ASCII倶楽部

このページの本文へ

小島寛明の「規制とテクノロジー」 第96回

認証代行業者の闇

2020年10月12日 09時00分更新

文● 小島寛明

  • この記事をはてなブックマークに追加
  • 本文印刷

 キャッシュレス決済に絡む不正利用が、次々に明らかになっている。

 時事通信の報道によれば、2020年10月8日には、スマホ決済PayPayを新規に登録した人に贈られる電子マネーを不正に現金化したとして、警視庁が3人を逮捕した。

 PayPayに限らず、ゆうちょ銀行、NTTドコモ、各地の地方銀行などで浮上したキャッシュレス決済に絡む不正では、多くの場合、本人確認の穴をつかれている。

 いまのところ、不正を防ぐ対策として各社が2段階認証を導入しているが、この方法にもすき間はある。

 SMS(ショート・メッセージ・サービス)を使った2段階認証を代行してくれるサービスまで存在するのが現状だ。

SIMカード4万枚用意、PayPay登録

 時事通信によれば、PayPayの不正使用事件では、電子計算機使用詐欺の疑いで3人が逮捕された。

 容疑者たちは4万枚のSIMカードを用意して、PayPayで4万アカウントを登録したという。

 PayPayは2019年夏ごろ、新規にアカウントを登録したユーザーには500円分の電子マネーを贈るキャンペーンを実施していた。

 単純計算で、容疑者グループは、4万アカウントで2千万円分の電子マネーを入手できることになる。

 さらに、ヤフオクに商品を出品し、自分で落札する架空取引を繰り返し、電子マネーを現金に替えたとされる。

 2段階認証には複数の方法があるが、典型的なのはSMSを使う方法だ。

 IDとパスワードを入れると、携帯電話にSMSで確認用のコードが届く。このコードを入力すれば、アカウントを開設したり、サービスにアクセスしたりできる。

 IDとパスワードを知っていて、携帯番号に送られたコードを確認した人は、かなり高い確率で本人だろうと判断する仕組みだ。

●SMS認証の代行サービス

 しかし、SMSに送られたコードを確認する人が、本人でないケースがある。

 ツイッター上ではいまも、SMSを使う2段階認証を代行してくれるサービスに関する投稿を見ることができる。

 たとえば、2020年10月8日に、こんな書き込みを確認した。

SMS認証代行 企業対応だから絶対的安心
070.080.090の番号なので国内サービス可能

ヤフオク 1000
メルカリ 1500
Gメール  1200

 こうした認証代行には、通話機能がなく、データ通信のみに対応するSIMカードが使われることが多いという。通話機能のないSIMカードは、取得時に本人確認が義務付けられていない。

 認証を代行してもらうと、何ができるのだろうか。

 まず、最近は「特殊詐欺」とも呼ばれる、オレオレ詐欺に必要なIP電話の電話番号の取得に使われたケースがある。

 当然ながら、詐欺の実行犯は身元を隠す必要があり、認証を第三者に代行してもらうニーズがあるのだろう。

 6月には、2段階認証を代行したとして、代行業者が埼玉県警に逮捕されている。

 通販業者が認証を代行してもらって、Amazonや楽天といったサービスのアカウントを大量取得すれば、ライバル業者の商品に、何人ものユーザーを装って繰り返し低評価をつけるといった使い方も想像できる。

 10月5日付の朝日新聞によれば、埼玉県警は最近、2段階認証の代行業の宣伝をするツイッターの投稿者に対して直接返信し、やめるよう促しているという。

カテゴリートップへ

この連載の記事

ASCII倶楽部の新着記事

会員専用動画の紹介も!