2020年9月10日、NTTドコモは「ドコモ口座」の不正利用問題について記者会見を開き、問題が発生した経緯や今後の再発防止策、被害者への補償について発表しました。

信頼の「ドコモ」ブランドを冠するサービスにおいて、なぜこのような問題が起きてしまったのでしょうか。会見で語られた内容を踏まえながら解説します。

  • 「ドコモ口座」不正利用問題でドコモが記者会見を開き、被害者や関係者らに謝罪した

    「ドコモ口座」不正利用問題でドコモが記者会見を開き、被害者や関係者らに謝罪した

銀行口座から勝手に預金が引き出される

NTTドコモの電子決済サービス「ドコモ口座」では、開設したドコモ口座に紐付けた銀行口座などからお金を「チャージ」することで、d払いなどの決済に残高を利用できます。銀行口座が紐付けてあれば、それだけで「本人」とみなされ、他の人への「送金」や銀行口座への「払い出し」も行えます。

ドコモ口座と紐付けられる銀行は、例えばみずほ銀行や三井住友銀行、ゆうちょ銀行など大手のほか、七十七銀行や中国銀行など地方銀行を含めた35行が対応しています(9月10日時点で、すべての銀行がドコモ口座への新規登録を停止しています)。

今回の不正利用問題は、これら銀行にある「自分の銀行口座」が、「他人のドコモ口座」に勝手に紐付けられ、お金を引き出されてしまう事象です。そのため、ドコモの回線やドコモ口座を一切使っていない人でも、被害に遭う可能性があります。

  • 今回発生した、「ドコモ口座」不正利用の流れ。銀行口座の情報を不正に入手したとみられる犯人が、被害者になりすましてドコモ口座を開設。犯人が開いたドコモ口座と、被害者の銀行口座が連携され、銀行からドコモ口座にチャージ、商品購入(現金化)などが行われたと想定されている

被害額は約1,800万円、11の銀行で66件

ドコモによれば、最初の被害が発生したのは2020年8月末。そこから2020年9月10日正午までに、11の銀行において66件、合計1,800万円が不正にチャージされたとのこと(9月10日正午/銀行申告ベース)。

銀行口座からドコモ口座へのチャージには「1カ月あたり30万円」の上限がありましたが、例えば8月、9月と月をまたぐことで60万円の被害にあった人もいるとしています。

  • ドコモの丸山副社長は、記者会見で本人確認の不十分さを認めた

ドコモ口座は、2019年にりそな銀行との間で同様の問題を起こしています。このときは、ドコモ口座の開設に、回線認証やネットワーク暗証番号が必要となるドコモ回線契約ユーザーのもとで起きた問題として、対処されました。しかし今回の不正利用は、回線契約がない人でも作れるドコモ口座で起きた問題であると、同社は違いを説明します。

すでにドコモ口座は、連携できる35の全銀行について、口座の新規登録を停止しています。しかしチャージを全面的に止めることはしていません。その理由についてドコモは、ドコモ口座全体で1日に1万3,000件ほどのチャージがあり、多くのユーザーに影響があるためとしています。

記者会見に登壇した丸山誠治副社長は、「ドコモ口座の開設における本人確認が不十分であったことが大きな原因である」と謝罪。銀行とともにその全額を補償する方針を明らかにしました。

  • ドコモ口座への不正チャージ事案の状況まとめ

ドコモ口座がメアドだけで作れる問題

今回、問題の1つとなったのは「自分の銀行口座を他人のドコモ口座に登録されてしまう」事象です。なぜ、そんなことが可能になったのでしょうか。

原因のひとつに挙げられるのが、ドコモ口座を開設する仕組みです。ドコモ口座は、ドコモのIDである「dアカウント」を持つ人なら誰でも作ることができます。電話番号の入力などは必要なく、適当なメールアドレスで偽の情報を入力すれば、他人名義のdアカウントを簡単に作れてしまうのです。

  • dアカウントを作れば、ドコモ口座は規約に同意するだけで開設できる

ドコモ側の事情としては、スマホ決済「d払い」などの普及に向け、ドコモ口座の利用はなるべく簡易な方法を採用していたようです。しかし会見では、ドコモ口座をdアカウントのみで簡単に、無制限に作れてしまう点について、本人確認が不十分だったことを認めました。

  • 現状におけるドコモ口座開設時の手続き。ドコモ回線を契約していないユーザーはメールアドレスのみでdアカウントを作り、ドコモ口座を開設できた。丸山副社長は「悪意ある利用者に対するセキュリティ、という視点が欠けていた」と話した

ただし、ドコモ口座を作っただけでは一部のプリペイド機能しか使えません。この状態では「悪用が難しい」とし、現在でもドコモ口座は銀行との紐付けを停止するのみで、サービス自体の停止は行わない考えです。

このドコモ口座に、対応する銀行口座を紐付けることで「本人確認」が済んだものとみなし、送金や払い出しの機能が開放される仕組みです。

不正利用を実行した犯人は、銀行口座を紐付けるために必要な「支店名」や「口座番号」、「口座名義」や「暗証番号」などの情報を何らかの方法で入手したようです。紐付けられる銀行口座はドコモ口座と同じ名義であることが条件となっていますが、他人名義のドコモ口座は簡単に作ることができます。

なぜ銀行口座を他人が登録できたのか?

気になるのは、犯人がどうやってその情報を入手したのかという点です。分かっている被害が66件であることを考えれば、大規模な情報漏洩というよりは、口座番号などを総当たりで試していくような手法で割り出された可能性があるといえます。

ただし、ドコモ口座に接続するすべての銀行が無防備だったわけではありません。都市銀行では、みずほ銀行や三井住友銀行は独自の口座振替受付サービスを連携しています。

また、地方銀行の多くは地銀ネットワークサービスによる「Web口振受付サービス」を使っていました。銀行によっては「口座に登録済みの電話番号」や「口座残高の下4桁」など、本人しか知り得ないであろう情報の入力を追加で求めていたのです。

  • 口座残高の下4桁を求める銀行や、機械からのアクセスを防ぐために利用される「CAPTCHA」を設定する銀行もあった

数字の組み合わせだけであれば、時間をかければ総当たり攻撃で突破できるかもしれません。この総当たり対策として、例えば読み取りにくい画像で描かれた文字を入力させるなどして、操作の自動化を防ぐ「CAPTCHA」を導入している銀行もありました。CAPTCHAは機械学習などで読み取られる場合があり、完全ではないものの、一定の抑止効果はあります。

ここまでを整理すると、まず、ドコモ口座には他人名義の口座を簡単に、無制限に作れるという問題がありました。それに加え、ドコモ口座と連携する金融機関はセキュリティレベルにバラツキがあり、数字の組み合わせだけで突破できるような、最もセキュリティの弱いいくつかの銀行が狙われたものと考えられます。大きくこの2つの問題が影響し、今回の不正利用事件は起こりました。

ドコモは失った信頼を取り戻せるか

一方で、まだ明らかになっていないのが不正利用されたお金の行方です。不正利用はどのIPアドレスから実行されたのか、あるいはチャージされたお金はどこへ行ったのか、ドコモは捜査機関と協力しながら分析を進めているとしています。

今後の展開としては、被害者への速やかな補償や再発防止策の実施が期待されるところです。また、ドコモのブランドイメージが大きく傷ついたことから、いかにして信頼を取り戻すかという点も課題といえます。

携帯電話以外の「非通信」領域の拡大を狙うドコモは、dポイントやdカード、d払いなど、金融や決済の分野に注力しています。しかし記者会見の質疑応答では、その事業拡大を急ぎすぎたのではないか、との指摘がありました。

ドコモ口座が始まったのは、ドコモが資金移動業者として認可された2011年のことです。それまでの「ケータイ送金」をリニューアルしたドコモ口座は当初、ドコモの携帯回線を契約したユーザーのみ使える(ドコモ回線と紐付いていた)ことから、本人確認は済んでいる状態でした。

しかし2019年9月、ドコモ口座はd払いのウォレット機能として組み込まれ、ドコモ回線以外のユーザーにも開放されました。dアカウントをオープン化し、誰もが使えるようにする戦略は成功しているものの、現在要求される水準にセキュリティが追いついていなかったのが実情ではないでしょうか。

  • 2019年9月、ドコモ口座はd払いのウォレット機能に組み込まれた

また、銀行ごとにセキュリティレベルが異なる点も課題の1つです。ドコモ口座のセキュリティが改善されたとしても、銀行側のセキュリティが何も変わらなければ、他社の類似サービスに銀行口座を紐付けられ、不正利用される恐れは残ります。

丸山副社長は、ドコモによる本人確認が不十分だったことを問題の一因と認めた上で、「キャッシュレスの裾野を広げていくために、全体のセキュリティを上げながら誰でも使える形にすることが必要だ」と語っています。

ドコモは今後の再発防止策として、ドコモ口座にオンライン本人確認(eKYC)を、2020年9月末までに導入すること、またSMS認証を早期に導入することも発表しました。

  • 対策強化後。ドコモ回線を利用していないユーザーに対しては、口座開設時にSMSを使った二段階認証と、オンライン本人確認(eKYC)を導入する

  • eKYCでは、本人確認書類や本人の顔を撮影してアップロードするなどの手順が導入される

個々の利用者が「自分の銀行は大丈夫なのか」といちいち心配しなくても済むような、共通基盤の整備に向けた議論が進むことを期待したいところです。