不正引き出し問題の現状
ドコモによると、14日時点で判明している被害件数には120件。11の銀行から不正な引出しがあり、被害総額は2542万円にのぼるという。金額自体はクレジットカードなどの不正利用に比べれば小さいが、ドコモやドコモ口座の利用者でなくても、対象となる銀行に口座があれば被害を受ける可能性があり、不安が広がっている。これに対して、ドコモと銀行は、新規の口座登録を停止。22の銀行については、ドコモ口座へのチャージも停止しているという。これは、銀行からの要請によるもの。チャージを停止していない銀行からの、不正な引出しは行われていないという。
事態を重く見たドコモは、9月12日に専用コールセンターを設置。不正な利用が疑われれるドコモ口座の利用停止措置も進めている。新規口座登録を停止して以降は、被害が1件しか発生しておらず、とりあえずの止血はできた格好だ。
放置すればドコモ口座以外も……
そもそも、ドコモ口座というサービスになじみのない人もいるだろう。サービスの歴史は意外と古く、2011年にさかのぼる。当時は今ほどスマホが広がっておらず、キャッシュレス決済も普及していなかったが、ドコモは資金決済法の施行とともにサービスを開始。送金や携帯電話代の支払いなどに利用できた。
この仕組みを拡張し、ドコモは2019年9月から、d払いのウォレットとしてドコモ口座を活用し始めている。プールした残高を支払いに充当できるスマホ決済サービスは多いが、d払いの場合、その残高の裏方をドコモ口座が担っていた。
9月10日に急きょ開催された記者会見では、ドコモの丸山誠二副社長らが登壇。「私どもの本人確認が十分でなかったことが一因になっている」とお詫びした。ドコモによると、ドコモ口座の本人確認は、ドコモ回線を持っているユーザーと、そうではないユーザーの2種類に分かれるという。前者に関しては、回線契約時に免許証等の身分証明書で本人確認を行っている一方、後者のユーザーはメールアドレスだけでドコモ口座の開設に必要なdアカウントを作れていた。
被害者の銀行口座から預金を引き出した犯人は、後者のアカウントを悪用。適当なメールアドレスでドコモ口座を作り、何らかの方法で入手していた預金口座番号や暗証番号、氏名(や一部では誕生日)を使ってドコモ口座に銀行口座を紐づけ、不正なチャージを実施。チャージした金額はd払いなどで、利用されてしまっていたという。
こうした事態を受け、ドコモはドコモ口座の本人確認を強化する。9月中には、ドコモ回線を持たないユーザーにもeKYCというオンラインでの本人確認を実施するのと同時に、携帯電話番号での認証も「可及的速やかに導入する」(ドコモ担当者)。被害者に対しては、各銀行と協議の上、全額の補償を行っていく方針だ。
ただ、ドコモが本人確認を厳格化しただけで、同様の被害がゼロになるかは不透明な部分もある。根本的な原因は、そこではないかもしれないからだ。
被害にあった銀行は、そのほとんどが口座番号と暗証番号、氏名のみの簡易的な情報で口座振替の連携をしていた。一時的に発行するワンタイムパスワードや、銀行に登録した電話番号に電話をかけ、認証を行っていた銀行からは、現時点で被害が確認されていない。
法的には、銀行口座との連携をもって本人確認にすることができ、ドコモ側はある意味では適法な運用をしていたと言える。実際、他のスマホ決済サービスの一部では、ドコモ口座と同様、本人確認を銀行口座との連携で行っている。SMSでの認証が必要なサービスもあるものの、本人確認されていない電話番号は犯罪者であれば、比較的容易に入手できるだろう。犯人側がすでに口座番号と暗証番号、氏名のリストを持っていた場合、ドコモ口座がふさがれたあと、犯人が次に狙うのはこうしたサービスとも考えられる。
元々、銀行口座の暗証番号が4ケタなのは、キャッシュカードというリアルな物と紐づけることで二要素認証となり、セキュリティの強度が保たれていたからだ。キャッシュカード不要になれば、総当たりや逆総当たりで簡単に口座情報が連携されてしまうおそれがある。
これ以上の被害が拡大する前に、スマホ決済事業者だけなく、銀行も含め、システムに不備がなかったのかを早急に点検する必要がありそうだ。
(文・石野純也)