NTTドコモの電子マネーサービス『ドコモ口座』にて、地方銀行の口座から不正に引き出しが行われる被害が9月3日より報告され、8日に正式発表されました。

 ドコモからのお知らせ : 一部銀行の口座情報を使用したドコモ口座の不正利用について | お知らせ | NTTドコモ

 今回の不正利用、「自分の口座は大丈夫?」と不安になる人は多いと思いますが、どの条件の人が被害に遭う可能性があるかはわかっています。

 『ドコモ口座』を使っていない人です。

 SNS『Twitter』で被害を報告しているユーザーの方々も、「ドコモ口座は使ったことがない」とツイートされていました(※1※2※3)。

同一口座は複数のdアカウントに登録できない

 『ドコモ口座』はdアカウントひとつにつき1口座しか登録できません。逆も同じです。

 これはQ&Aでも書かれており、「同一の銀行口座を複数のウォレットに登録することはできません」。

 そのため、すでに『ドコモ口座』に自分の口座を登録している人は、その口座をほかのdアカウントで不正利用される恐れがありません。

 実際に筆者が2つのdアカウントを作成して試したところ、2つめのdアカウントに同じ口座を登録することはできませんでした。

ほかのdアカウントですでに登録済みの口座は登録できない。筆者キャプチャ
ほかのdアカウントですでに登録済みの口座は登録できない。筆者キャプチャ

 つまり被害に遭う可能性があるのは『ドコモ口座』以外のユーザーなのです。

 そして現在起きている不正利用は、使っていない『ドコモ口座』に自分の銀行口座を登録すると防げるということになります。まあこれは不安になる対処法ですね。

どうやって不正利用されたのか?

 今回の不正利用について、ドコモは「不正に取得された銀行口座番号やキャッシュカードの暗証番号等を悪用したもの」、「当社システムに不正アクセスされ情報を取得されたものではございません」と報告しています。

 ただ、今回の事例は暗証番号の不正取得ではなく、ひとつの固定した暗証番号(例えば「0000」など)をさまざまな口座でログインできないか試していくリバースブルートフォース攻撃が行われたのではないかとみられています。

 『ドコモ口座』の利用に必要なdアカウントの作成時には本人確認がなく(ドコモからはdアカウントの発行完了通知がメールアドレスに届くだけ)、本人確認を銀行口座との紐付けで行っていたため、銀行口座と暗証番号が一致した時点で本人と認識し、引き出しができるようになっていたようです。

まとめ

 今回のまとめです。

  • 被害に遭う可能性があるのは『ドコモ口座』に銀行口座を登録していない人
  • 不正利用の方法はおそらくリバースブルートフォース攻撃
  • 被害を防ぐには『ドコモ口座』に口座を登録する→心情的に不安だと思うのでおすすめはしません
  • 被害が確認されている銀行:報道によると17行

 なお、今回の被害のあとで今度は『ドコモ口座』ユーザーに対して暗証番号を聞き出そうとする詐欺電話やメールが送られる可能性があります。こちらもお気をつけください。