NTTドコモのキャッシュレス決済サービス「ドコモ口座」を悪用した、銀行預金の不正引き出し被害が続出した。全国11の銀行の預金口座からドコモ口座にチャージ(送金)することにより、一人あたり最大60万円、総額約1800万円が何者かに不正に引き出された。銀行からの申告に基づいてNTTドコモが把握した被害件数は、2020年9月10日正午の時点で66件にのぼる。
NTTドコモが同日に開いた会見の冒頭、CISO(最高情報セキュリティ責任者)を務める丸山誠治副社長は、「ドコモ口座の作成にあたって(NTTドコモ側の)本人確認が不十分だったことが原因だと認識している」と述べセキュリティ面の不手際を陳謝。銀行と協議のうえ、被害者には被害額を全額補償するとした。また、会見に同席した前田義晃常務執行役員は「今後被害が増える可能性がない、とは言えない」と話し、被害規模が今後拡大することもあり得るとの見解を示した。
キャッシュレス決済サービスをめぐっては1年ほど前、セブン&アイ・ホールディングスのキャッシュレス決済サービス「セブンペイ」で、大きな被害が発生している。セキュリティ面で対策が十分ではなかったことが原因で、2019年7月1日のサービス開始直後から不正利用が相次いだ。結果的に、同月末の段階で800人あまり、総額4000万円近い被害を出し、8月1日にサービス廃止の決断に追い込まれた。
セブンペイのトラブルはあったものの、2020年に入ってから資金決済法の改正による規制緩和や、決済インフラの利用料値下げに向けた動きなど、キャッシュレス決済の普及に向けた追い風は吹き始めていた。さらに9月1日には、キャッシュレス決済の利用者を対象にしたポイント還元事業「マイナポイント」がスタートしたばかり。そんななか発生したドコモ口座を使った銀行預金の不正引き出しは、加速しつつあった決済のキャッシュレス化に冷や水を浴びせることとなった。
関連記事
CAFISと全銀システムの値下げは金融を変えるか(https://jbpress.ismedia.jp/articles/-/61839)
「金額5万円を後払いで」多様な決済がより簡単に(https://jbpress.ismedia.jp/articles/-/60651)
“ゆるい”本人確認の仕組みが悪用された
NTTドコモによると、犯行の手口はこうだ。
犯人はまず、銀行の預金口座番号やキャッシュカードの暗証番号などの口座情報を不正に手に入れ、被害者になりすましてドコモ口座を開設した。次に、不正入手した口座情報を使ってその預金口座をドコモ口座に登録し、預金からドコモ口座にチャージした。そしてドコモ口座と連携して使えるNTTドコモのスマートフォン決済サービス「d払い」で商品を購入した後、商品を現金化した公算が大きい。
ドコモ口座の利用者は2種類に大別できる。ひとつは、NTTドコモと携帯電話の回線契約をしている利用者。もうひとつは、回線契約をしていないが、同社の各種サービスを利用するための「dアカウント」を保有する利用者である。今回、預金不正引き出しの被害を受けたのはすべて後者のタイプの利用者で、前者の利用者の被害は確認されていない。
両者の最大の違いは、ドコモ口座を開設する際の本人確認の手続きにある。NTTドコモと回線契約している利用者は、回線契約時に運転免許証などで本人確認する。そのため「基本的に『本人』が回線を保持していることを(NTTドコモ側で)確認でき、その回線を基に認証してドコモ口座を開設している」と丸山副社長は説明する。
一方、NTTドコモの回線契約がない場合は、利用者が自ら登録した任意のメールアドレスを使って2段階認証を行い、口座を開設している。結果的に、メールアドレスがあれば本人確認ができてしまい、悪意のある第三者が本人に成りすましてドコモ口座を開設するのを防げなかった、というのがNTTドコモの見立てだ。
NTTドコモは対策を強化するが、それだけでは不十分
NTTドコモは再発防止のため、ドコモ口座開設時の本人確認において対策を講じる。具体的には、本人確認の手続きをオンラインで実行する「eKYC(Electronic Know Your Customer)」技術を導入する。たとえば、口座を開設する際にスマートフォンのアプリの指示にしがたって顔写真と運転免許証などの本人確認書類を撮影し、サーバーにアップロードしてもらった画像から本人確認することで第三者によるなりすましを抑制する。
NTTドコモは2020年8月、ドコモ口座開設時の本人確認とは別の用途だが、ドコモ口座のシステムにeKYCの仕組みを導入しているという。その適用範囲を広げる形で、9月末をメドにドコモ口座開設時の本人確認にeKYCを利用するようにするという。
さらにeKYCに加え、携帯電話番号を使ったメッセージサービスであるSMSを用いた2段階認証も導入する。
ただし、この対策だけで、本人になりすました第三者によるキャッシュレス決済サービスの不正利用を必ず防止できるだろうか。答えはノーだ。ドコモ口座の本人確認の仕組みは、銀行預金の不正引き出しを招いた一因に過ぎない。
銀行側のシステムのセキュリティにも、再点検して抜本的に見直す余地が大いにあるはずだ。今回は、不正に入手された口座情報(預金口座番号や4桁のキャッシュカード暗証番号)が、犯人による本人のなりすましを許した。キャッシュレス決済の口座へチャージする銀行側のシステム側で容易になりすましができたという点も見逃せない。
このように、銀行のシステムが決済のキャッシュレス化の足を引っ張る原因にもなりかねないのだ。誰もが安心してキャッシュレス決済を使えるようにするため、サービス事業者と銀行が歩調を合わせてセキュリティ対策の底上げを図ることが望ましい。
[もっと知りたい!続けてお読みください →] CAFISと全銀システムの値下げは金融を変えるか
[関連記事]
コメント