8月後半から9月初旬にかけて話題になり、9月10日には緊急記者会見が開催されたNTTドコモの「ドコモ口座」を通じて行われた銀行口座からの不正引き出し問題。同日公表された情報や会見の模様は弊誌の井上翔氏がレポートにまとめているが、ドコモでは被害者への補償を含め、口座接続を行っている銀行と連携して事件の概要解明と今後の対策を打ち出している。

 ただ、この問題の原因は銀行がアプリ決済サービスを提供する事業者との連携に利用しているWeb口座振替の仕組みを悪用したことであり、口座接続時の本人確認が口座番号と暗証番号、それに加え、わずかな追加情報の提供で行われているなど、銀行側の確認不備に由来するものだった。

 1週間後の9月18日には、ドコモ口座の件で最も被害人数と金額の多かったゆうちょ銀行が会見を行い、被害者への謝罪と今後の対応について説明した。ゆうちょ銀行は同時に、ドコモ以外の決済サービス事業者についてもWeb口座振替(ゆうちょ銀行の用語では「即時振替」)を通じて不正利用が行われていたことを報告しており、「アプリ決済サービスの本人確認は(Web口座振替による)銀行口座接続をもって行われる」という金融庁の指導と、長らく対策の進んでいなかったゆうちょ銀行や地銀を中心とした「Web口座振替での認証の弱さ」が露呈した。

 24日にはゆうちょ銀行が改めて会見を開催。「窓口での本人確認が偽造身分証で行われ、そこを通じてSBI証券での残高の引き出しに使われた」問題、「Visaデビット・プリペイドカード『mijica』の不正送金」対応、そして同行のキャッシュレス決済サービスに関する総点検を社長自らが指揮するタスクフォースを通じて行うことを宣言し、主に安全性の観点から対策が進んでいくこととなった。

 筆者も一連の問題に関して幾つか記事を執筆しているが、特に9月第3週後半のタイミングで「同時点までの概要まとめとポイント」「取材を通じて得られた内部情報と疑問点」「問題の本質からくる、今後考えるべきこと」の3つのテーマでそれぞれまとめている。あくまで同時点での付加情報なので、興味ある方は参照いただきたい。今回は「9月時点の総決算と今後の動き」のテーマでまとめていく。

●狙われたキャリアフリー

 前述ドコモの10日の会見で、同社は必死に何度も「SMS認証導入の早期化」について説いていた。しかし記者の側では「全ての回線で本人確認が厳格に行われているわけではないし、確認の甘い(MVNOなどの)キャリアのSIMを流用したり、犯罪者であれば何らかの形で犯人逮捕に結び付かない回線を入手したりして犯行に臨むはず」という意見が大勢を占めていた。

 なぜドコモはSMS認証を急いでいるのか。ある情報源によれば、今回のドコモ口座での不正引き出しは全てキャリアフリーで作成されたdアカウントを通じて行われており、メールアドレスの存在確認のみで作成できる点を利用されている。犯人は犯行直前に作成したとみられるアカウントを使い、ドコモ口座の月あたりの上限引き出し額(30万円)を最大限利用できる月末と月初のタイミングを狙い、一気に犯行に及んだという流れのようだ。

 また、ドコモ口座以外でもキャリアフリーのdアカウントを使った別の金銭の不正利用事件が9月上旬に集中して発生しており、ドコモ口座の件と合わせて現在同社は被害者への対応に当たっている。

 もともとは飽和しつつあるドコモ回線ユーザーだけでなく、より広い層にサービスで接触機会を増やすために実施されたキャリアフリーの仕組みだが、結果としてそれを悪用されたというのが今回の一連の流れだ。

 dアカウントのキャリアフリー化は2013年に実施されており(当時の名称は「docomo ID」)、2015年にdポイント機能が合体する形で現在のdアカウントに改名された。2019年9月に、それまで回線ユーザー向けに提供されてきた「ドコモ口座」が全dアカウントに開放され、ドコモ口座を通じた不正利用はその翌月の10月からスタートしている。

 「なぜこのタイミングなのか」という点だが、恐らく犯罪者は不正利用が可能なことを少しずつ検証し、それが発覚して対策が行われる前に準備を重ね、一気に犯行に及んだのだろう。

 キャリアフリーの仕組みそのものを狙われた事件のため、少なくともSMS認証を組み合わせれば犯行の可能性は一気に下がる。これにeKYC導入を絡めて本人確認を強化することで、事後の追跡はだいぶ容易になる。これが10日の会見で感じていた違和感に対する、ドコモ内部での思惑だ。

 前項の記事中でも触れているが、ドコモ口座自体がドコモ内部であまり認知されたサービスではなく、例えばd払いにおける利用でもごくわずかにすぎない(最も利用が多いのはキャリア決済)。こうした状況にもかかわらず、キャリアフリー化の影響を考えずにdアカウントのサービス適用範囲を広げていった脇の甘さがドコモの問題となる。

 実際、本人確認以外の部分での不審な取引の検知システムなど、セキュリティ対応がおざなりなっていた部分が大きい。こうした部分を全て含め、総点検とブラッシュアップを今後数カ月かけて行っていくことになる。

 情報源によれば、現在同社ではセキュリティ対応のロードマップとして、10月中にeKYCの導入、11月中でのSMS認証対応を全てのキャリアフリーdアカウントを対象に実施していく。eKYCはもともと9月中での早期導入を計画していたが、いったん見直しを行った上で10月中旬以降に検証を含めて徐々にロールアウトしていく形になった。

 2021年初頭にかけてのパスワードレス認証導入も計画しており、最終的にドコモ口座へのチャージ再開は全ての対応が完了した2021年初頭になる見込みだ。なお、本稿執筆時点でまだ銀行6行がチャージを継続しているが、この口座への安全対策を兼ねてeKYC導入を最優先で進めていたという事情がある。情報源によれば、ドコモ口座の維持とチャージ継続(再開)を複数の銀行がドコモに対して強く要望しており、現状のサービス形態となっているようだ。

●銀行側の課題

 一方で気になるのは銀行側の動きだ。ゆうちょ銀行の会見では「(各サービス事業者に2要素認証の導入を)お願いをしていたが、同意を得られなかった」(ゆうちょ銀行副社長の田中進氏)という責任転嫁ともとれる発言があった。

 銀行側の本音は「早く問題をやり過ごしてサービスを再開させたい」という部分にあったことは、先ほどのドコモでの銀行からの突き上げにもあることから分かる。実際、少なくない数の銀行が早期の(チャージ)サービス再開を望む声を出しているとのことで、筆者の見解では今回の事件は「分かっていたけど止められなかった」というよりは、「寝耳に水」に近い状態だったのかもしれない。

 今回の件では金融庁からも何度か指導が入っているようで、ドコモなど決済サービス事業者各社には「被害者への迅速な対応を」と指導している一方で、銀行側に対しては「見直しも含め慎重に対応していくように」という前段の行動をいさめるような指導をしている。

 そのため、ゆうちょ銀行を除く全ての銀行についてはドコモが補償を行った関係で9月中に(ドコモ口座の件については)処理が終わっている。ゆうちょ銀行については、同行側が取引状況についてデータ分析が追い付いていないという問題もあり、こうした管理体制含めた抜本的な対策が同行に求められている。

●不正利用から見えた教訓

 今回の事件はまだ進行中ではあるが、さまざまな教訓を残した。1つには対策が甘いままにサービスを外部開放したこと。これは資金移動業である決済サービス事業者と銀行の両方の問題だ。また「銀行接続をもって本人確認が完了したものとする」という金融庁のガイドラインも悪用されたため、新たなサービス間接続の指針が必要になるだろう。

 縦割り行政の問題もある。最初の被害報告が行われていたのは主に総務省から総務大臣会見を通じてのものだが、実際には監督官庁は金融庁も大きく絡んでおり、このあたりの連携が不完全な印象があった。

 また今回の問題が明るみに出たとき、ある意味で当事者と思われる地銀ネットワークサービス(CNS)や全国銀行協会(全銀協)の反応も鈍かった。フロントランナーの動きが目立つばかりで、業界全体としての問題としての意識が薄いようにも思う。

 政権の関与も議題となる。第99代総理大臣となった菅義偉氏だが、同氏は「携帯料金値下げ」「デジタル庁創設」「地銀の整理」などを公約として掲げており、全てが今回の件に絡んでくる。

 ドコモについてはNTT(持ち株会社)による完全子会社化の件が話題となっているが、もともと持ち株会社を通じてドコモに対して政府が直々に介入してくるケースがあり、完全子会社化でそれがさらに顕著になるものと思われる。少なくとも、ドコモの今後の行動は政権の意向をかなりの形で反映したものとなる可能性が高い。

 監督省庁が総務省と金融庁で分かれていた件については、デジタル庁創設で対応してくると考えられる。そして問題となるのが「地銀の整理」だ。菅氏がどのような意図でこの発言をしたのか不明だが、低金利時代の生き残りに必死な地銀が今後どのようなサービスを展開していくのかを考える上で、今回の事件は大きな影響を与えたはずだ。内閣の意向も含め、今後の地銀の行方は引き続き追いかけていきたい。