事件の真相、背景が見えてきています。

２回目のドコモ口座不正出金事件に関する会見がオンラインで行われました。真実に近づけば、近づくほど、私たちは身を守る術を的確に手に入れることができます。

今回は、３つの視点に絞ってお話します。

1点目は、14日の会見では、新たに被害状況が更新されました。被害件数120件、被害総額が2542万円です。2019年10月から被害が発生し、９月10日の新規口座停止後にも、１件の不正出金がありました。追記：15日現在、143件、2676万円。

多くの人が口座を利用している段階では、ドコモ側はすべての口座を止められないとしています。その是非はともかく、不正口座がすべて洗い出されたわけではない状況下では、絶対に不正チャージが行われないとは断言できませんので、金額は大きくはないかもしれませんが、今後も被害額は増えるかと思います。

というのも、犯罪者は相手方に隙があるうちには、騙す行為を徹底して行うものだからです。駆け込み犯罪の危険性は未だ存在しています。ドコモ側が被害者への全額補償の方針を示しているとはいえ、犯罪者にお金が渡ってしまうわけですから、数万円ほどの少額の預金であったとしても、不正出金に利用者側がいち早く気づく必要があります。

２点目は、銀行から、ドコモ口座への不正出金が行われた方法についてです。

当初からフィッシング詐欺による個人情報流出の疑いが高いことを話してきましたが、今回の会見でも「たくさんのアタックではない」との回答があり、ピンポイントでの情報入力をしてきているとのことですので、それが裏付けられてきています。

前回の会見でも「銀行から(大量のアクセスがあった)の報告はない」とのことでしたので、これまで口座からの出金方法に、言葉の目新しさからでしょう。注目を集めた、暗証番号や銀行口座番号の一方を固定して、数字の組み合わせを何度も試す「ブルートフォース」「リバースブルートフォース」のアタックがなされた可能性は低いということになります。

となると、口座からの出金に過度な心配はしなくてもよい人も出てきます。

銀行名で「あなたの銀行口座にリスクが生じたので、一時的に口座を制限します。ご自身で解除してください」といったものや、「荷物をお届けにあがりました」というＳＭＳ（ショートメッセージ）が来て、ついタップして、個人情報を入力してした人たちです。

今年６月には警察庁から、同庁HPを模倣した偽サイトへの注意が呼び掛けられましたが、サイト上に「不正送金の被害が急増している」という警告文を出して、「不正がないかを確認するため」といって、銀行の偽サイトへアクセスさせる手口もありました。

こうしたフィッシングに個人情報を入力した記憶のある人で、ドコモ口座と提携をしている35行に口座を持っている人は、早急に出金履歴の確認をした方がよいでしょう。暗証番号を抜きとられた覚えがなくても、得られた個人情報から容易に推測されたり、暗証番号を知られてしまう足がかりになるからです。

もうひとつの可能性に、偽サイトの画面へ誘導した際、テレフォンバンキングの偽の電話番号を載せて、電話をかけさせて、自動音声を流し口座番号や暗証番号を盗みとることも考えられます。

もちろん、スマホを持ち始めた高齢の親の口座情報が洩れて被害に遭っている可能性も捨てきれませんが、普段、ネット利用をする人が一番のリスクを持っていることがはっきりとしてきました。

３点目は、犯人像です。

会見では、チャージされたお金の使われ方が「コンビニでたばこを買う」「家電量販店で高額な物を買う」ということでした。おそらく、薬局での購入もあるかと思います。犯罪者は、一旦、商品を購入し転売して、金を手にします。

これらは、過去の詐欺事件から見て、偽造クレジットカードを使って犯罪を行う海外集団がよく使う手です。

昨年に発生した「セブンペイ（7pay）不正アクセス事件」でも、上から指示を受けたと思われる「買い子」の中国籍の人物が10万円分のたばこをコンビニで買って逮捕されています。あの時と同様な犯罪集団が背後にいる可能性が出てきました。今後、捨て駒である「買い子」は逮捕されると思いますので、捜査の進展が待たれるところです。

そう考えると、セブンペイでの不正アクセス事件を、ドコモ側が自らのこととして捉えていれば、防げたかもしれないと思うと、残念でなりません。

最後に、資金決済法において、資金を移動させるにあたり、本人確認が必要になります。今回、メールアドレスだけで口座が開設できたわけですが、この本人確認の方法は、ドコモ側によると「法律上、問題はなかった」とのことです。もちろん「本人確認の方法として、不十分であった」ことは、これまでに認めている通りです。

ここで知っておかなければならないのは、法律だけに則ってことを進めていてはいけないということです。法律に沿っているからといって、すべての被害リスクが回避できるわけではない。犯罪者は次々と法律などの隙を見つけて、攻撃をしてくるからです。

これは、今回の問題に限りません。

現在、訪問販売などで適用される、８日以内であれば無条件で解約できる「クーリングオフ制度」は、全商品が対象で、そこから幾つかの指定商品を除外しています。それゆえ、今はほとんどの商品で契約解除が可能です。

しかし昔は、法律でクーリングオフできる商品が決まっており、そこにない商品を扱って販売し利ざやをあげる悪徳商法が横行したものです。たとえば、クーリングオフの対象に「味噌」がないと知ると、悪徳業者が味噌をもって訪問販売で売るといった感じでした。

法律が、現実での防犯に100％役立つかというと、そうではありません。

今回の事件の背景に、ドコモ側の「顧客のために」というよりは、「自社の利益のために」という思惑がちらちらと見えてきているのは残念なことです。

法律という紙に書かれたものを見てだけ行動するのではなく、サイバー犯罪行為が頻発している状況下で、大事な顧客が被害に遭うかもしれないという現実を見据えたうえでの対応が必要でした。

これはドコモに限らず、キャッシュレス決済を進める業者・銀行すべてに必要なことだと考えています。

追記：15日に、ドコモ口座以外にも、ペイペイなどへの不正出金があったことが報道されました。

2019年10月にキャッシュレスポイント還元を早急に進めてきたなかでの負の側面が、一気に噴き出してきています。

２度目の会見から、2019年10月に最初の被害が起きていることがわかっていますので、

まさに今、危機感をもって、顧客の側だけでなく、キャッシュレス決済を行う業界全体の防犯意識を高める必要があります。