ドコモ口座を悪用した不正出金の被害額が約2000万円まで拡大しています。会見で「1日に約1万3000件の取引がある。既存顧客のサービスを止めると影響が大きい」としたドコモの丸山誠治副社長に対し「サービスを全面停止しなかったのは驚きだ」(ドコモの競合の通信大手幹部)「ドコモは(問題のサービスを)すべて停止すべきだ」(S&Jの三輪信雄社長)といった声も挙がっています。不正出金を防ぎ、人々からの信頼を取り戻すために、ドコモと金融業界、政府が取り組むべきことは何でしょうか。

推定される不正出金の要因

ドコモ口座を悪用した不正出金が起こった原因は、ドコモと金融機関の双方に問題が指摘されています。まず当初ドコモとの加入者契約を前提としていたドコモ口座が、途中から電子メールアドレスの到達確認だけで開設できるようになり、そのことが提携行に伝えられていなかったようです。このため攻撃者が捨てアドレスを取得して、いくつでも自由にドコモ口座を開設できてしまいました。

被害に遭った金融機関も、Web経由での口座振込登録のセキュリティー水準が不十分でした。口座番号、口座名義人カナ氏名、生年月日、暗証番号などを入力させていましたが、金融機関コード・支店番号は公開され、口座名義人カナ氏名は、振込を試みる際に口座番号から取得できてしまいます。生年月日も預金者が秘匿しているとは限らず、SNS等で公表されている場合があります。残る砦は暗証番号ですが、4桁の数字だけでは認証強度として不十分で、人間が登録する数字には偏りが大きいことから、当てずっぽうで突破できてしまう場合も少なくありません。

これらの情報がどこから流出したかは不明ですが、フィッシング詐欺サイトでの詐取、金融機関や収納企業からのデータ漏洩、公開情報からの推定など様々な経路が考えられます。そもそも秘匿すべきとはいえない属性情報の入力だけでは口座振替登録時の認証手段としては不適切です。金融機関によってはインターネットバンキングの認証の利用、IB契約がない場合は記帳最終残高の下4桁を入力させる、口座開設時に届け出た電話番号に確認するといった不正対策を行っています。

残念ながらドコモ口座がサービスを止めたところで「何もしていないのに不正に出金される」「時々記帳しなければ不正出金に気付けない」といった預金者の不安は解消できません。口座から不正に出金できてしまう理由は、ドコモ口座ではなく、一部金融機関の口座振替登録の脆弱性にあるからです。ドコモ口座をはじめとしたキャッシュレス決済手段が適切に本人確認を行うことで、不正出金が行われた場合の攻撃者の追跡は容易になりますが、それだけで不正出金を止めることはできないのです。

いますぐ利用者にできること

ドコモ口座は既に新規の口座振込登録を中止しており、これから更に被害が広がる状況にはありません。まず通帳を記帳するなどして入出金明細を確認し、不審な出金がないかどうか確認できます。インターネットバンキングを利用している場合、念のため今後の不正な出金にすぐ気付けるように出金時に電子メール等で通知を受けられる機能を有効にするといいでしょう。そういった機能がない場合も、MoneyForwardなどのPFMアプリには一定額以上の出金を検知して利用者に通知する機能があります。

ご利用の金融機関の口座振替登録が安全かどうか、どのように確認できるのでしょうか。口座番号、口座名義人カナ氏名、生年月日、暗証番号だけで口座振込登録ができてしまう場合は、不正出金が行われるリスクが考えられます。ドコモ口座と連携している金融機関であっても、記帳最終残高の下4桁を入力させる、口座開設時に届け出た電話番号に確認するといった対策が行われている場合には、フィッシング等で必要な情報を窃取されていない限りにおいて、不正に出金が行われるリスクは低いと考えられます。

いくつかの金融機関では、窓口で届出を行うことでインターネット経由の口座振込登録を止めることができます。リスクが高い金融機関を使っていて、どうしても不安を払拭できない場合に限り、不便にはなりますが、こうした届出を行うことも一案かも知れません。

すぐにでもドコモが取り組むべきこと

ドコモは既に記者会見を行って対策を発表しています。当面は口座振替の新規登録を止めて、加入者契約と紐付いていないdアカウントの利用者に対してはSMSによる携帯電話番号の取得やeKYCを実施するようです。これらの施策によって、まずは他のキャッシュレス決済と同水準の安全性を担保できるのではないでしょうか。

前述の記事では15行の既存利用者について、引き続き口座振替を行っていることに対して競合他社や専門家から批判が向けられています。これらの15行はもともと口座振替登録で適切なセキュリティー対策が行われており、現時点では被害が発生していないようです。既に被害が発生しているにも関わらず利用者が気付いていない可能性も僅かながら考えられますが、ドコモの対応は止血と事業継続との間でバランスを取った対応のように見受けられます。

ドコモ口座の利用者でなくても不正に出金されてしまうことは、悪用されたドコモ口座ではなくて、一部金融機関に残存しているWeb口座振替登録機能の脆弱性に起因しています。ドコモ口座のサービスを止めたところで解決には繋がりません。

あえて一部のドコモ口座を止めるべき理由があるとしたら、既に時宜を逸しているところですが、他人の口座から窃取した犯罪収益の散逸を防ぐため、ショッピング等での出金・利用を凍結することは考えられます。この場合もドコモ口座のサービス全体を止める必要はなく、本人確認されていない口座のうち、直近で高額のチャージが行われているアカウントに絞って凍結し、本人確認を行った上で利用を再開する流れとなるでしょう。

昨年の7payしかりキャッシュレス決済の不正利用に対して、すぐにサービスを止めるべきだという意見は少なからず出てきます。しかし現に万単位の利用者がいる中でサービスを止めることは止血のための最後の手段です。まずは事業者としてサービスを継続し、被害者と真摯に向かい合って必要な補償を行うことが先決です。

短期での止血が難しく、財務的に補償が難しい場合の緊急避難として、サービス全体を止めることも選択肢としては考えられますが、事業者として決して責任ある対応とはいえません。特にドコモのように盤石な財務基盤を持つ企業にとっては、補償を約束してサービスを提供し続ける姿勢の方が、腹を括った責任ある対応といえるのではないでしょうか。

金融業界が再点検すべきこと

今回たまたまドコモ口座で問題が起きたことから、金融機関よりもドコモの対応に関心が向いています。しかし問題は被害に遭った銀行口座のWeb口座振替登録サービスの脆弱性に起因しています。収納組織が本人確認を適切に行うことによって、結果として攻撃者による不正出金を水際で阻止したり、犯人の追跡が容易になることは期待されますが、不正出金を抑止するためにはWeb口座振替登録サービスの脆弱性を塞ぐことこそが対策の本筋です。

口座振替登録のセキュリティー対策としては、記帳最終残高の下4桁を入力させる、口座開設時に届け出た電話番号に確認するといった対策が効果を上げています。最初に被害があった七十七銀行では、口座開設時に届け出た電話番号に確認を行うIVR認証を9月中旬から行うと発表しています。今回ドコモ口座による不正出金の被害に遭った金融機関に限らず、Web口座振替登録サービスの脆弱性がないか再点検を行う必要があるのではないでしょうか。

システム更改のスケジュールなど日程上の理由から、短期での脆弱性解消が難しいケースもあるでしょう。こうした場合も最低限、窓口での届出に基づいてインターネットからの口座振替登録を受け付けない選択肢を提供する、被害の申し出があった場合に適切に対応できるエスカレーション・フローを構築し、被害者と真摯に向かい合うといった対応策が考えられます。

本来インターネットバンキングもWeb口座振替登録も、金融機関が提供するインターネット・モバイルでのサービスの一部として、金融情報システムセンター (FISC) が規定している金融機関等コンピュータシステムの安全対策基準に準拠する必要があります。

ところが多要素認証などを必須としているインターネットバンキングと比べて、口座振替登録においては非常に安全性が低い認証・本人確認方法が用いられ、脆弱性が見つかっても放置されてきた実情があります。こうした基準が適切であったのか、正しく解釈運用されてきたのかどうか、業界として再点検を要するところです。

今後政府が検討すべきこと

ドコモ口座は2019年5月にりそな銀行で不正出金の被害があったにも関わらず、2019年10月から加入者契約と紐付いていないアカウントでも利用できるよう仕様変更しました。7Payが世間を騒がせたタイミングで何をきっかけに仕様変更したのか、理解に苦しむところです。金融庁は資金移動業者に利用者の本人確認を義務づける方向で、規制の見直しを検討しているとも報じられています。

政府はここ数年FinTechやキャッシュレス決済の普及へ向けて、様々な施策を打ってきました。2016年の銀行法改正では銀行によるAPI提供の努力義務が定められ、API接続機関として電子決済等代行業が創設されました。欧州のPSD2などのルールを参考にAPI提供にあたっての責任分界点についても議論されたようです。しかしながら以前からあるインターネット経由での口座振替登録に対しては、こうしたAPI接続に求められる新しいルールは適用されていません。

高い水準のセキュリティーを要求されるべき財産の移動に対して、過去からの惰性で入出金明細の取得よりも緩いルールが適用され、責任分界点などについて十分に議論されてこなかったのだとすれば奇妙なことです。被害者からの被害の訴えに対して、当初は銀行やドコモが適切な対応を行わなかった背景として、こうした曖昧な責任分界点が横たわっている可能性もあります。

インターネット経由での口座振替登録は更新系APIに当たるのか、不正が生じた場合の責任分界点、被害者から訴えがあった場合の対応などについて、預金者保護の観点からルールの明確化が求められます。

そして適切なセキュリティを担保しつつ、FinTechやキャッシュレス決済の普及を妨げることがないように、ユーザビリティーの高いeKYCの手段を提供すべきです。残念ながら今日、ダークマーケットプレイスなどを使うと、たったの数万円で完成度の高い偽造身分証を購入できます。これらがマネーロンダリングに悪用されていることは、専門家の間で広く知られています。しかしながら、現在の規制では、こういった偽造身分証を見破ることができない、簡易的な本人確認手段が認められてしまっているのが実情です。

スマートフォンで広くNFCが普及した一方で、マイナンバーカードの普及率が低く、運転免許証ICカードのPINを覚えていないドライバーが大半であることなど、残念ながら現時点では厳格なeKYCを行える環境が整っていません。こうしたeKYCを取り巻く環境を改善し、金融機関やFinTech事業者が低いハードルで高い水準の本人確認を利用できる環境を整えることは、政府にしかできない重要な役割といえます。

何故ここまで炎上したのか

最後に銀行口座やキャッシュレス決済を取り巻く脅威は、「ドコモ口座」に限らないことについて触れておきましょう。日本クレジット協会の公表資料によると、クレジットカードの不正利用被害が、2017年から毎年200億円を超えています。

クレジットカード不正使用被害の発生状況
クレジットカード不正使用被害の発生状況

警察庁の発表によると一時は減少傾向にあったインターネットバンキングでの不正出金も、再び急増して25億円近くの被害が生じています。こうした被害実態の中で、今回ドコモ口座で起きた2000万円近く不正出金は、必ずしも大きな被害とはいえません。では何故これほどまでに社会の注目を集めて「炎上」してしまったのでしょうか。

ひとつは、使ってもいないサービスから不正出金されてしまう脅威の性質が、銀行に預金口座を持つ多くの人々にとって、身近な不安を惹起したからではないでしょうか。一部報道で誰にでも起こり得て、防ぎようがないといった報じ方をされたことが、パニックに近い受け止められ方をされたのかも知れません。しかしながら口座振替登録を悪用した不正出金は、他のキャッシュレス決済でも起こったことがあり、これまでは大きな社会的関心を招くことはありませんでした。

今回とても残念だったのは、被害者が最初は銀行やドコモに被害を訴えたにも関わらず門前払いにされてしまったことです。それどころか被害者に対して手を差し伸べるべき警察までもが、被害届を適切に受理せずに、相談扱いで処理してしまいました。仮に県境を越えるサイバー事案を受理することで検挙率が下がることを嫌って、なおざりな対応を行ったのだとすれば、とんでもないことです。

もし仮に銀行やドコモが被害者と真摯に向かい合っていたならば、被害者がTwitterで助けを求めるような事態には至らなかったのではないでしょうか。そして警察が被害届を受理して、適切に捜査を行っていたならば、やはり被害者は捜査の邪魔になるような発信をTwitterで行うことを思い留まったはずです。

そもそも何ら契約もない状態で預金が不正に引き出される可能性自体がとんでもないことですが、初動で適切な対応さえ行っていたならば、他の不正被害と同様に穏便に処理された可能性もあります。今回の事件を奇貨として、キャッシュレス決済の本人確認や口座振替登録のセキュリティーを見直すことは重要です。しかしシステム改修には時間を要するところですし、攻撃の手口も日々進歩する中で情報システムに完璧はありません。

今すぐできて確実な効果を期待できるのは、まずは被害の訴えと真摯に向き合える体制を構築することです。「何故これほど多くのうちだけが、ここまで騒がれなければならなかったのか」と理不尽に感じるのではなく、どうしてネットに書き込む前に窓口に相談しに来てくれた被害者の訴えと真摯に向き合うことができなかったのか、似たような不適切な対応が他の事案でも行われていないか、その背景として窓口のエスカレーションフローや事業者間の責任分界点に抜け漏れがないか、再点検するところから始めるべきではないでしょうか。

わたしが代表を務めるOpenID Foundation Japanでは、2019年にKYC WGを立ち上げ、2020年1月にサービス事業者のための本人確認手続き(KYC)に関する調査レポートを公表しました。本人確認やeKYCの詳細にご関心のある方は、一読されることをお勧めします。