ドコモ口座の不正出金、被害があった銀行はどこ?他のキャッシュレス決済は大丈夫?

ドコモ口座で不正出金問題が発生

ドコモ口座

大手携帯キャリアNTTドコモが提供するキャッシュレスサービス「ドコモ口座」を通じた不正出金問題に関して、9月10日にドコモが記者会見を開きました。ドコモの丸山誠治副社長(代表取締役)は、ドコモ側のセキュリティ体制に問題があったという認識を述べました。被害者に対しては全額補償することも発表しました。

9月11日時点で、12行で73件の不正出金があったとし、被害総額は1900万円以上に上ります。その後の対応として、ドコモ口座における銀行口座(35行)の新規登録や一部口座からのチャージを停止しています。

ドコモ口座の不正出金被害の銀行一覧

ドコモの不正出金被害が起きた銀行は合計12行です。

11日時点で下記11行が不正出金被害があったことを公表しています。

※9月11日時点。リンク先は各銀行の不正出金に関するプレスリリース。

ドコモ口座とは

ドコモ口座とは、ネットで買い物や送金ができるバーチャルウォレットです。

銀行口座と連携してチャージした金額を、コンビニのATMで引き出したり、キャッシュレス決済のd払いやVisaのプリペイドカードの支払い等で利用できます。

不正出金の被害内容

被害報告があった銀行からは被害額についても報告されています。中国銀行では、9月11日(金)時点で、14件の不正出金があり被害総額は500万円、大垣共立銀行も180万円の被害に遭ったと明らかにしました。

一方、東邦銀行は被害に遭ったユーザーに対し被害額3万円を支払ったと発表しています。

被害の有無の確認方法と相談窓口

ドコモ口座と連携可能な銀行の口座保有者で、口座明細に「ドコモコウザ」や「デイーバライ」などの身に覚えがない出金履歴があった場合には、0120-885-360のドコモの電話相談窓口に電話するようにしてください。

ドコモ銀行の不正出金問題のルート

ドコモ銀行_不正出金

ドコモの会見でも発表された今回の問題を図式化した資料がこちらです。

不正出金のルートは以下のようになっています。

  1. 犯人が銀行口座情報(口座番号、名義、4桁の暗証番号)を不正入手
  2. 犯人が被害者になりすまして、ドコモ口座を開設
  3. 不正入手口座情報でドコモ口座と銀行口座を連携
  4. 犯人が開設したドコモ口座に銀行からチャージ
  5. キャッシュレス決済「d払い」と連携して商品を購入、もしくはドコモ口座で不正出金

犯人は最終的にドコモ口座と連携可能なd払いを使用して、不正出金したお金を使用したとされています。

ドコモ銀行の不正出金の要因

今回の事件の要因は主に以下の2つです。

  1. 銀行口座の情報が漏洩
  2. ドコモ口座の連携先の銀行から不正出金

❶銀行口座の情報が漏洩

まず、銀行口座の情報が漏洩した原因については判明していません。

今回の出金に利用された銀行の口座情報は、フィッシングやスキミングなどのもともと存在するセキュリティ上の脆弱性をついて入手された可能性があります。ドコモと銀行側はそれぞれ銀行口座が自社から流出したことを否定しています。実際に他の要因も市区は経路で流出した銀行口座情報が、ドコモ口座のセキュリティの甘さを見つけ、今回の事件を起こしたとも考えられます。

❷ドコモ銀行は成りすましで開設可能

今回被害に遭った人の中には、ドコモ口座を開設していない被害者がいたようです。

つまり、犯人が被害者本人に成りすましてドコモ銀行を開設し、不正入手した銀行口座と連携して出金をしていたようです。この点について、本人確認などのセキュリティ面が甘かったと自社に責任があると、ドコモ側は記者会見で認めています。

なりすましでドコモ口座を開設できるということは、ドコモ口座と連携可能な口座を持っている顧客が被害者となる可能性がありますが、銀行によってもセキュリティなどが違い全ての口座保有者が被害に遭うわけではないようです。

特に今回狙われたのは地方銀行の口座が多く、現在は地方銀行といった特定の銀行口座からのチャージが停止されています。

ドコモの再発防止策

今回の不正出金問題を受けて、記者会見でドコモは以下の再発防止策を導入すると発表しました。これらは9月末の実装を予定としているようです。

  1. 「eKYC」(オンラインでの本人確認の仕組み)
  2. SMS認証を必須化

eKYCとは、オンラインで本人確認ができるシステムです。使い方は簡単で、まずスマホに運転免許証などの本人確認書類をアップロードした後に、カメラで顔認証を行います。これにより従来郵送などで行っていた本人確認手続きを簡略化することができました。

実際にLINEPayはこのeKYCをすでに導入しており、LINEPayのアカウント開設時に必要な本人確認をeKYCを利用することでスマホ上で完結させています。

また、SMS認証は電話番号を使った本人確認の手法であり、登録した電話番号に一定時間のみ有効なパスワードなどが送付され、それを入力することで認証できます。PayPayといったスマホ決済の多くがログイン時の本人確認としてSMS認証を利用しています。

他のキャッシュレス決済は大丈夫か

今回問題となったドコモ口座も、地銀など銀行口座と連携することで利用可能なキャッシュレスサービスです。銀行口座を連携して利用するスマホ決済にも似た構造を持つため、他のキャッシュレス決済にも心配が広がりそうです。特に去年発生した7Payの不正決済問題もあり、キャッシュレス決済サービスへの不安度が増してしまうかもしれません。

実際には、PayPayやメルペイなどスマホ決済の多くがSMS認証やメールアドレスによる本人確認を実装しています。先ほども述べたLINEPayのようにオンラインで本人確認をするeKYCを実装済みのサービスもあります。今回の不正出金の最後の経路として挙がったd払いも、ログイン時にメールによる二段階認証を実装しています。

今後、キャッシュレス決済を利用する場合は、普段使用しない口座との連携を解除することや、サービス独自のロック機能など、利用可能なセキュリティ対策をできる範囲でしておくべきかもしれません。

【LINEPay】ApplePay対応やガス請求書のペーパーレス化へ
LINEは9月10日のオンラインカンファレンス「LINE DAY 2020」にて、2020年度中にLINEPayがApplePayに対応することを発表しました。今回の発表でApplePayとAppleWatchといったiPhone製品を含む、全ての非接触決済にLINEPayが対応することとなります また同日、LINEPayは東京ガスと払込書のペーパーレス化に向けた基本合意書を締結したことも発表しました。この提携により、東京ガスの支払いがLINEアプリとLINEPayを介し、全てオンラインで完結することが可能となります。本サービスは2021年春から利用開始予定です。