ドコモ口座を利用した銀行からの不正引き出し多発

NTTドコモの電子決済サービス「ドコモ口座」を使った預金の不正引き出しが複数発生しているトラブルを受けて、色々な銀行がドコモ口座を利用した新規の口座連携を停止する措置が広がっています。（9/9 21時13分の日経の報道によると、ドコモ口座と連携する35銀行全てを対象に安全性が確保されるまで新規登録を当面見合わせることにしました）

ドコモ口座を私自身は作っていないのですが、毎日新聞の記事によれば、実質的にメールアドレスでdアカウントを作ればドコモ口座を開設できるようです。朝日新聞によればドコモ口座を利用していない人が被害に遭っていることがわかったとしています。（一つの銀行口座に紐づけられるドコモ口座は一つだけのため）

今回の問題では何者かが預金者本人になりすましてドコモ口座を開設、不正に入手した銀行口座の口座番号や暗証番号を入力して口座連携し、銀行口座から預金を引き出してドコモ口座に入金するということをしています。

今回、報道で指摘されている点は下記の二点です。

一つはドコモ口座の開設の際に本人確認の仕組みが弱いこと、二つ目は銀行側のシステムでドコモ口座と連携させる際に例えば通帳の預金残高を確認して本人確認をするような仕組みを使っていなかった点です。

共同通信の報道によれば、ドコモ口座の開設と銀行口座との紐付けの際の各段階で本人確認を厳格化する方向で検討に入ったことが分かったとしています。

従来はたとえ銀行の口座番号と暗証番号が分かっていても、キャッシュカードがないとATMを利用できませんが、ドコモ口座を利用すれば遠隔地から手軽に預金を引き出せることに犯人は目をつけたのでしょう。

今後も決済サービスはいろいろなものがつながって更に便利になっていくと思いますが、企業が個々にセキュリティ対策を実装するのは消費者から見たとき万全な対策が取れているのか否か識別することができません。最低限守るべきセキュリテイ対策を決めて、各社はこれに準拠する、そして第三者による監査の仕組みも作るといった二重、三重の安全対策を施していかければいけないと思います。

【2020/09/10追記】

全額補償

NTTドコモは被害額全額を補償する方針を固めたことが報道されています。被害額は合わせて1200万円、多い人では60万円を引き出された人がいることが分かっています。

また、本日夕方にNTTドコモは記者会見を実施することも決まったようです。原因や影響、対策などについて説明があるものと思います。

【2020/09/11追記】

9月11日午前0時までの被害総額は1990万円になったと発表がありました。全国12の銀行で不正な引き出しが確認されています。

【2020/09/14追記】

被害総額拡大

銀行から申告された被害件数は120件、被害総額は2542万円にのぼっています。最も古い被害は2019年10月に発生していたとのことです。

また不正に引き出された預金はコンビニや家電量販店で支払いに利用されていることを確認したとの報道もありました。

【2020/09/15追記】

不正アクセスは新潟県内からか？

不正なドコモ口座が開設されたときに新潟県内と見られる同じIPアドレスから何度も不審なアクセスがあったことがNHKによって報じられていました。セキュリティ事案では他人のパソコンを乗っ取ったり、海外のコンピュータを経由することもあるので、このIPアドレスが犯人のものとすぐに断定することはできませんが、警察により着々と捜査は進められているようです。

【2020/09/15追記】

PayPayからゆうちょ銀行から不正引き出し

ゆうちょ銀行の口座からPayPayを通じて今年に入ってから17件、合わせて141万円余りの不正な引き出しが確認されたことがNHKで報道されています。なぜ、ドコモ口座の問題が明るみに出るまで、PayPayとゆうちょ銀行は不正取引が発生していることを黙っていたのでしょう？非常に深い闇を感じます。

また、高市総務大臣はゆうちょ銀行が提携する電子決済サービスのうち、ドコモ口座以外にも5つのサービスですでに被害が確認されていると呼びかけたこともNHKで報道されています。

Cnet Japanではゆうちょ銀行が決済8事業者の新規口座登録やチャージを一時停止したと報道しました。ゆうちょ銀行の本人認証方法である2要素認証を未導入の8サービスが対象になったようです。下記の8サービスです。

• Yahoo!（PayPay）
• LINE Pay
• PayPal
• ウェルネット
• 楽天EDY
• ビリングシステム
• メルペイ
• ゆめカード