NTTドコモが提供する「ドコモ口座」を使って、銀行の預金が相次いで不正に引き出された。
同社の発表によれば、2020年9月10日までに判明した被害は、66件約1800万円。預金が不正に引き出された銀行は11行に及んでいる。
いまのところ被害総額1800万円と、不正出金事件としては「小さい」と判断しているのか、テレビや新聞の扱いはほどほどという印象を受ける。
しかし、ドコモの会見や銀行が公表した事案の概要からは、かなり深刻な事態が浮かぶ。
ハッカーは、銀行の口座番号と暗証番号を不正に手に入れたうえで、ドコモ側の本人確認のゆるさを突いている。
●被害者はドコモユーザーではない
今回の事案では、ドコモのユーザーでも、ドコモ口座の利用者でもない人たちが被害にあった。
ドコモの携帯電話回線を使っていない人でもドコモ口座を開設できるが、ドコモユーザーとそうでない人で、本人確認の手続きに差をつけたことが不正利用を招いた。
利用者はまず、ドコモの電子決済サービス「d払い」を使い始める際に、「ドコモ口座」をつくる。
念のためだが、d払いは、スマホで店頭で支払いができる決済サービスのひとつだ。
ドコモユーザーでない人がドコモ口座を開設する際には、ドコモのアカウントをつくり、銀行の口座番号や暗証番号を入力する。
そのうえで、登録したメールアドレスに送られてきたメールに記載されているリンクをクリックして、本人確認をする。
銀行口座とドコモ口座の連携が完了すれば、銀行口座からドコモ口座に「チャージ」をすることができる。
手続きは、簡単だ。
●銀行もドコモも「漏えいはない」と主張
ドコモ側の発表によれば、今回の不正出金で利用されたとみられる個人情報の例として(1)氏名(2)口座番号(3)4桁の暗証番号(4)生年月日の4種類が挙げられている。
生年月日が挙げられているのは、いまも誕生日を暗証番号に使っている人が多いことのあらわれだろうか。
不正送金された銀行のひとつである大垣共立銀行(岐阜県大垣市)などは、口座番号や暗証番号の漏えいは起きていないと発表。ドコモ側も漏えいはないと主張している。
銀行の発表が事実であるとすれば、個人情報が盗み取られた手口の候補として上がってくるのは、フィッシングだろう。
フィッシングは、金融機関などを装ったメールを送りつけ、ニセのサイトに誘導し、口座番号やパスワードといった情報を盗む。狙われるのは、経済的な被害に直結しうる情報だ。
被害が確認された銀行は、全国各地に広がっている。そうなると、特定の銀行からまとまった数の個人情報が盗まれたというより、個人が標的になった可能性が高いのではないか。
●メールアドレスを用意できれば、準備完了
現時点で明らかにされている事実からは、氏名、口座番号、暗証番号などを手に入れたハッカー側は、あとは適当なメールアドレスを準備できれば、不正出金の準備が整うと考えられる。
もう少し厳重な本人確認の手続きが用意されていれば、被害は防ぐことができた言っていいだろう。
なんで、こうもゆるい仕組みで運用されていたのか。
この連載の記事
- 第313回 アマゾンに公取委が“ガサ入れ” 調査の進め方に大きな変化
- 第312回 豪州で16歳未満のSNS禁止 ザル法かもしれないが…
- 第311回 政府、次世代電池に1778億円 「全固体」実現性には疑問も
- 第310回 先端半導体、政府がさらに10兆円。大博打の勝算は
- 第309回 トランプ2.0で、AIブームに拍車?
- 第308回 自動運転:トヨタとNTTが本格協業、日本はゆっくりした動き
- 第307回 総選挙で“ベンチャー政党”が躍進 ネット戦略奏功
- 第306回 IT大手の原発投資相次ぐ AIで電力需要が爆増
- 第305回 AndroidでMicrosoftストアが使えるように? “グーグル分割”の現実味
- 第304回 イーロン・マスク氏、ブラジル最高裁に白旗
- この連載の一覧へ