NTTドコモの電子決済サービス「ドコモ口座」で判明した不正利用問題。ドコモ回線の契約がなくても自分の銀行口座と勝手にひも付けられ、お金を抜き取られる(ドコモ口座にチャージされる)ことに多くの消費者が驚いた。2020年9月15日午前0時時点で被害件数は143件、被害総額は2676万円に達した。
銀行側の責任も大きい
今回、狙われたのはドコモ回線の契約がない顧客である。ドコモ回線の契約がある顧客に対してはドコモ口座と銀行口座をひも付けする際に「回線認証」や「ネットワーク暗証番号の入力」を組み合わせていたが、ドコモ回線の契約がない顧客についてはメールを利用した2段階認証だけだった。犯人はフリーメールアドレスを使って簡単に被害者になりすますことができた。ドコモの丸山誠治副社長は「ドコモ口座の作成に当たって、我々の本人確認が不十分だった」と認めた。
責任は銀行側にもある。ドコモ口座は上記手順で簡単に開設できるとして、銀行口座とのひも付けには暗証番号を含む口座情報の入力が必要となる。日経クロステック取材班の調査によると、被害が判明した銀行の多くは名前と口座番号、暗証番号、生年月日の入力だけでドコモ口座との連携を認めていた。上記に加えて電話番号の入力を求めていた場合も同様で、これらでは一要素認証にすぎず、明らかに不十分との指摘が出ている。
ドコモの前田義晃常務執行役員は9月14日の説明会で「たくさんのアタック(攻撃)があったということではなく、ピンポイントで成功している」と話していた。恐らく犯人は上記情報を何らかの手段であらかじめ入手していた可能性が高い。一部の銀行は既に実装しているが、通帳に印字されている最終行の残高の入力を求めたり、登録されている電話番号に自動音声でワンタイムパスワードを通知したりするなど、少なくとも二要素認証にすべきだった。
地銀との認識にズレ?
悔やまれるのは、2019年5月にりそな銀行と埼玉りそな銀行で発生したドコモ口座への不正入金の教訓を生かせなかったことだ。ドコモは9月10日の説明会で「全く別の問題」と関連性を否定したが、りそな銀行と埼玉りそな銀行、同じりそなグループの関西みらい銀行の3行は新規口座登録を停止し、1年以上が経過した現在も再開していない。関係各社は口を閉ざすが、よりセキュリティーを高めるきっかけにできたはずである。
