全3423文字
PR

 NTTドコモの電子決済サービス「ドコモ口座」を利用した預金不正引き出し事件の発覚から、はや2カ月。

 各社の対策は進んでいる。NTTドコモは同社の回線を利用していないユーザーへの本人確認にeKYC(Know Your Customer)を導入し、一方、最大の被害に遭った銀行であるゆうちょ銀行はセキュリティーを総点検するタスクフォースの検討結果をまとめるなどがそれだ。だが、ドコモ口座と連係する銀行口座の新規登録サービスは止まったまま(2020年11月6日時点)。問題は根深く、抜本対策にはまだ時間がかかりそうだ。

 事件が忘れ去られる前に、その真相をまとめておこう。関係者への取材から浮かび上がってきた問題は、3つのスキマとして捉えられる。

銀行もNTTドコモも利便性を優先した

 1つめは、セキュリティーと利便性におけるスキマだ。

 まず直接的な原因を振り返る。原因の1つは、ドコモ回線を利用していないユーザーでもメールアドレスだけで作成できる「dアカウント」でドコモ口座を開設できるようになっていたこと。NTTドコモの回線利用者であれば回線契約の際に本人確認を実施するが、本人確認が不十分なメールアドレスだけで開設可能であるため、犯人は本人確認をすり抜けてドコモ口座を開設し犯行に及んだ。

 こうしたセキュリティーの甘さを生んだのが、NTTドコモの「キャリアフリー化」戦略だった。ドコモ回線利用者以外のユーザーへのサービス展開を推進する中で、手軽に使ってもらいたいと考えたため、セキュリティーが甘くなった。

 一方、銀行側も同じような甘さがあった。ドコモ口座と銀行口座との連携で、「口座番号」「名義人名」「生年月日」「暗証番号」といった情報だけで登録可能としていた。暗証番号以外は容易に入手できるもの。暗証番号については4桁で、ある被害者は想定されやすい組み合わせを設定しており、犯人は何度か試してから突破したケースがあったようだ。

 口座開設時に登録した電話番号を用いる2要素認証といった安全性が高い手段を選択できたものの、ある銀行の担当者は「利便性が落ちると考えた」と述懐する。「それまでに同様なサービスに対して同じ認証で問題が発生しなかったので問題ないだろうと思った」という油断もあった。

 今回不正利用が発生しなかった大手銀行では、インターネットバンキングと同様、専用のカードに記載されている番号を入力するなどの手順を踏む形を採っている。実際試してみたところ手間がかかり、利用者が途中で登録を諦める原因になり得ると感じた。

 銀行側もNTTドコモ側も、結果的に利便性を優先した。新たなサービスを展開する際には特に、利用者の拡大のため利便性に力を注ぎがちだ。現段階の技術では、利便性を高めるためにセキュリティーにスキマができやすかった。

「銀行側のセキュリティーを是として捉えていた」

 2つめは、銀行と資金移動業者のスキマである。

 不正利用が発生した銀行のある担当者は、「NTTドコモが本人確認をしているものと考えていた」と述べる。しかし実際にはドコモ口座はメールアドレスだけで開設でき、NTTドコモは、本人確認を銀行口座との連係を登録する際に行っていた。つまり、銀行の確認結果に依拠する方法で取引時確認を行うプロセスを採用していた。「銀行側のセキュリティーを是として捉えていた」(NTTドコモ担当者)という。

 このように互いに情報を得たり与えたりする意識が低かった。NTTドコモは2019年9月にドコモ口座をキャリアフリー化したが、そのことについて不正利用の被害にあった銀行は軒並み知らなかった。さらにいえば、同年5月に発生したりそな銀行の口座とドコモ口座との連係で起きた不正利用など、過去の事件についても銀行側は知らされていなかったという。

 どちらかの責任というわけではないが、ある関係者によると「資金移動業者の立場からは銀行側にあれこれ言えず、委ねる形になりがち」という立場の違いによって起こったものと見る向きもある。

 事件発生後のセキュリティー対応についても、それぞれの立場で個別に進んでいる。NTTドコモは回線利用者以外のドコモ口座の利用者に対してeKYCで本人確認を実施し、銀行側は口座開設時に登録した電話番号を用いたIVR(音声自動応答)認証を実施する、といった形だ。それぞれの対応によってユーザーは二重の本人確認を実施することになる。

 ユーザーからすれば一連のサービスにしか見えないが、裏では個別の対応になっている。銀行と資金移動業者におけるスキマは簡単には埋まりそうにない。