NTTドコモが提供する「ドコモ口座」を不正に利用し、他人の銀行口座からお金を引き出す事件が相次ぎ、大きな問題となっている。
これは、ドコモが金融・決済事業を拡大したいがためにセキュリティの甘さを見過ごしたことが主因と捉える向きが多いようだが、実際は銀行側のセキュリティ認識の甘さも大きく影響しており、2社にまたがる隙を悪用した巧妙な手口で、スマートフォン金融・決済に新たな課題を突き付けたといえる。
この問題は、地方銀行を中心としたいくつかの銀行の口座において、ドコモのバーチャルウォレットサービス「ドコモ口座」を経由し、第三者に不正に預金が引き出されてしまうというもの。
一連の問題を振り返ると、9月初頭に七十七銀行や中国銀行など複数の地方銀行の口座で、ドコモ口座を通じて不正に預金が引き出されているとの報告が相次いだ。しかも、被害に遭った人は、ドコモ口座を持っていないにもかかわらず、自身の預金口座からドコモ口座へと不正に出金されていたことで一層の驚きをもたらした。
この事態を受け、不正が報告された銀行は相次いでドコモ口座への口座振替を停止。ドコモも9月10日に、ドコモ口座における銀行口座の新規登録を当面停止した。同社によると、同日時点で被害件数は66件、被害総額は約1800万円に達しており、被害のあった銀行も11行に及ぶとのことだが、調査が進めば被害が増える可能性もあるようだ。実際、10日以降には被害件数がさらに増えている(14日時点で120件、2542万円に増加したと発表)。
そして同日、ドコモはこの問題に関して謝罪会見を開いた。同社の説明によると、不正が発生した要因の1つはドコモ口座を開設する際に本人確認の必要がなく、メールアドレスのみで開設できることにあったという。
「dポイント」などドコモが提供するサービスを利用する際に必要な「dアカウント」は、ドコモの契約者以外も開設可能で、開設に必要なのはメールアドレスのみで本人確認は必要ない。dアカウントを用いたサービスは非常に幅が広く、必ずしも本人確認が必要とは限らないものもあるためだが、それが金融サービスであるドコモ口座と結びついたことで今回の問題につながった。
というのもドコモ口座はもともと、本人確認が済んでいるドコモの回線契約者しか利用できないサービスだったのだが、2019年にスマートフォン決済の「d払い」にウォレット機能を持たせるのに合わせて、ドコモ以外のユーザーにも開放。dアカウントさえ持っていれば誰でも利用できるようになった。
だが、開設できるのはあくまで「ドコモ口座(プリペイド)」で、ドコモ口座からの送金や、セブン銀行ATMなどからの入金しか対応していない。これを銀行口座からチャージできるようにするには、銀行口座を登録する必要があるのだが、本人しか知り得ないはずの銀行口座を登録することで、それ自体が本人確認になるとドコモ側は判断。別途、本人確認手段を用意していなかったのだ。
今回の問題では、そうしたドコモ口座の隙を突き、犯人が口座を持つ人に成りすましてdアカウント、ひいてはドコモ口座を作成。何らかの手段で不正に入手した口座情報を登録し、ドコモ口座にチャージする形で預金を引き出したわけだ。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
「程よく明るい」照明がオフィスにもたらす
業務生産性の向上への意外な効果
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス