本当にドコモ口座だけ? 預金不正引き出しの手口(石野純也)

他サービスは大丈夫?

石野純也 (Junya Ishino)
石野純也 (Junya Ishino)
2020年09月8日, 午後 05:51 in docomokouza
0シェア
FacebookTwitter
docomokouza

ドコモ口座を経由し、一部の銀行から、不正に預金が引き出される事件が起こっています。現時点で把握できているのは、七十七銀行、大垣共立銀行、中国銀行で、いずれも臨時の措置として、ドコモ口座への新規登録を停止中です。

はっきりとした原因は判明していませんが、少なくとも「ドコモ側から口座番号や暗証番号が漏れたわけではない」(ドコモ広報部)と言います。どこかで漏洩していた情報が使われ、ドコモ口座が踏み台になった可能性が高そうです。

docomokouza
▲不正なドコモ口座からの引き落としがあり、一部地方銀行が口座連携を中止している

ドコモ口座は、もともと、ネット専用のVisaプリペイドカードや携帯電話代の支払いに充当できる口座として誕生したサービス。最近では、ユーザーインターフェイスを刷新することで、d払いの残高としての利用も可能になりました。d払い専用の残高を新たに作るのではなく、既存のドコモ口座を裏側で連携させ、銀行からのチャージを実現したというわけです。

裏を返すと、ドコモ口座に不正出金された現金は、d払い経由で利用できることになります。ネットではVisaプリペイドとして、リアルではd払いとして、さまざまな加盟店での支払いに使えてしまいます。本来はキャッシュカードなり通帳なりがないと現金は引き出せませんが、この方法であれば、現金を引き出したのに近い効果を得られます(犯罪者が)。

docomokouza
▲ドコモ口座はd払いのウォレットとして利用可能。銀行口座などから現金をチャージできる

ただ、口座番号や暗証番号、氏名が漏れただけで、どの銀行も簡単に口座連携ができてしまうわけではありません。三行に共通していたのは、その3つの情報で口座連携を受け付けていたこと。試しにほかの銀行を調べてみると、口座登録時に、ワンタイムパスワードや乱数表の数字、キャッシュカードに記載された製造番号の一部を入力しなければならない銀行も少なくありません。

例えば、筆者はドコモ口座にソニー銀行を登録していますが、同行の場合は、キャッシュカードに記載の製造番号の入力を求められます。この番号が漏れてしまっていたら、同じことになりますが、基本的に取引には使わないうえに、キャッシュカードにしか載っていないため、使わないよりセキュアになると言えるでしょう。ワンタイムパスワードなどに対応していれば、さらに安心です。

docomokouza
▲都市銀行やネット銀行の多くは、口座番号や暗証番号以外の情報も求められる

こうした手口を踏まえると、今回のトラブルは、ドコモ口座や上記の三行だけで終わらない可能性も見えてきます。筆者が確認した限り、PayPayやメルペイ、LINE Payといったサービスも、銀行口座との連携が可能。しかも、ドコモ口座と同様、口座番号、暗証番号、氏名だけで登録できる一部の地方銀行も、口座連携に対応しています。

もし不正に預金を引き出した犯罪者が、口座番号や暗証番号、氏名のリストを持っているとしたら、ドコモ口座以外が狙われる可能性も十分あります。また、名指しでどことは書きませんが、確認した限り、上記の三行以外にも、最小限の情報で口座連携できる銀行が複数ありました。都市銀行やネット銀行ではなく、地方銀行にこうしたシステムを採用している銀行が多いようです。

docomokouza
▲PayPayやメルペイなど、他のサービスでも簡単な情報で口座連携を実行できる。画像はPayPay

厄介なことに、狙われているのは銀行口座であって、ドコモ口座ではありません。ドコモ口座やそのほかの何とかPayを使っていなくても、その銀行に預金があるだけでお金を引き出されるおそれがあるというわけです。認証の緩い銀行に預金している人は、念のため残高や通帳を確認してみた方がいいかもしれません。

では、ほかの何とかPayではなく、なぜドコモ口座が狙われたのでしょうか。その理由は、登録時の本人確認の緩さにありそうです。ドコモ口座はdアカウントを持っていれば、誰でも開設できますが、dアカウントはメールアドレスだけで作成可能。厳密な本人確認はマストではありません。

docomokouza
▲ドコモ口座を持つためのdアカウントはメールアドレスだけで作成できる

これに対し、例えばPayPayであれば、登録時に電話番号の入力が求められます。電話番号が正しいかどうかは、そこに届いたSMSで認証を行っています。LINE Payやメルペイも同様。こうしたサービスに対して出金すれば、少々時間はかかるかもしれませんが、最終的に警察がキャリアに問い合わせることで、電話番号の持ち主を割り出せます。ドコモ口座がもっとも“足のつきづらい”サービスだったと言えるでしょう。

ただ、これはあくまで足がつき“づらい”だけの話。法律上、本人確認がマストになっているのは音声通話可能なSIMカードだけで、SMSが使えるデータ通信専用SIMカードは、その限りではありません。クレジットカードなどで認証の代わりにしているMVNOはありますが、音声通話対応SIMカードほど、厳格ではありません。さらに、SMSの認証代行サービスなるものもあり、電話番号の登録は、あくまで犯罪者側のハードルを少し上げているだけと言えるでしょう。仕組みがもっとも簡易的だったため、“まず”ドコモ口座を狙ったと考えられます。

原因はまだ明らかになっていないため、あくまで推測になりますが、根本的な問題は、やはり口座連携の仕組みがゆるゆるだったところにありそうです。今は対象のドコモ口座との連携を一時停止しているだけですが、これ以上被害が拡大する前に、WEBでの口座連携全体を休止するなどして、抜本的な対策を講じた方がいいかもしれません。


 
新型コロナウイルス 関連アップデート[TechCrunch]

 

関連キーワード: docomokouza, NTT docomo, docomo, cashless, news, gear
0シェア
FacebookTwitter