預金者個人が、いまこの瞬間に晒されている脅威がある。「ドコモ口座の不正引き出し問題」で明るみに出たように、銀行に預けているお金が気付かないうちに流出していくリスクがあるのだ。

 これまでは「ネットを通じて口座資金のやりとりをすると、個人情報流出のリスクがある」と思われていたが、今回は違った。「ネットを使っていない人」も預金が流出していたのだ。

「ドコモ口座」とはNTTドコモの電子決済サービスのことだ。銀行口座からお金をスマホに移す(チャージする)ことで、コンビニやスーパー、ドラッグストアでの会計がスマホで支払える。

 その仕組みを悪用して、何者かが銀行の預金者になりすまし、ドコモ口座を通じて口座からお金を不正に引き落としていたケースが相次いで明らかになった。被害はドコモ口座と連携する35行のうち、ゆうちょ銀行、みずほ銀行、七十七銀行など11行で確認され、ドコモの発表によれば172件で総額2776万円に上る(9月22日時点)。

 ドコモ口座が不正流出の“窓口”となったわけだが、だからといって「ドコモ口座なんてやっていないし、そもそもドコモの携帯電話を使っていないから安心」という話ではない。むしろ「ネットバンキングもやっていないし、紙の通帳で預金管理しているから安心」と思っている人こそ、被害に遭いやすかったのだ。

 図は、ドコモ口座を通じて行なわれた不正出金の流れだ。電子決済に詳しい、スマホジャーナリストの石川温氏がこう指摘する。

「なんらかのかたちで銀行の口座情報などを入手した犯人が、勝手にドコモ口座を開設し、預貯金を盗むことができる状態になっていたのです。自分でドコモ口座を開設して使っていた人は、二重開設ができないのでむしろ安全だった。

 今回の手口は数万〜数十万円といった額を少しずつバレないように口座から抜き取っていた。預貯金額をこまめにチェックしない人は預金が流出していることにまだ気づいていないだけの可能性もある」

 自分自身、あるいはドコモ口座とは無縁のはずの高齢の親の口座などから、預金が不正に引き出されているかもしれないのだ。

ガードが「堅い銀行」「緩い銀行」

 不正出金が起きた原因のひとつに、ドコモ口座のセキュリティ対策の問題がある。ドコモは2019年9月からドコモ利用者でなくてもドコモ口座を作れるようにして利用者数の拡大を狙った。その際に携帯電話番号の入力などが不要で、メールアドレスのみで開設できる仕組みにした。手軽に開設できるようにしたことで、“銀行口座の持ち主以外によるドコモ口座との連携”を容易にしてしまったのだ。

 ただ、「一部の銀行側の仕組みづくりにも落ち度があった」と石川氏は指摘する。

「実店舗で預貯金を下ろそうとする場合、通帳と印鑑、ATMならキャッシュカードと暗証番号が必要になります。

 それに対して、ドコモ口座を利用する場合、通帳もカードも必要ありません。口座番号と暗証番号だけで簡単に、銀行口座からスマホにお金を移すことができるようになった。便利な一方でセキュリティ面には穴が空いてしまっているわけです。

 銀行によってはその穴を埋めるために、口座と連携させる時に電話で本人認証を行なう仕組みなどを導入していました。“ドコモ口座を開設して銀行口座と連携させますよ”という確認がきたら、身に覚えがなければそこで不正に気付けるわけです。しかし、そうした対策を取らなかった複数の銀行で被害が発生した」

 中でもゆうちょ銀行は、ドコモ口座だけでなくPayPayやメルペイといった6つのスマホ決済サービスで不正出金が確認されたと発表。被害件数は380件、計6000万円に達している(9月24日時点)。

 ゆうちょ銀行の広報部は、ドコモ口座を含む不正出金が行なわれた問題についてこう説明する。

「2要素認証(※注)の導入に向けて全力で取り組むとともに、各決済サービス事業者様と連携してお客様の安全確保に努めてまいります。不正な取引により被害が発生した場合は、各決済サービス事業者様と連携し、必要な調査を踏まえたうえで、全額補償を行ないます」

【※注/「暗証番号と指紋」や「パスワードとセキュリティカード」といったように、異なる2つの要素を組み合わせることでセキュリティを高める仕組み】

 今回の不正引き出しの被害を受けた多くの地銀でも、もともと十分な認証システムが用意されておらず、追加導入が進められている。

 ただし、銀行側が対策を打ったからといって“万全”ではない。みずほ銀行は預金口座と決済サービスを連携する際に暗証番号以外の追加認証を行なっていたにもかかわらず、不正な引き出しが発生していた。

「すでにシステムの見直しを実施しており、その後、不正事案は検知されておりません」(みずほ銀行コーポレート・コミュニケーション部)

 今回の問題では、「メガバンクの本人認証の仕組みはしっかりしているので被害に遭いにくい」という解説が多くみられ、実際に被害は軽微だが、みずほ銀行のケースからは、不正な出金をする側がどのようにシステムの穴を突いてくるかは、事前に予測するのが難しいことも明らかになった。

※週刊ポスト2020年10月9日号