといえば高いのですが、対象の銀行口座を持っていれば、本人がこの手のサービスを利用していない場合でも条件となり、地方銀行が狙われたとなると別の可能性も考える必要があります。

今回は銀行口座・名義・暗証番号があれば、不正に開設された口座への出金が可能なので、詐欺を行う前の事前電話、アポ電による情報の聞き出しなどの方法によって、口座情報を入手した可能性も考えられます。警察や銀行職員を騙り、詐欺の電話をかけたりするなどの方法で、この手の情報を入手した可能性もありますね。被害者に高齢者が多いのであれば、振り込め詐欺の手口が利用された可能性も考慮しないといけないし、この手の情報の入手ルートも解明した方がよさそうです。

今回、ドコモ口座が使われた理由は、メールアドレスのみで登録可能で、本人確認が実質不要なので、不正入手した口座情報でドコモ口座の手続きが行える事が問題ともいえます。

因みに、今回はメールアドレスのみで登録可能なドコモ口座が使われましたが、Webの振替手続きが緩い銀行であれば、他のサービスを踏み台にして、こういった方法が使われてしまう可能性があるといったところがホントの問題点です。

ここ最近で有名な事例を紹介します。

・PayPay

カード情報とセキュリティーコードだけで登録が可能で、登録制限がなかったことが原因のようです。

・7Pay

「メールアドレス」「生年月日」「電話番号」の3つが分かれば誰でもパスワードリセットが可能で、パスワード再設定用URLの送信先が自由に選べたことが原因です。

クレジットカードや口座情報等の入手ルートは以下のようです。

あとはフィッシングサイトやSMSの乗っ取りなどの手口などもあります。

本人確認を厳密にすること、何らかのサービスを利用した場合は本人に何らかの通知がくる仕組み、物理的なものとの紐付けなど、何重の仕組みも必要なのと、被害に遭った場合の補償制度などが必要となります。この手の事件はいつ起きてもおかしくないし、サービスの利便性のためにこういった情報へのアクセスが容易であったりすることも問題ですが、これらの事例で共通しているのは、決済などの手続きが杜撰であるといった部分となりますので、一定のガイドラインの制定とペナルティの導入等は必要なように思います。

この件はさすがに金融庁も動き出しましたね。

今回はドコモ口座を踏み台として利用されましたが、Webの振替手続きが、「銀行口座・名義・暗証番号」で出来てしまうことが本質的な原因ですので、この点においては、金融庁の動きも重要となってくると思います。振替手続きについての本人確認も厳密にしたほうがいいのは言うまでもないし、決済システムに直結するルートがザルだと同じ事件が起きると思いますし、今回の件はお金を扱うサービスが杜撰な「ドコモ口座」と、Webの振替手続きが「銀行口座・名義・暗証番号」の3つの情報で出来てしまうという杜撰なシステムが引き起こした事態で、責任は両方にあると考えます。