ASCII倶楽部

このページの本文へ

小島寛明の「規制とテクノロジー」 第92回

ドコモ口座の不正出金、被害額以上に深刻な事態に

2020年09月14日 09時00分更新

文● 小島寛明

  • この記事をはてなブックマークに追加
  • 本文印刷

 NTTドコモが提供する「ドコモ口座」を使って、銀行の預金が相次いで不正に引き出された。

 同社の発表によれば、2020年9月10日までに判明した被害は、66件約1800万円。預金が不正に引き出された銀行は11行に及んでいる。

 いまのところ被害総額1800万円と、不正出金事件としては「小さい」と判断しているのか、テレビや新聞の扱いはほどほどという印象を受ける。

 しかし、ドコモの会見や銀行が公表した事案の概要からは、かなり深刻な事態が浮かぶ。

 ハッカーは、銀行の口座番号と暗証番号を不正に手に入れたうえで、ドコモ側の本人確認のゆるさを突いている。

●被害者はドコモユーザーではない

 今回の事案では、ドコモのユーザーでも、ドコモ口座の利用者でもない人たちが被害にあった。

 ドコモの携帯電話回線を使っていない人でもドコモ口座を開設できるが、ドコモユーザーとそうでない人で、本人確認の手続きに差をつけたことが不正利用を招いた。

 利用者はまず、ドコモの電子決済サービス「d払い」を使い始める際に、「ドコモ口座」をつくる。

 念のためだが、d払いは、スマホで店頭で支払いができる決済サービスのひとつだ。

 ドコモユーザーでない人がドコモ口座を開設する際には、ドコモのアカウントをつくり、銀行の口座番号や暗証番号を入力する。

 そのうえで、登録したメールアドレスに送られてきたメールに記載されているリンクをクリックして、本人確認をする。

 銀行口座とドコモ口座の連携が完了すれば、銀行口座からドコモ口座に「チャージ」をすることができる。

 手続きは、簡単だ。

●銀行もドコモも「漏えいはない」と主張

 ドコモ側の発表によれば、今回の不正出金で利用されたとみられる個人情報の例として(1)氏名(2)口座番号(3)4桁の暗証番号(4)生年月日の4種類が挙げられている。

 生年月日が挙げられているのは、いまも誕生日を暗証番号に使っている人が多いことのあらわれだろうか。

 不正送金された銀行のひとつである大垣共立銀行(岐阜県大垣市)などは、口座番号や暗証番号の漏えいは起きていないと発表。ドコモ側も漏えいはないと主張している。

 銀行の発表が事実であるとすれば、個人情報が盗み取られた手口の候補として上がってくるのは、フィッシングだろう。

 フィッシングは、金融機関などを装ったメールを送りつけ、ニセのサイトに誘導し、口座番号やパスワードといった情報を盗む。狙われるのは、経済的な被害に直結しうる情報だ。

 被害が確認された銀行は、全国各地に広がっている。そうなると、特定の銀行からまとまった数の個人情報が盗まれたというより、個人が標的になった可能性が高いのではないか。

●メールアドレスを用意できれば、準備完了

 現時点で明らかにされている事実からは、氏名、口座番号、暗証番号などを手に入れたハッカー側は、あとは適当なメールアドレスを準備できれば、不正出金の準備が整うと考えられる。

 もう少し厳重な本人確認の手続きが用意されていれば、被害は防ぐことができた言っていいだろう。

 なんで、こうもゆるい仕組みで運用されていたのか。

カテゴリートップへ

この連載の記事

ASCII倶楽部の新着記事

会員専用動画の紹介も!