ドコモ口座事件の謝罪会見から見えてきた、本人確認不足以上の穴!被害を起こした本当の原因とは!?

(写真:アフロ)

知らぬ間に自分の銀行口座から不正出金されている。これほど、恐ろしいことはありません。

電子マネーの決済サービス「ドコモ口座」が第三者により勝手に開設されて、地方銀行や郵貯銀行の口座から不正に出金される被害が続発しました。追記:9月14日現在、被害件数120件、被害総額が2542万円です。

事件の特異性は

この事件の特異性は、ドコモ口座を持っている人が被害に遭うよりも、口座を持っていない人が、勝手に口座を開設されて被害に遭いやすいところです。

通常のサイバー犯罪であれば、ネットを頻繁に利用する人たちが被害に遭いますが、今回は、普段ネットでお金のやりとりをしない人たち、高齢者も被害に遭う可能性があるわけで、誰の身に起こりうる恐怖がここにあります。

謝罪会見から見えてきたのは、ドコモ側のサイバー犯罪への認識の甘さであり、「こないだろう」ではなく「くるだろう」という発想の欠如です。

今、銀行を騙り「一時的に口座を制限します。下記のURLをクリックして制限を解除してください」という内容のSMSやメールが頻繁に送られてきています。本物そっくりの偽銀行サイトに誘導されて、ID、パスワードなどの個人情報を盗み取るフィッシング詐欺が横行しており、この情報をもとに犯罪者らは口座に不正アクセスして、別人の口座に不正送金させます。この事案が昨年より急増しています。

利用者側にちょっとした心のゆるみがあっただけでも、被害に遭ってしまうわけですが、今回はメールアドレスだけで口座が開設できるという、ある意味ブラックホール並みの穴を運営者が作っていたのですから、犯罪者が侵入しないわけがありません。

今回の問題は、ドコモ側も認めているように「本人確認をしなかった」ことにつきます。

もしフィッシング詐欺などで、不正に口座番号や暗証番号などの情報を入手できても、それを使って送金できる先がなければ、犯罪者はお金を手にできないわけで、お金を受けとる側の対策は、被害を防ぐための最後の砦です。

それは、振り込め詐欺対策を見てもわかります。詐欺電話に気をつけるように促す一方、不正にお金を振り込ませる口座をなくすため、銀行で口座開設する時には身分証での本人確認が徹底されています。

ところが、ドコモ口座では、本人確認の手順を省くことで犯罪者にやすやすと最後の砦に侵入されてしまっていたのです。

抜け落ちた防犯の視点

ですが、この本人確認の不十分さは、あくまでもセキュリティの穴に過ぎず、根底に、防犯への意識自体に穴がなかったのかを考えなければなりません。

犯罪を防ぐためには、危険が「こないだろう」と考えるのではなく、「くるだろう」という発想が大切です。

詐欺を例にあげれば、詐欺犯らは時事問題に便乗してやってきて、騙そうとします。

東京オリンピックの開催が決まれば、「開会式のチケットがあるから買いませんか?」と嘘の電話をかけて金を取る“オリンピック詐欺”。

元号が変われば、「平成から令和に変わると、キャッシュカードを変えなければなりません」とカードを騙し取る“改元詐欺”といった感じです。こうした詐欺を防ぐには、時流にのって「こうくるだろう」という予測をたてて身を守らなければなりません。

このところ台風、水害などによる災害が頻発しています。その後には必ずと言ってよいほど、災害に便乗した詐欺や、家の悪徳修理業者による被害が起きます。それゆえ、こうした悪い人たちが「こないだろう」と考えるのではなく、「くるだろう」で考えて防犯対策をたてる必要があります。

ドコモ側には、その考えが欠如していたように思います。

会見でも「不正であるお客様を排除する仕組みがなかった。最大の問題である」という話がありましたが、「くるだろう」の観点が欠けていたのは明らかです。

気になる点は、まだあります。

去年の5月のりそな銀行からの不正引き出し事件に触れて、「その件に関しては、当時はドコモの回線契約をしている人が対象とされていたので、本人確認ができていた」ゆえに「今回(の不正出金)とは別な形の問題であると、認識をしている」と言います。

果たして、そうでしょうか?

確かに、小さな括りのなかでは、当時の不正出金と今回の回線契約をしていない人への身元確認ができてない状況の不正出金とでは、直接的な関連はないとの見方もできるかもしれません。しかし、サイバー犯罪という大きな括りのなかで見てみれば、「不正出金」は共通しており、別な形の問題ではありません。

犯罪は、セキュリティなどの穴を見つけて行われます。つまり、不正行為が起こる背景には、何かしらの穴があるから発生するのです。防犯上に問題があったから、昨年の事件は起こった。そう関連づけてシステムを見直せば、「本人確認しない」という穴を発見して、未然に事件を防ぐことはできたと思います。

この意識の欠如は、不正出金を訴えた人をたらい回しにしたことからもうかがえる。

すでに9月頭には不正出金の被害を知った女性が、銀行に口座の凍結を求めましたが、対応してもらえず、ドコモ、警察に連絡しましたが、いずれも被害を深刻に受け止めてもらえませんでした。「被害が出た」その言葉の重みをどれほど、相談を受けた側は受け止めていたのでしょうか。ここにも「くるだろう」という発想が欠けています。

これまで数々の詐欺事件を見てきて、被害者の声に耳を傾けない状況は多々起こっており、たらい回しの事案を聞くたびに防犯意識の足りなさに憤りさえ覚えます。被害の拡大を防ぐためには、いかに被害者の声に真摯に耳を傾け、小さな被害の芽をつむかにかかっているのです。

以上のことから、本人確認の不十分さというセキュリティ上の穴がある以上に、防犯への考え方に大きな穴があったと考えます。

犯罪の常識として知っておいてほしいのは、一度狙われたら、二度、三度と狙われるということです。振り込め詐欺でも一度被害に遭った人の名簿は流出して、繰り返し被害に遭います。

今回のサイバー犯罪にも同じことがいえます。過去に一度でもセキュリティに穴をつくった運営者は、再び狙われます。

犯罪者らはその業者が同じ防犯意識を持ち続ける限り、同じような隙をつくると考えているからです。会見を見る限り、その穴が完全に塞がれたとは思えず、今後を非常に心配しています。

これからの犯罪はこうやってくる。

今回の事件は、社会に大きな影響を与えていますので、犯罪者の「こうくるだろう」ということを述べて締めたいと思います。

ドコモ口座事件は大きなニュースになっており、間違いなく詐欺師たちはこの時流に乗ってやってきます。すでにドコモ口座事件に便乗した迷惑メールが出回っています。

詐欺を含む迷惑電話番号やメールなどの情報をデータベース化し、自動でフィルタリングするサービスの開発を行う「トビラシステムズ」によると「ドコモ口座の不正引き出し事件、怖すぎじゃないですか?地方銀行の口座持ってるなら気を付けて下さいね?」というものが出回っているとのことです。

今後は、さらに高齢者宅へ「あなたの預金がドコモ口座に不正出金されています」という詐欺電話もかかってくることでしょう。

火の粉はどんどん広がっていく恐れがありますので、私たちは「こないだろう」の発想を捨てて、「くるだろう」の考えで、防犯対策を講じる必要があります。