先日、NTTドコモの電子決済サービス「ドコモ口座」を利用して、知らない間に銀行口座からお金を引き出されるという被害が多数あったことが発覚しましたね。
今回の不正行為のターゲットはドコモ口座の利用者ではありません。ドコモ口座と連携している銀行の口座を持っていれば誰でもターゲットとなる可能性があるようです。
昨日(2020年9月10日)記者会見したNTTドコモの丸山副社長は、現時点で11行の銀行の口座から66件、約1800万円の被害が判明していることを明らかにしました。
今回の不正行為を許した原因のひとつとして、ドコモ口座開設時の本人確認が不充分であったことを認め、今後は本人確認の精度を上げていく対策を実施するそうです。
ドコモ側の対策はともかく、利用する側としてはどんなことに注意しなげばならないのでしょうか。
ドコモ口座とは
ドコモ口座は2011年からNTTドコモが始めたバーチャルなお財布です。ドコモ口座にお金をチャージしておけば、d払いでの買い物などができます。
当初はドコモ回線保有者向けのサービスでしたが、2019年10月から、ドコモ回線契約者でなくても、メールアドレスがあれば厳格な本人確認なしで開設できるようになりました。
本人確認なしのドコモ口座でも、セブン銀行ATM、コンビニなどで現金でチャージして使うことができますが、銀行口座を登録することで本人確認完了となり、銀行口座からのチャージとドコモ口座からの出金(送金、払い出し)ができるようになります。
今回の不正利用の内容
今回の犯人は、事前に何らかの方法で被害者の名前、銀行口座番号、暗証番号を入手したものと思われます。
その上で、被害者の名前でドコモ口座を開設し、銀行口座を登録してドコモ口座にチャージしています。
銀行口座の登録、つまり銀行の口座振替の受付は、銀行側の仕組みを使って行いますが、そこでの本人確認は、銀行によっては名義、口座番号、4桁の暗証番号だけの場合があり、そのセキュリティの弱いところを突かれた形です。
ドコモの対策内容
NTTドコモでは現在、ドコモ口座の銀行口座登録の受付及び変更を停止しています。
その上で、ドコモ口座の開設時の本人確認については、オンライン本人確認システム(eKYC)及びSMS認証を導入することを検討しています。
オンライン本人確認システム(eKYC)
eKYC(electronic Know Your Customer)は、KYCすなわち本人確認を電子的に行う仕組みのことを言います。
従来、銀行口座やクレジットカードなどの登録手続きで本人確認を行う場合は、免許証やパスポートなどの身分証明書の写しを郵送したり、本人宛に送付した書類を受け取ったりと、手間と時間が掛かっていましたが、この手続きを電子的に行うことでリードタイムの削減を図るものです。
具体的には、スマホやパソコンで本人の画像と本人確認書類、あるいはICチップ情報を送信して確認するなどの方法があるようです。
SMS認証
スマホの電話番号宛てにSMS(ショートメッセージサービス)でコードを送信し、そのコードを入力してもらうことで本人確認を行う2段階認証です。
電話番号を仕様するため、メールアドレスを使う2段階認証に比べてセキュリティが高くなります。
我々にできることはあるのか
そもそもドコモ口座を利用することにリスクがある訳ではありません。
ドコモの対策は、犯罪に使う目的で他人になりすましてドコモ口座を開設することを防ぐためのものです。
しかし、口座振替手続きの本人確認が甘い銀行については、依然としてリスクが残ったままです。
ドコモ口座は改善されたとしても、他人に成りすますことが可能なサービスからの口座振替手続きについては、同様な不正行為が成立してしまう可能性があります。
もちろん暗証番号が漏れないように気を付けるのは当然ですが、数字4桁では簡単に破られてしまいます。
そうなると我々としてできることは、セキュリティ意識の低い銀行は極力利用しないことくらいしか思い付きません。
まとめ
ということで、今のところ筆者のアタマではいい案は浮かびません。
今回は被害総額も限定的になりそうだし、不正に利用されたのがNTTドコモという大企業のサービスだったので、被害に遭われた方の補償はちゃんとされると思うので良かったです。
銀行だけじゃなく、重要な個人情報を預けるサービスについては、セキュリティ対策やリスク管理に問題がありそうなところは避けるよう気を付けねばなりませんね。
問題はどうやってそれを見分けるかですが…
