銀行の預金が、NTTドコモの電子決済サービス「ドコモ口座」を通じて不正に引き出されていた問題が起きた。銀行側の本人確認が甘かったとはいえ、こまめに預金通帳に記帳したり、出入金を確認したりしないと気づかなかったという。「暗証番号」の設定や管理が甘いと被害にあいやすいとみられ、とくに年配者は要注意だ。



 ドコモ口座をめぐる問題が明らかになったのは9月。被害にあった預金者の通帳には、身に覚えのない「ドコモコウザ」などへの出金が記録されていた。

 ドコモによると、被害は10月7日時点で125件、総額2842万円にのぼる。ドコモ口座のサービス対象となる35行のうち、不正に引き出された銀行は11行だったという。

 今回の不正は、詳細は不明だが、預金者本人になりすました何者かがドコモ口座を開設。そこへ銀行口座からお金を移す手口だったとされる。ドコモ口座では提携先の店で買い物などの支払いを電子決済できるため、何者かがドコモ口座を通じて商品を購入し、それを転売して現金化したとみられている。

 ドコモ口座の開設は、ドコモと携帯電話の回線契約をしていなくても、メールアドレスがあれば誰でも無料でできるのが特徴だ。ドコモ口座のサービス対象となる銀行のなかには、口座番号と暗証番号だけで連携できるケースもあったという。つまり、本人になりすました何者かがドコモ口座を開設して、銀行の口座番号と暗証番号を入力できさえすれば、預金の一部をドコモ口座に移してチャージできてしまったのだ。

「アプリ登録時の資金移動業者の本人確認の脆弱(ぜいじゃく)性に加え、銀行が口座振替でキャッシュカードの暗証番号のみで認証するなど、認証の手続きにも問題があった」

 全国銀行協会の三毛兼承会長(三菱UFJ銀行頭取)は会見でこう述べ、本人確認の手続きの甘さが銀行側にもあったと認めた。一方で、「悪意の第三者が口座情報や本人確認情報を不正に入手している可能性がある」とも指摘した。

 EGセキュアソリューションズ代表の徳丸浩さんは次のように解説する。

「本人確認には2種類あり、『人物が誰か』と、『銀行口座の持ち主』の確認。今回の問題の本質は、後者の確認が甘かったことです」

 銀行口座の持ち主であるかどうかは通常、「通帳と届け出印鑑」もしくは「キャッシュカードと暗証番号」で確認されている。今回はネット上で通帳やキャッシュカードは介在せず、ドコモ口座に銀行口座をひもづける際に、口座番号と暗証番号だけでいいケースが狙われた。

 徳丸さんは「口座にある預金を守るのは銀行の責任」と改めて強調した。

 では、銀行口座や暗証番号がどうして漏れたのだろうか。徳丸さんはこう推測する。

「被害者(本人)が暗証番号などをネット上に入力した際に盗み取るフィッシング詐欺は、監視して見張っている人がいます。となると、一定の暗証番号に固定して、銀行口座を試行錯誤的に試した“逆総当たり攻撃”だったのではないでしょうか」

 暗証番号は何度か入力に失敗すると、不正を防ぐため打ち込めなくなる。そこで“決め打ち”した暗証番号から逆に、コンピューターを活用するなどして、口座番号を探し出す手口だそうだ。

 同じように指摘するのは、トライコーダ代表の上野宣さん。「暗証番号は推測されにくいものにする必要があるのですが、誕生日やゾロ目、例えば『1122』とかはよくあります。ネットバンキングをしていない人も被害にあっている」

 とくに年配者に、自分自身が忘れてしまわないようにと、誕生日の「月日」や「西暦年」などを暗証番号に使っていることがよくある。心当たりがあれば、番号の再設定を。

 一方、サイバーリサーチ代表の藤田有悟さんは「ネットの世界ではパスワードなどは漏えいしている」と語る。漏えいした情報は「闇社会に出回り、ダークウェブというところで売買されたり、ファイル共有サービスなどに公開されたりします」という。暗証番号などが漏えいしていた可能性がある、というのだ。

 被害にあわないように、自分たちで予防はできないものか。

 専門家たちが口をそろえるのは、まさに単純だが、暗証番号を誕生日など推測されやすいものにしないこと。そして、こまめに通帳に記帳したり、出入金を確認したりすることだという。

 ドコモ口座のサービスは2011年に始まり、当初はドコモ携帯の回線契約者のみが対象だった。ところが、19年9月からは契約者以外にも開放。誰もがドコモ口座を開設できる“キャリアフリー”となった。

 今回の問題で会見したドコモの前田義晃常務は、キャリアフリー後の対応について「本人確認が甘い状態だった」と振り返った。「広く手軽にお使いいただきたい」(前田常務)と口座開設者を増やそうとしたことが、問題の背景にあった。

 提携先の銀行に地方銀行などが多かったことについて、ある金融関係者はこう話す。

「地銀にはIT(情報技術)分野に素人な重役が少なくなく、法人営業しかやったことのない人が理解するのは無理です。他行がやっているが、うちはどうかと指示を出し、銀行員は真面目なので『あそこがやっているので大丈夫です』と。先例があるから大丈夫だろうとやったのではないでしょうか」

 今回の問題では、ドコモ口座以外の電子決済サービスを通じても、不正な預金の引き出しの被害が明らかになった。ゆうちょ銀行に関しては、ドコモ口座だけでなく、PayPay、メルペイなどでも被害が相次いだ。

 前出の徳丸さんは「利用者が今後、銀行を選ぶ際に、セキュリティーが厳格かどうかという点も入ってくるのではないでしょうか」と、金融機関の選別がさらに厳しくなっていくとみる。

 電子決済が広くなされる社会となったいま、ドコモ口座の問題は、一つのケースに過ぎないのかもしれない。前出の上野さんは言う。

「企業はいろいろなサービスを増やしていきたい。他社と連携していくのは当たり前で、今後もこうした問題はどこかで出てくるのではないか」

(本誌・浅井秀樹)

※週刊朝日  2020年10月23日号