新着Pick
992Picks
Pick に失敗しました

人気 Picker
ドコモ口座の不正送金問題について、事件の構図、知っておくべきポイント、ユーザー側でできることをさっと分かるように、NCB Lab.代表の佐藤元則プロら専門家にお話をお伺いしつつ、簡潔にまとめました。ぜひご覧下さい。

■自分が被害に遭ってないか確認したい方へ
ドコモサービスのユーザー★以外もすべての人が被害を受けるのがやっかいなポイントです。
①提携35行の利用者かどうか
みずほ銀行、三井住友銀行、ゆうちょ銀行、イオン銀行、伊予銀行、池田泉州銀行、愛媛銀行、大分銀行、大垣共立銀行、紀陽銀行、京都銀行、滋賀銀行、静岡銀行、七十七銀行、十六銀行、スルガ銀行、仙台銀行、ソニー銀行、但馬銀行、第三銀行、千葉銀行、千葉興業銀行、中国銀行、東邦銀行、鳥取銀行、南都銀行、西日本シティ銀行、八十二銀行、肥後銀行、百十四銀行、広島銀行、福岡銀行、北洋銀行、みちのく銀行、琉球銀行
②35行を使っている人は出金履歴をチェック。特に地銀やイオン銀行、ゆうちょ銀行(2019年9月以降分)
「d払い」を使ったことないのに覚えのない「デイーバライ」「ドコモコウザ」の引き落とし履歴があると、被害に遭っている可能性があります。銀行に問い合わせてください。

訂正前の追記
SNS上で話題になった「総当たり攻撃」疑惑について
現状、取材した範囲ですが、地銀関係者は「トラフィックやエラーなど異常なアクセスはなく、(総当たり的な)不正アクセスはないと認識している」と話していて、「ブルートフォースアタック(総当たり攻撃)」の可能性は低いのかなと感じているため、記事では触れていません。

訂正後の追記
複数の地銀関係者から「フィッシングの疑いが強い」「トラフィックやエラーなど異常な値ない」とのコメントがあり、総当たりの可能性低いと書きました。しかし、本文中でもご紹介しているセキュリティに詳しい三輪信雄さんによると、直近で被害地銀のフィッシングサイト情報がない、などから「スローブルートフォースアタック」と呼ばれる、ゆっくりと攻撃をかけることで、突破する手口も考えられるそうです。この場合トラフィック増えないなど検知しにくいようです。その他にも、現金給付のフィッシングなどさまざまな可能性があるようです。訂正します、失礼しました。
キャッシュレスを推進する立場としてひとこと。決済・金融業界は、厳密な本人確認がビジネスを行う上で最低限のマナーだということを認識し、これを遵守することが基本です。

顧客が安心して使えるサービス、信頼できるキャッシュレスサービスを、業界全体で構築していきましょう。
時代の変化をつくづく感じる。2000年代に電子マネーやおサイフケータイのサービスをどんどん立ち上げた時期は、銀行側が極めて慎重だったのでその説得のために知恵を絞りまくってセキュリティの確保といユーザビリティの両立を何とか図ろうとした。今はユーザビリティ優先でセキュリティ上かなり危ないようなものまでもどんどん許容する方向になっているということ。
通信キャリアと銀行が始めるサービスだから安心だろう、という前提はもはや通じない。とはいえ、自分で自分を守り切るのも難しい。個人認証については、ジャパンローカルでいいから、政府も巻き込んだ新しい枠組みが必須だろうと思う。テクノロジー的にはできないことはない。
すべての人に言えることが「自分の銀行口座を確認せよ」ですね。
まあ本人確認の手段が銀行に依るので、今のところ被害報告のない銀行の口座なら大丈夫な可能性が高いですが。


正直いうと、口座番号については、「それが漏れたところで何ができるんだろう?」という感覚を持っていました。人事をやっていると、たとえばインターンシップ生に給与振込をしたり交通費を払ったりするために、口座番号を扱うことは多い。当然社員の給与払いも。デリケートな情報だからと、社内ルールは厳しいです。が、冒頭書いた通り、「仮に口座番号が漏れても悪用できるのかな?」と不思議に思っていました。(Twitterで誰かわたしに振り込んでと公開してる人もいました)

・キャッシュカードや通帳+印鑑がないと下ろせないし
・振り込んでもらうことはできるけど、振り込ませることはできないし

でも、インターネットを介した別の手口で、口座からお金を引き出すことができてしまった。(面倒な社内ルールを守っていて良かった、、)

今回の件で思うことは以下の通りです。

・他段階の認証はホント大事
・4桁の暗証番号は全然安全じゃない

現段階で口座と暗証番号のセットがどうやって漏れたのかは分かってないですが、個人的には口座番号と暗証番号のセットが漏れたらオワリという状態がそもそもいかんのだろうなと思います。漏れる漏れない以前に、暗証番号は1万分の1の確率で偶然にも突破できてしまいます。

良く考えたら、振り込んでもらうときに他人に教える口座番号と、自分が出金したり振り込むときの口座番号を分けられないかな?生きていれば、何度かは他人に振込用の口座番号を教えることはありますから。

僕の口座番号が1234567だとして、振込用の口座番号6667777みたいな全然違う番号を割り振ってもらう、みたいな。
本人確認が必要になる場面は必ずしも口座やクレカを作るときだけではありません。ドコモの制度設計不備については言わずもがなですが、本人確認の重要性を理解せず、頑なに金融機関側の忠告を拒む方がおられることは事実です。長くリテール金融の現場を見てきましたが、これは必ずしも年配の方だけではありません。

代表的なのは家族間・親族間の取引です。コールセンターなどで「配偶者なので」「子どもなので」は通用しません。口座名義人ご本人による取引が難しい場合、その旨申し出ていただければ、金融機関は然るべき対応方法を案内します。
金融機関の信用性に頼った「ドコモ」と、巨大通信企業を信頼した「地銀」。双方の持ちつ持たれつの関係がみえたように思います。

「口座」とうたい、金融取扱機関としての業務を担うドコモの管理体制は厳しく問われますが、金融庁のHPを見ると電子決済等代行業者として他にも多くの業種が参入していることがわかります。IDとパスワードで、金融口座と紐づけるサービスは、IT各社にとっては生存に関わる競争。同じことは他でも起こり得ることを考えれば、まずは預金の確認が第一なのでしょう。

その意味では、銀行はじめ金融機関はペーパレスと自動化で人員削減が進む中、通帳印字の行列が出来るのはなんとも皮肉な感じがします。

今やスマホで指1本の「お手軽決済」が主流の中、一段煩雑と取られる「認証」を課すか、リスクを負って「利便性」に進むか…経営の考え方も問われます。

短時間に小口で引き出す手口から犯人に「組織」のニオイがします。ドコモ口座から先のカネの流れを追いたいところですが、被害の実態が薄く広いだけに、警察の捜査には時間を要しそうです。細く薄く1本でも「足跡」が残っていれば…と思いますが、そう簡単に尻尾をつかませない感じもします。
ドコモの社内では、d払いがソフトバンクのペイペイにコテンパンにやられている現状を看過できず、担当役員のクビを賭けて、何としてでもペイペイを叩き潰す闘争を仕掛けているとも聞こえてきます。

攻撃一辺倒になったことで守りがおろそかになったということでしょうか。。。
この問題で主に「本人確認」と言われているのは、携帯電話番号を活用したSMS認証による本人認証ですが、

決済サービス上の本人確認となるとそれでは足らず、免許証やマイナンバーカードを活用したeKYC(オンライン本人確認)などが必要になります。

そのためSMS認証だけでは、法的な意味での本人確認は完了しません。

今回「流出」した情報はdアカウント情報ではなく、銀行口座情報です。

銀行口座側のWeb口座振替が静的な情報のみ(口座番号、生年月日、暗証番号)で登録完了な仕様のままである場合、銀行口座での入金を認めるのであれば、

決済サービス側はアカウント開設の際にSMS認証を必須としたうえで、法的な本人確認も事前に完了させておく必要があります。

消費者の利便性を考えるのであれば、関与者が均等に、セキュリティ対策を講じるべきではないでしょうか。

ご参考:【緊急提言】 ドコモ口座不正入金問題に学ぶ、再発防止のための改革 国際基準に則った業界統一ルールの必要性
https://newspicks.com/news/5219801?ref=pickstream_863807
今後キャッシュレス、フィンテックがらみの提携も、問題もまだまだ起きてくるのでしょうが、責任のなすりあいというか当事者意識がいまひとつ薄いのがとっても気になります。
「隙を狙われた」って、厳密な本人確認は金融セキュリティの基本中の基本。そこの考え方自体が間違ってる。利便性とトレードオフを考えるレベルの問題ではないはず。
この連載について
今、知りたい注目のニュースの真相から全体像まで、やさしく徹底解説。プロピッカーや有識者による対談、オピニオン寄稿、直撃インタビューなどでお届けする、NewsPicks編集部のオリジナルニュース連載。
株式会社NTTドコモ(エヌティティドコモ、英語: NTT DOCOMO, INC.)は、携帯電話の無線通信サービスを提供する、日本最大手の移動体通信事業者(MNO)である。日本電信電話(NTT)の完全子会社。 ウィキペディア

業績

Premiumを無料で体験
登録・ログイン