FC2ブログ

記事一覧

ドコモ口座不正、脱現金に冷や水 金融革新停滞の懸念(2020年9月41日配信『日本経済新聞』)

キャプチャ
NTTドコモのサービスはセキュリティーの甘さを露呈した(10日、記者会見する丸山誠治副社長)

 NTTドコモの「ドコモ口座」を介した不正出金は、日本でようやく広がりつつあった脱現金の取り組みや銀行システムの開放の動きに影を落としそうだ。金融界ではセキュリティーへの懸念から外部との連携を見直す動きが早くも出ている。

 「口座連携の解除を検討しているのですが」。ドコモ口座を使った不正の発覚後、あるキャッシュレス決済の事業者に銀行から水面下で打診があった。

 新たな決済サービスが不正の温床になる構図は約1年前、スタート早々につまずいたセブン・ペイの場合とそっくりだ。相次ぐ不祥事に金融庁の関係者は「キャッシュレス決済の普及に冷や水となるだろう」と頭を抱える。

 ドコモ口座には大きく二つの弱点がある。一つはメールアドレスだけで口座が開設できてしまうことだ。一般的なキャッシュレス事業者は、スマートフォンのショートメッセージサービス(SMS)などによる2段階認証を採用している。スマホの回線数以上に口座を作ることはできない。メールアドレスだけで済むドコモ口座には事実上、その制約がなかった。

 もう一つは、銀行の口座とひも付ける際の本人確認の甘さだ。ドコモは銀行の口座番号や暗証番号などの入力だけを求めていた。顔認証などの高度な仕組みは導入していなかった。

 不正の確認されなかったメガバンクや地銀では暗証番号などに加え、1回の利用ごとに使い捨ての「ワンタイムパスワード」のような手法を取り入れて安全性を高めている。キャッシュレス事業者も多くはこうした点に対応している。現時点で悪用が見つかっているのは一部の事業者に限られる。

 問題はイメージの悪化だ。個別に安全な事業者やサービスがあっても、全体として危険という印象が強まってしまった感は否めない。

 閉鎖的だった旧来の銀行がシステムを開放し、フィンテック企業が口座残高の確認や送金などの便利なサービスを展開する。そうした「オープンAPI」と呼ぶ動きにもブレーキがかかりかねない状況になっている。

 3月末時点でAPIの開放を決めている銀行は128行に上る。大手行の幹部は「API連携とドコモ口座の話は技術的に次元が違う」と冷静に話す。一方でAPIの開放を求める立場のフィンテック企業は「非常に危惧している。一緒くたにされることは避けたい」と不安を拭えずにいる。

 全国銀行協会は1973年の稼働以来初めて銀行間の送金システムを外部に開放する検討も進めている。それも今回の不正流出を受けて「(ドコモのような)キャッシュレス事業者にはアクセスさせられないとなる可能性がある」(金融庁関係者)。

 フィンテックに詳しい落合孝文弁護士は「キャッシュレスは今後の流れとして進む。対策強化は必要だが、やめてしまうのはナンセンスだ」と指摘する。今回の不正問題が金融の革新を滞らせる事態になるとすれば、割を食うのは結局は一般の消費者だ。ドコモが招いた不信のツケは重いかもしれない。

(三島大地)



不正なぜ広がった、ドコモ口座Q&A(2020年9月13日配信『日本経済新聞』)

キャプチャ2

NTTドコモの電子決済サービス「ドコモ口座」を使った預金の不正引き出しが相次いでいる。ドコモの携帯電話サービスを利用していなくても、知らない間に預金を抜き取られるリスクもある。ドコモ口座の仕組みや問題点をまとめた。

Q ドコモ口座はどのようなサービスか。

A ドコモ口座はいわばネット上の「財布」のようなものだ。事前に登録した銀行口座からドコモ口座に入金(チャージ)すると、スマホ決済「d払い」で買い物をしたり、送金できたりする。

ドコモ口座と連携しているのは、みずほ銀行やゆうちょ銀行、地方銀行など35の銀行だ。入金の上限は1回あたり10万円、月額で30万円。ドコモはドコモ口座の数を公表していないが、1日あたりの入金件数は約1万3000件に上るという。

Q ドコモ口座の作り方は。

A まずドコモの顧客ID「dアカウント」を作る必要がある。そのdアカウントを使い、ドコモ口座のホームページで開設する。携帯電話サービスなどドコモとの回線契約がなくても、メールアドレスさえあれば誰でも無料で作成できる。

キャプチャ3

Q 今回、ドコモ口座の何が問題だったのか。

A 免許証など本人確認書類の提出といった厳密な確認が必要なく、メールアドレスがあれば他人になりすまして口座を作ることができた。他人の銀行口座や暗証番号を盗んだ犯罪者がフリーメールアドレスでドコモ口座を開設し、他人の銀行口座から不正に預金を引き出す事態を招いた。他人になりすまして匿名性の高い口座が作れることから、ドコモ口座が狙われた可能性がある。

一方、被害の出た銀行にも問題はあった。1回限りの使い捨てパスワード「ワンタイムパスワード」による2段階認証の導入などの対策が不十分だったところがある。

Q 被害状況は。

A ドコモによると、11日午前0時時点で計12行73件、総額で約1990万円の預金が不正に引き出された。銀行も被害額を発表し始めた。中国銀行(岡山市)は11日正午時点で14件、計約500万円の不正引き出しがあったことを明らかにした。ドコモ口座に同行の口座を連携させている顧客は約3000人という。大垣共立銀行(岐阜県大垣市)も11日、約180万円の被害があったと明らかにした。

キャプチャ4
被害が出た七十七銀行の本店(仙台市)

Q 今回、犯罪者はどのように銀行口座や暗証番号を盗み出したのか。

A 手口はまだ明らかになっていない。セキュリティー業界などでは、1つのパスワードに大量のIDを試して一致させる「リバースブルートフォース攻撃」や、銀行を装ったサイトを通じてIDなどを盗み取る「フィッシング」などの可能性が指摘されている。

Q 今もドコモ口座を開設できるのか。


A 現在もdアカウントを作成でき、ドコモ口座そのものも開設できる。一方、全35行でドコモ口座を新たに銀行口座と連携できないようにした。ひとまず新たななりすましが増えるのを防いだ格好だ。とはいえ、一部の銀行では今も既存の利用者が銀行口座からドコモ口座に入金できる。12日0時時点で15行ある。

Q なぜドコモ口座のサービスを全面的に止めないのか。

A ドコモによると、銀行口座との連携を止めるには銀行側との個別交渉が必要だとしている。ドコモ口座は1日あたり1万3000件の入金があり、全面停止するとサービスに影響が出るとしている。関係者によると、一部の銀行はセキュリティー対策が万全との理由から、ドコモ口座への入金を続けている。

Q 被害の補償や今後の対策は。

A ドコモは10日に丸山誠治副社長が記者会見し、銀行側と協議した上で、被害の全額を補償する考えを明らかにした。先んじて銀行側が顧客に補償するケースも出てきた。東邦銀行(福島市)は11日、顧客1人に被害額3万円を支払った。ドコモ側の被害補填に時間がかかるとみて、ひとまず東邦銀で肩代わりし、今後ドコモに支払いを求めるという。

 ドコモは12日、消費者からの電話相談窓口(電話0120・885・360)を設けた。全貌解明を進めると同時に、ドコモ口座を開設するための本人確認を強化する。スマホのショートメッセージサービス(SMS)を使った2段階認証を1カ月以内に採用するという。運転免許証などを撮影して提出するシステムも導入する。

Q 不正引き出しが心配な消費者はどうすればいいのか。

A 捜査関係者によると、被害者の大半はドコモの携帯電話サービスを利用していなかった。ATMなどで預金を引き出そうとした際に大幅に残高が減っていることに気づき、被害を認識したケースが目立つという。

 まずは通帳やネットバンキングの口座残高をチェックし、不正な引き出しがないか確認するしかない。ドコモによると、通帳ではドコモ口座への出金は「ドコモコウザ」「デイーバライ」と記載されるという。銀行の支店が家の近くになく、ネットバンキングも利用しない高齢者などには手間となる。

 丸山副社長が「暗証番号など銀行口座にアクセスできる情報を漏らさないことが重要だ」と述べるなど、ドコモの対応が後手に回っている印象は否めない。情報セキュリティーに詳しいS&J(東京・港)の三輪信雄社長は「ひとまずドコモ口座は全面停止し、ドコモと銀行が対策を強化したうえで再登録するのが正しい」と話す。






スポンサーサイト



プロフィール

gogotamu2019

Author:gogotamu2019
障害福祉・政治・平和問題の最新ニュース・論説紹介

最新記事

カテゴリ