新着Pick
この連載について
今、知りたい注目のニュースの真相から全体像まで、やさしく徹底解説。プロピッカーや有識者による対談、オピニオン寄稿、直撃インタビューなどでお届けする、NewsPicks編集部のオリジナルニュース連載。
株式会社NTTドコモ(エヌティティドコモ、英語: NTT DOCOMO, INC.)は、携帯電話の無線通信サービスを提供する、日本最大手の移動体通信事業者(MNO)である。日本電信電話(NTT)の完全子会社。 ウィキペディア
業績
シェア 
この連載の記事一覧
【基礎から理解】「中国恒大」が破綻したら、何が起きるのか?
NewsPicks編集部 867Picks
【解説】崖っぷち新生銀行に「白馬の騎士」は現れるのか?
NewsPicks編集部 454Picks
【3分解説】佐川と日本郵便が「協業」に込めた狙い
NewsPicks編集部 694Picks
【解説】トヨタ「電池1.5兆円投資」は本当にすごいのか?
NewsPicks編集部 617Picks
【3分解説】ペイパルがPaidyを3000億円で買ったワケ
NewsPicks編集部 747Picks
【新概念】サステナブルな上場「SPO」ってなんだ?
NewsPicks編集部 678Picks
【解説】空のエコ本格化へ。新しい「航空燃料」って何だ?
NewsPicks編集部 450Picks
【接触事故】自動運転バス、運行再開の「5つのポイント」
NewsPicks編集部 353Picks
【解説】SBIが「赤字のFOLIO」を買収する本当の理由
NewsPicks編集部 544Picks
【解説】日本にも超重要。アメリカの「テーパリング」を知る
NewsPicks編集部 923Picks
総合トップ
マイニュース
オリジナル記事
番組
■自分が被害に遭ってないか確認したい方へ
ドコモサービスのユーザー★以外もすべての人が被害を受けるのがやっかいなポイントです。
①提携35行の利用者かどうか
みずほ銀行、三井住友銀行、ゆうちょ銀行、イオン銀行、伊予銀行、池田泉州銀行、愛媛銀行、大分銀行、大垣共立銀行、紀陽銀行、京都銀行、滋賀銀行、静岡銀行、七十七銀行、十六銀行、スルガ銀行、仙台銀行、ソニー銀行、但馬銀行、第三銀行、千葉銀行、千葉興業銀行、中国銀行、東邦銀行、鳥取銀行、南都銀行、西日本シティ銀行、八十二銀行、肥後銀行、百十四銀行、広島銀行、福岡銀行、北洋銀行、みちのく銀行、琉球銀行
②35行を使っている人は出金履歴をチェック。特に地銀やイオン銀行、ゆうちょ銀行(2019年9月以降分)
「d払い」を使ったことないのに覚えのない「デイーバライ」「ドコモコウザ」の引き落とし履歴があると、被害に遭っている可能性があります。銀行に問い合わせてください。
訂正前の追記
SNS上で話題になった「総当たり攻撃」疑惑について
現状、取材した範囲ですが、地銀関係者は「トラフィックやエラーなど異常なアクセスはなく、(総当たり的な)不正アクセスはないと認識している」と話していて、「ブルートフォースアタック(総当たり攻撃)」の可能性は低いのかなと感じているため、記事では触れていません。
訂正後の追記
複数の地銀関係者から「フィッシングの疑いが強い」「トラフィックやエラーなど異常な値ない」とのコメントがあり、総当たりの可能性低いと書きました。しかし、本文中でもご紹介しているセキュリティに詳しい三輪信雄さんによると、直近で被害地銀のフィッシングサイト情報がない、などから「スローブルートフォースアタック」と呼ばれる、ゆっくりと攻撃をかけることで、突破する手口も考えられるそうです。この場合トラフィック増えないなど検知しにくいようです。その他にも、現金給付のフィッシングなどさまざまな可能性があるようです。訂正します、失礼しました。
顧客が安心して使えるサービス、信頼できるキャッシュレスサービスを、業界全体で構築していきましょう。
通信キャリアと銀行が始めるサービスだから安心だろう、という前提はもはや通じない。とはいえ、自分で自分を守り切るのも難しい。個人認証については、ジャパンローカルでいいから、政府も巻き込んだ新しい枠組みが必須だろうと思う。テクノロジー的にはできないことはない。
まあ本人確認の手段が銀行に依るので、今のところ被害報告のない銀行の口座なら大丈夫な可能性が高いですが。
正直いうと、口座番号については、「それが漏れたところで何ができるんだろう?」という感覚を持っていました。人事をやっていると、たとえばインターンシップ生に給与振込をしたり交通費を払ったりするために、口座番号を扱うことは多い。当然社員の給与払いも。デリケートな情報だからと、社内ルールは厳しいです。が、冒頭書いた通り、「仮に口座番号が漏れても悪用できるのかな?」と不思議に思っていました。(Twitterで誰かわたしに振り込んでと公開してる人もいました)
・キャッシュカードや通帳+印鑑がないと下ろせないし
・振り込んでもらうことはできるけど、振り込ませることはできないし
でも、インターネットを介した別の手口で、口座からお金を引き出すことができてしまった。(面倒な社内ルールを守っていて良かった、、)
今回の件で思うことは以下の通りです。
・他段階の認証はホント大事
・4桁の暗証番号は全然安全じゃない
現段階で口座と暗証番号のセットがどうやって漏れたのかは分かってないですが、個人的には口座番号と暗証番号のセットが漏れたらオワリという状態がそもそもいかんのだろうなと思います。漏れる漏れない以前に、暗証番号は1万分の1の確率で偶然にも突破できてしまいます。
良く考えたら、振り込んでもらうときに他人に教える口座番号と、自分が出金したり振り込むときの口座番号を分けられないかな?生きていれば、何度かは他人に振込用の口座番号を教えることはありますから。
僕の口座番号が1234567だとして、振込用の口座番号6667777みたいな全然違う番号を割り振ってもらう、みたいな。
代表的なのは家族間・親族間の取引です。コールセンターなどで「配偶者なので」「子どもなので」は通用しません。口座名義人ご本人による取引が難しい場合、その旨申し出ていただければ、金融機関は然るべき対応方法を案内します。
「口座」とうたい、金融取扱機関としての業務を担うドコモの管理体制は厳しく問われますが、金融庁のHPを見ると電子決済等代行業者として他にも多くの業種が参入していることがわかります。IDとパスワードで、金融口座と紐づけるサービスは、IT各社にとっては生存に関わる競争。同じことは他でも起こり得ることを考えれば、まずは預金の確認が第一なのでしょう。
その意味では、銀行はじめ金融機関はペーパレスと自動化で人員削減が進む中、通帳印字の行列が出来るのはなんとも皮肉な感じがします。
今やスマホで指1本の「お手軽決済」が主流の中、一段煩雑と取られる「認証」を課すか、リスクを負って「利便性」に進むか…経営の考え方も問われます。
短時間に小口で引き出す手口から犯人に「組織」のニオイがします。ドコモ口座から先のカネの流れを追いたいところですが、被害の実態が薄く広いだけに、警察の捜査には時間を要しそうです。細く薄く1本でも「足跡」が残っていれば…と思いますが、そう簡単に尻尾をつかませない感じもします。
攻撃一辺倒になったことで守りがおろそかになったということでしょうか。。。
決済サービス上の本人確認となるとそれでは足らず、免許証やマイナンバーカードを活用したeKYC(オンライン本人確認)などが必要になります。
そのためSMS認証だけでは、法的な意味での本人確認は完了しません。
今回「流出」した情報はdアカウント情報ではなく、銀行口座情報です。
銀行口座側のWeb口座振替が静的な情報のみ(口座番号、生年月日、暗証番号)で登録完了な仕様のままである場合、銀行口座での入金を認めるのであれば、
決済サービス側はアカウント開設の際にSMS認証を必須としたうえで、法的な本人確認も事前に完了させておく必要があります。
消費者の利便性を考えるのであれば、関与者が均等に、セキュリティ対策を講じるべきではないでしょうか。
ご参考:【緊急提言】 ドコモ口座不正入金問題に学ぶ、再発防止のための改革 国際基準に則った業界統一ルールの必要性
https://newspicks.com/news/5219801?ref=pickstream_863807