「ドコモ口座」通じた不正引き出し9行に拡大 本人確認強化へ
コメント
注目のコメント
ドコモ口座に限らず、銀行口座を登録して本人確認をする方式はスマホ決済ではメジャーな方法です。犯罪収益移転防止法における本人確認の文脈で、認められています。
Web口座振替のなかでも、銀行口座番号と生年月日、キャッシュカード暗証番号など静的な情報のみで口座登録ができる銀行については、銀行側の顧客情報がフィッシングなどで不正に取得されてしまうと、本人確認(およびチャージ)すらも不正に第三者ができることになってしまいます。
この問題を解決するには、銀行側のWeb口振登録の仕様でワンタイムパスワードなど動的な情報を確実に求めるようにするか、法律上、銀行口座登録を本人確認とみなさないことしかないと思います。昨日の記事には地銀などのオンライン口座のセキュリティ強度が甘いのが原因というコメントが多かったのですが、個人的にはドコモ口座の設計の問題が大きいと思います。
ドコモ口座、ドコモユーザーは回線契約時に運転免許証などの公的証明書で本人確認がされているものの、ドコモユーザー以外については銀行口座の登録をもって本人確認とするとのこと。
私自身趣味で欧州の色々な決済サービスを試して使っていますが、銀行にKYCを丸投げした決済サービスは、ちょっと経験がありません。本人確認が完了する前に利用開始出来るサービスはありますが、大抵は利用額などに本人確認が取れるまで厳しい上限設定があります。
多分ドコモユーザー以外を取り込むために煩雑な手続きを避けたのだと想像しますが、だとすれば似たような理由で3D Secureの採用を避けたPayPayと同様の構図だと思います。仮に悪質と評されても仕方がないと思います。
多分免許証などで本人確認の取れていないユーザーについてはチャージや利用額に制限が設けられる方向になるのでは。
[追記]
口座登録をもって本人確認とするのは他サービスでも一般的とのことで悪質というのは言い過ぎでした。PayPayと同様に、銀行側の脆弱性とドコモ口座側の本人確認の不在で合わせ技一本といったところでしょうか。
フランスでは決済サービス等を買い物等に使用可能にする時に大抵はMaster等のバーチャルカードが発行されます。大抵はこのステップでeKYCか、住所明記された公的証明書の写しのアップロードと確認コード等の郵送で本人確認が行われる場合が多いです。これだけ多くの地銀に被害が広がるのは、ドコモ側に問題があるのでしょう。
仮に、銀行側の問題であれば、同じように銀行口座と紐付けしてチャージが出来るLINE PayやPayPayでも同じような被害が出てもおかしくないからです。
Sugibuchiさんがコメントされていますが、銀行口座に正当にアクセス出来ることをもって本人確認手続きKYCとするのは、日本独特のKYCだと思います。私も、海外で聞いたことがありません。
ということで、銀行口座との紐付けだけで本人確認をしている決済手段には、銀行口座との紐付けはしないようにしています。
ドコモ決済ですが、携帯のドコモユーザーにも被害が出ているのか?について知りたいです。ここまで被害が広がっていると、漠然とドコモに不信感が増しますから。
被害銀行が地銀だけであるのも気になります。
いずれにせよ、もう少し情報開示して欲しいと思います。
このままでは、セブンペイより酷くなるかもしれません。
追記
前々から感じていましたが、dアカウントは携帯電話と紐付けされているとかなり多岐な個人情報が見られるので、このアカウントに紐付けして決済したり、個人情報を更に紐付けするのは嫌だな…と思っています。
3週間くらい前に、ドコモのスマホで、dアカウントにアクセス出来なくなりましたとメッセージが出ていたのは、今回の事故と関係あるのかな?と気になっています。