ドコモ口座不正利用問題

ドコモが提供する「ドコモ口座」のサービスを悪用した銀行から不正に預金が引き出される問題が起きています。この問題は様々なメディアで報道されていますが、結局のところどういう対策をすべきなのかを簡単にまとめてみたいと思います。

事件の概要をまとめ

ドコモ口座とは?

「口座」という名前がついていますが、銀行口座ではなく電子マネーに近いものです。つまりATMや銀行口座から現金をチャージして、送金やお買い物の決済に便利に使えるもの、という位置づけです。ただ知名度が低く、ショッピングで使えるお店が少ない(ドコモ口座の残高を「d払い」や「VISAプリペイド」で使うことはできる)ため普及率は低いようです。

参考

ドコモ口座 公式サイト

どんな被害がある?

ドコモ口座に銀行口座を紐付けしておくと、紐付けられた銀行口座からドコモ口座へチャージできるようになります。不正利用者は架空名義のドコモ口座を作り、勝手に誰かの銀行口座に紐付けして自分のドコモ口座へチャージする、という手口を使ったようです。現時点ではチャージ金額に上限(入金上限額:10万円/1回、30万円/月)があるため預金残高を根こそぎ引き出されることはありませんが、それでも最大で月30万円、月をまたげばそれ以上の被害を受ける可能性があります。

銀行口座に残高が無い場合でも、「総合口座の当座貸越」や「自動貸越サービス」などが設定された口座では残高がマイナスになる場合があります。当座貸越は定期預金を担保とした自動貸付、自動貸越は自動的にローンで貸付される金融機関ごとのサービスの一例です。ご自分の口座にこのようなサービスが付加されていないか確認しましょう。

誰が被害を受ける?

ドコモ口座と提携している金融機関(みずほ銀行、三井住友銀行、ゆうちょ銀行、各地銀 等)に口座を持っている方が被害に遭う可能性があります。つまりドコモのユーザーであるかどうか、ドコモ口座を持っているかどうかに関係なく、被害を受ける可能性があります。

どうやって実際の銀行口座や暗証番号などの情報を入手したのかは現在のところ不明ですが、不特定多数の方の銀行口座が勝手に紐付けられて預金が引き出されてしまう可能性があるということです。

参考

▶ドコモ口座 対応金融機関と登録手順

ドコモ口座に紐付け可能な金融機関の一覧です。

防止策について

運営主体であるドコモが提携金融機関と一体となって速やかな対応を行う必要があると思いますが、現時点(注:2020年9月11日時点)では十分であるとは言えません。自衛のためにできることはあるでしょうか?

本件の原因は?

まずドコモ口座はメールアドレスさえあれば簡単に作れてしまうことが1つ目の原因です。「本人確認」とはいえ、Gmailなどのフリーのメールアドレスを作ればいくつでもドコモ口座が作れてしまうようです。

もうひとつは金融機関側への紐付けの際に、地銀の入り口チェックである「Web口振受付サービス」のチェックが甘いのではないかという指摘があります。ここでのチェックは口座番号、口座名義、4桁の暗証番号だけだそうです。つまり口座番号、口座名義がわかれば、あとは4桁の暗証番号を解読さえすれば良いという仕様なのです。

もちろん犯人が逮捕されたわけではないので真相はわかりませんが、上記のような複数の脆弱性があったと考えられます。

ドコモ側や金融機関側の対応は?

ドコモは9月10日に会見を行いましたが、被害者には被害額の全額を保証するとのこと。しかしサービスの利便性ばかりを優先してセキュリティ対策を二の次にしてきた印象は拭えません。このような事態にも関わらず、セキュリティが担保できるまでドコモ口座を停止するなどの措置は取られないようです。

各金融機関は順次、新規での口座登録の停止ドコモ口座へのチャージの停止などを発表しています。

参考

【重要】銀行口座登録の申込受付停止および一部銀行のチャージ停止について(2020年9月11日10時更新)

ドコモ口座 お知らせより

被害にあっていないか確認

まずは通帳記入などで入出金明細を確認しましょう。見に覚えのない「ドコモコウザ」という出金があれば、すぐに金融機関に問い合わせましょう。

(注)筆者が調べたところ9月11日時点で明確な被害者のための窓口を見つけることができなかったので、当該金融機関へ問い合わせるのが良いと考えます。

今後完全に被害を防止するには、預金を他の金融機関へ移してしまう、当座貸越などのサービスも停止する、あるいは口座を解約するなどの措置が必要です。ただ各金融機関がドコモ口座へのチャージ停止の措置を行っていますので、あわててそのような措置をすることもないかと思われますので、自己判断をお願いいたします。

まとめ

ドコモ側や金融機関側のコメントを見ているとお互いが責任のなすりつけをしている感じで、誠実とは言えない感じがします。大企業にとっては比較的被害額が少ないから、「全額保証しますよ、それでいいでしょ」と言ってるような感じすら受け、事の重大さに対して危機感が感じられません。

コロナ禍におけるキャッシュレス決済のポイント還元キャンペーンが行われる中、これはドコモ口座に限った問題ではないかもしれません。キャッシュレス決済の普及は必要なことであると思いますが、ユーザーの奪い合いのために利便性ばかり追求してセキュリティーは二の次という姿勢では大切な財産を守れません。使い勝手は面倒ではあっても二段階認証などのセキュリティーの強固さをチェックしてキャッシュレス決済のサービスを選びましょう。

-ITニュース