Yahoo!ニュース

IDでもっと便利に新規取得

ログイン

もはや「“ドコモ口座”だけの問題」ではない不正出金。いまやるべきことは?

配信

  • この記事についてツイート
  • この記事についてシェア
BUSINESS INSIDER JAPAN

NTTドコモの“ウォレット”サービス「ドコモ口座」をめぐる不正出金に端を発した、決済サービス事業者と銀行との接続セキュリティの問題が注目を集めている。 【全画像をみる】もはや「“ドコモ口座”だけの問題」ではない不正出金。いまやるべきことは? 同様の不正出金問題は今や、9月16日のゆうちょ銀行の謝罪会見で明らかになったPayPayやメルペイなどの少なくとも5事業者に広がり、関連する銀行にはメガバンクのみずほ銀行も含まれる。 今や「決済サービス事業者」のセキュリティの良し悪しではなく、接続する銀行側の認証も甘かったという「両者を連携する仕組みの課題」にまで広がってきた。 ここで改めて今回の事件の問題点を整理しておきたい。

そもそも、ドコモ口座で何が起こったのか

今回の事件では大枠で下記の2つの問題がある。 スマートフォンを使った決済サービスなどで利用する「アカウント」における本人確認の問題 当該のアカウントに残高をチャージするための銀行口座をひも付ける「Web口座振替」のセキュリティ問題 1つめは、ドコモの各種サービスを利用するための「dアカウント」について。利用範囲拡大のためにドコモ回線にひも付かない、いわゆる「キャリアフリー」として開放されていたことに起因している。 もともとドコモを含む大手携帯キャリアでは、回線契約時に身分証明書による本人確認が行われている。少なくとも回線を維持している限りは「本人確認済み」として扱われている。 ところが、従来まで回線にひも付いていたdアカウントが、キャリアフリー化され誰もが本人確認なしでアカウント開設できるようになったのが2019年の話だ。 しかも「d払い」の利便性向上のため、同社は2019年9月末に「ドコモ口座」の残高を「回線契約のないdアカウントのユーザー」にも開放していた。今回の最初の被害と思われるものが2019年10月から始まっていることから、これが結果的に、セキュリティ上の“穴”を広げる原因となったと思われる。 2つめに、ドコモ口座には銀行口座に接続することで残高チャージを行う機能がある。 このひも付けに利用された「Web口座振替」の仕組みそのものに脆弱性があったと考えられている。 Web口座振替を依頼する際に要求される本人確認のための情報は銀行によって異なる。 ワンタイムパスワードなど「毎回変化する専用の認証番号」を要求する銀行がある一方で、口座番号や暗証番号、生年月日など「基本的な情報のみを要求する銀行」もあり、今回のケースでは後者のような比較的認証が甘い銀行が狙われている。 特に、専用のインターネットバンキングの仕組みを持っていないような地銀であったり、少し前まで最低限の情報でWeb口座振替が利用可能だったゆうちょ銀行やイオン銀行が被害対象として挙げられていることから、「Web口座振替が持つ潜在的な問題が悪用された」と考えていい。 それを踏まえた今回の事件のポイントは次の2つだ。 スマホ決済サービス利用の有無は関係なく、対策の甘い銀行の口座を持っているだけで被害に遭う可能性 ドコモが矢面に立っているが、同種の問題は他の類似サービスも抱えている。銀行側が抜本的な対策をとらない限り問題は終息しない 今回の最大のポイントは、本人の意思に関係なく対策の甘い銀行口座を所持しているだけで被害に遭う可能性があるという1点だ。 銀行側が生年月日や住所など個人情報を最低限しか所持していないという事情も、発覚を難しくしている。 多くのケースでは怪しい出入金があってもメールアドレスや電話(SMS)で通知する仕組みもなく、本人が通帳記入などを行わない限り問題が発覚しにくいのだ。これが、事件の全容把握を遅らせる結果にもつながっている。

【関連記事】