NTTドコモが電子決済サービス「ドコモ口座」でつまずいた。ドコモの通信回線を契約していない顧客に対する認証に甘さがあり、不正利用を許した。ドコモはポイントを軸に自社の回線契約者以外にもサービスを提供する「開放戦略」を推し進めてきたが、その死角を突かれた。
「不正利用の被害者の方々におわび申し上げると共に、お客様のほか、多数の皆様にご心配、ご迷惑をおかけしたことを深くおわびする」。2020年9月10日夕、ドコモの丸山誠治副社長は都内で開いた緊急記者会見でこう謝罪した。
「本人確認が不十分だった」
不正利用の被害を受けたのは、ドコモ回線を契約していない顧客だった。犯人は被害者になりすましてドコモ口座を開設したうえで、不正に入手した口座情報を使ってドコモ口座と被害者の銀行口座をひも付けていた。その後、犯人は被害者の銀行口座からドコモ口座にお金をチャージし、商品などを購入していたとみられる。
ドコモは同社回線を契約していない顧客がドコモ口座を開設する際、メールを使った2段階認証を採用していたが、ここにセキュリティー上の甘さがあった。他人になりすまして、容易にドコモ口座を開設できたのだ。丸山副社長は「ドコモ口座の作成に当たって、我々の本人確認が不十分だった」と認める。
ドコモは9月10日、全35行を対象に、ドコモ口座と銀行口座の新規のひも付けを停止した。一部銀行では新規口座の登録だけでなく、銀行口座からドコモ口座へのチャージ機能も取りやめた。
9月11日午前0時時点で、被害件数は73件、被害総額は2000万円弱に達する。ドコモは「(被害者への)補償については、銀行と連携のうえ、全額を補償するよう真摯に対応したい」(丸山副社長)とした。
再発防止に向けては、ドコモ回線を契約していない顧客がドコモ口座を開設する際にSMS(ショート・メッセージ・サービス)を使った2段階認証を導入する。さらに9月末に、オンライン上での本人確認の仕組みを指す「eKYC(electronic Know Your Customer)」の導入も予定している。
