「本人確認が甘かった」--ドコモ口座の不正チャージ、被害総額は約1800万円に

 NTTドコモは9月10日、同社のウォレットサービス「ドコモ口座」で発生した不正チャージ事件について謝罪。同社代表取締役副社長の丸山誠治氏は、「本人確認が甘い状態でサービスを展開していた」とシステムの不備を認めた。

キャプション
(左から)NTTドコモ ウォレットビジネス部長の田原務氏、同社代表取締役副社長の丸山誠治氏、同社常務執行役員の前田義晃氏

 ドコモ口座は、同社のキャッシュレス決済「d払い」での支払いや送金に使えるウォレットサービス。前身は2009年7月に提供開始された「ドコモ ケータイ送金」で、資金移動業の登録を受けたことで2011年に今のサービスに変更された。もともとは、ドコモユーザー向けに提供していたサービスだが、ユーザー層拡大を狙うべくキャリアフリー(他のキャリアでも利用可能)戦略に切り替えた経緯がある。

 不正チャージの被害件数は66件、被害総額は約1800万円。残高がマイナスになった場合の利子や問い合わせ時の電話代などを含め、銀行側と協議して全額を補償する。すでに、全提携銀行での口座登録・変更は停止しており、11行ではドコモ口座へのチャージをストップしている。

 被害件数は、銀行からの申告ベースのため、今後若干増える可能性はあるものの、「桁が変わる」ほど被害額が増える可能性は低いこと、1日1万3000件のチャージが行われていることなどから、ユーザーの利便性を考慮してサービスは継続。すでに口座登録したユーザーであれば、11行を除いてチャージも可能だ。

キャプション
被害件数は66件、被害総額は約1800万円

 同社では、不正対策として「eKYC」を9月末までに、SMS認証を早急に導入する予定。eKYCは、金融機関などで使われている本人確認サービスで、免許証などの顔写真付き身分証明書とユーザー自身の顔を同時に撮影して提出する。身分証明書は、表面だけでなく裏面、厚みもそれぞれ撮影する必要がある。ただし、eKYCの情報と銀行が持つ個人情報を突合する予定はなく、今後の検討課題としている。

キャプション
ドコモでは、不正対策としてSMS認証とeKYC認証を採用
キャプション
eKYCを導入。運転免許証など顔写真付きの身分証明書と本人を同時に撮影する必要がある

ドコモ以外のユーザー獲得が仇に

 ドコモ口座では、2パターンの口座開設が存在する。まずはドコモ回線のユーザーが開設する場合で、SMS認証と契約時に決めたネットワーク暗証番号の入力が求められる。もう一つが、ドコモ以外のユーザーなど、ドコモ回線を紐付けずに使いたい用途を想定したアカウントで、メールアドレスを使った2段階認証のみ採用。「口座情報を持っているのは本人」というスタンスにより、口座連携で本人確認を完了していた。

 メールアドレスは、電話番号などと比べると匿名性が高く作成コストも低い。そのため、匿名性の高いドコモ口座のアカウントが生成できてしまう。この認証を採用した理由について丸山氏は、「dアカウントをお持ちであれば、ドコモ回線を使わなくても(d払いなど)多くのサービスを便利に使ってもらえるよう、すべてのお客様に開放する戦略を取っている。ドコモ口座も、お客様の範囲を広げていく趣旨で簡易な手段を提供した」としつつも、「お金が絡むサービスに関しては、より本人確認を厳重にしたい」と改めた。

キャプション
ドコモ回線を使った場合と、それ以外での認証方法の差

 今回、攻撃者は何らかの方法で取得した名義や口座番号、暗証番号などの情報を取得し、銀行口座と連携したとみられる。しかし、どのようにして口座情報を取得したのか、関連性が指摘されているリバースブルートフォース攻撃(暗証番号を固定したまま口座番号を総当たりすることで、入力回数制限を回避する)といった攻撃手法、アカウントの傾向などについては、地銀から情報共有を受けておらず、詳細は不明という。

 チャージを中止している銀行は、口座接続に地銀ネットワークサービスの「Web口振受付サービス」を利用しているが、どの認証レベルを採用しているかを含め銀行側が仕様を決めており、ドコモはそれに準拠している。各行で本人確認にばらつきがあり、ワンタイムパスワードなどでセキュリティを高めている銀行もある中、今回チャージを停止した11行については、「比較的、口座番号とキャッシュカードの暗証番号、生年月日のみで連携できる」(同社ウォレットビジネス部長の田原務氏)仕様だったという。

 どのチャージが不正かを判別するのは難しいものの、チャージされた残高の現金化については、決済した店舗などの情報などから追跡できる可能性があり、捜査当局と連携して犯人の特定を進める。

キャプション
不正チャージの流れ

 ドコモ口座では、2019年5月にも、りそな銀行で不正チャージが発覚している。当時は、ドコモユーザーのみに提供しており、回線契約による本人確認を前提に銀行口座と紐づけていた。しかし、「銀行口座の名義と回線名義が一致してなくても本人確認が取れてしまった」(NTTドコモ常務執行役員の前田義晃氏)ため、指摘後に名義が一致しない限り接続しないように修正。チャージの上限額も毎月100万円から30万円に減額している。

 今回の事件は、ドコモ外部にサービスを開放するキャリアフリー化が一つの引き金になっていたが、同社は「キャリアフリー戦略を変更するつもりはない」という。ただし、お金が絡むような厳格なセキュリティが必要なプロダクトなど、サービスの種類ごとにセキュリティレベルを使い分けていくようだ。

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画特集

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]