既報の通り、NTTドコモの資金移動/決済サービス「ドコモ口座」を悪用した銀行預金の不正引き出しが発生した。それに伴い、同社は同サービスにおけるチャージ(入金)用口座の新規登録を一時的に見合わせている。

 9月10日、同社は今回の事象に関する記者説明会を開催した。同日正午現在における被害件数は66件、不正引き出しの総額は約1800万円となり、同社は銀行と連携して全額を補償する方針だ。

 そもそも、今回の問題はなぜ発生したのだろうか。そして、ドコモ“だけ”が対応すれば万事解決なのだろうか。

●狙われたのは「回線ひも付けなしdアカウント」

 今回の不正出金の“踏み台”として使われたのはドコモ回線とひも付いていない「dアカウント」(旧:docomo ID)だ。

 ドコモ回線の契約とひも付くdアカウントでは、作成時に携帯電話番号とネットワーク暗証番号が必要となる。これにより、ドコモ側ではアカウントに対する本人確認を行える。

 一方で、ドコモ回線とひも付かないdアカウントは任意のメールアドレスさえあれば作成できる。一部のWebサービス(Yahoo! JAPAN、Google、Twitter、Facebook)のアカウントに登録されたを使うことはできるものの、厳密な本人確認をせずに作成できてしまう。

 ドコモ口座のルーツは2009年7月に始まった「ドコモケータイ送金」にある。これを2011年5月にリニューアルして、現在のドコモ口座の原形が出来上がった。

 ドコモ口座の利用にはドコモ回線が必須だった。しかし2019年9月下旬、「d払い」にウォレット(プリペイド残高)サービスを追加するタイミングに合わせてキャリアフリー化された。

 その際、dアカウントを用いるサービスについて「便利に使っていただく観点から簡便な手続きで利用できるようにする」(丸山誠司副社長)という方針を同サービスにもそのまま適用した。結果的に、本人確認をしていないdアカウントでもドコモ口座を利用できるようになったのだ。

 今回の不正出金は、以下の手順で行われたと推察されている。

1. 何らかの方法で「口座番号」「名義人」「生年月日」「キャッシュカードの暗証番号」などを入手

2. メールアドレスを使ってdアカウントを作り、ドコモ口座を開設

3. 不正入手した口座情報を使い、Webで口座振替を申し込み

4. ドコモ口座にチャージ(=不正出金)

5. ドコモ口座とd払いをひも付けて、コード決済で換金性の高いものを購入し現金化

 ここで「なぜ、わざわざ換金性の高い商品を買ったの?」という疑問が湧く。これは、ドコモ回線とひも付けていないドコモ口座はATM出金に対応しないという仕様によるものと思われる。

 ドコモ口座(d払い)ユーザー同士の送金機能を活用して、回線ひも付けのあるdアカウントのドコモ口座に「迂回(うかい)」して出金……と思っても、回線ひも付けがあるということは“足”が付く。

 現金として直接取り出せないため、わざわざ換金しないといけないということだ。

●ドコモは「2要素認証」を導入して対策

 このようにして、ドコモ回線にひも付かないdアカウントが悪用されたことにより、今回の不正出金につながった。ドコモの本人確認の甘さが問題発生の一因となったのだ。

 再発防止策として、ドコモ回線にひも付かないdアカウントでドコモ口座を開設する際に、ドコモは以下の方法で本人確認を実施するように改める。

・eKYC(電子的方法による本人確認)の導入(9月下旬予定)

・SMSによる2段階認証の導入(できる限り速やかに)

 eKYCについては、8月から別のサービスで導入したソリューションを流用するという。eKYCとSMSの「2要素認証」を行うことで問題がないことが確認でき次第、新規の口座登録を再開したいという。

●銀行側の「Web口座振替受付」にも問題あり

 一義的にはドコモにおける本人確認の甘さが原因である今回の事案だが、状況を総合すると不正(未遂)のあった金融機関側にも見過ごせない問題があった。

 ドコモ口座の(オート)チャージは口座振替で行われるため、初めて利用する際に「口座振替依頼」をしなければならない。さまざまな業種にWebサービスが広がったこともあり、近年では多くの金融機関がWebを介した口座振替依頼に対応している。

 Webでの口座振替手続きは通常、各金融機関が用意したシステムを使って行われる。この点でドコモ口座もご多分に漏れない。ユーザーの申し込みを受けてドコモが各金融機関に対してWebで口座振替依頼を出すと、各金融機関の受付システムに遷移するようになっている。

 立て付け上、Webで口座振替の依頼があった場合は金融機関で本人確認を実施する。ここで問題となるのが、本人確認の方法が金融機関によって異なることだ。

 セキュリティの高い金融機関では、口座情報以外に専用デバイスまたはスマホアプリが生成する「ワンタイムパスワード」、届け出ている電話番号宛てに架電する「電話認証」、通帳の指定箇所に記載されている残高を入力する「残高認証」など、口座の最低限の情報“以外”の要素を使った認証も行う。

 しかし、今回不正出金(未遂)が発生した銀行は、口座振替時の本人確認が“甘め”に設定されていたという指摘がある。ドコモが不正の手順の説明の中で挙げた「口座番号」「名義人」「生年月日」「キャッシュカードの暗証番号」の4つさえあれば申し込みが成立する銀行もあったという。

 Webでの口座振替申し込み時の本人確認が甘いと、ドコモ口座以外でも預金者の意図せぬ口座振替契約が締結される事案が発生しうる。

 ドコモだけではなく、金融機関側もWebにおける本人確認の手法について再検討が必要だろう。