なぜ?犯罪者はあえて『#ドコモ口座』を選択したのか?
KNNポール神田です。
□NTTドコモが提供する電子決済サービス「ドコモ口座」を利用して、銀行から不正に現金を引き出す被害が相次いでいる。
□今回被害が発生しているのはいずれも地方銀行。NTTドコモはITmedia NEWSの取材に対し「被害のあった銀行はいずれも『Web口振受付サービス』を使ってドコモ口座と連携していた」
□ユーザーが自身のドコモ口座へ銀行口座から入金するには、ドコモ口座のWebサイトから銀行口座を登録する必要がある。ドコモは「銀行のWebサイト側での作業ではあるが、いずれの銀行も登録には『口座番号』『名義』『4桁の暗証番号』の3点を利用していた」
□ドコモは、これらの情報が何らかの理由で第三者に漏れたことが不正利用の一因ではないかとしている。
■なぜ?犯罪者はあえて『ドコモ口座』を選択したのか?
どなたでも、無料で、結果として『犯罪者』であってもカンタンに作れてしまうのが『ドコモ口座』だ。
まず、こういった犯罪の場合、犯罪者の視点に立って考えてみることが重要だ。
何らかの手法で、犯罪者のあなたは、地方銀行で認証できる『口座番号』『名義』『4桁の暗証番号』を入手したとする。
すんなりとこれだけでハッキングをおこない銀行間の送金をしたとしても口座番号などで、すぐに足がついてしまう。
そこで犯罪者は考えた。そう、『踏み台』にでき、犯罪者である自分の口座を『匿名化』できる手法だ。いろんな『送金サービス』があるが、『二段階認証』であるスマートフォンの番号に『SMS』などで、手元のスマートフォンで認証できないサービス。そう、それがドコモの『ドコモ口座』だ。
■誰もがカンタンに『犯罪者』でも無料で口座が作れてしまう『ドコモ口座』
『ドコモ口座』は、誰もが知っている通信会社であるNTTドコモのサービスである。そして、アカウントはドコモの『dアカウント』と紐付けがなされている。従来、通信キャリアのサービスは自社の通信サービスの利用者向けに行われるのが通常であるが、『dアカウント』のサービスは他社の通信サービスの顧客も登録できるという英断に踏み込んだプラットフォームとして歩んできている。
なので、『dアカウント』での『二段階認証』には他社のサービスの人は、『携帯番号』を求めていない。つまり、『dアカウント』は二段階認証を必要としないので『足のつきにくいアカウント』として利用できた。
■誰もが気軽に送金できる『ドコモ口座』
そして、その『足のつきにくいアカウント』で『ドコモ口座』を作り、銀行口座と紐付けすることができると、友達や家族や、たとえ犯罪者にも気軽に送金できてしまうのだ。
今回は地銀の認証できる『口座番号』『名義』『4桁の暗証番号』3つの情報だけで、銀行の口座から『ドコモ口座』へ金額をチャージし、自分の『ドコモ口座』へ送金することができてしまう。そして、犯人の『ドコモ口座』にある情報は、電子メールアドレスとパスワードだけである。犯人の足がつく要素は、どこにも存在しない。さらに自分で複数の『ドコモ口座』を作っておけば、送金を少額で何度も回遊させればさらに足がつきにくくなる。これは犯罪者としては利用しない手がないほど美味しい方法だ。
通信会社の戦略以上に『dアカウント』で他社の電話番号でも『SMS認証』を施し、電話番号を確認できるようにするだけでも、『ドコモ口座』『dアカウント』の複数登録をふせぐことができるのではないだろうか?
■知らない間に作られる『ドコモ口座』の怖さ
そして、何よりも一番怖いのが今回の事件は、『ドコモ口座』を持っている人が狙われたのではなく、『ドコモ口座』を持っていない人の口座が勝手に作られ、勝手に送金され、勝手に『ドコモコウザ』の名の元で、地方銀行の口座から金額が引き出されていることだ。
犯罪者は『ドコモコウザ』の名を使って、銀行口座から足のつかないお金を引きだすことに成功している。
犯罪者たちは、フリーのメールアドレスを使い、二段階認証を経由せず、知り得た銀行情報をもとに、足がつかない、他人の銀行口座からの、『マネーロンダリング』をくりかえすことができるのだ。
もし今後、デジタル政策の『デジタル庁』ができるのであれば、金融情報には『マイナンバー』などから醸成されたような政府認証のメールアドレスがないと、金融関連は紐付けできないなどのセキュリティによる施策が必要なのではないだろうか?
