2020年8月、NTTドコモの「ドコモ口座」を経由し地方銀行に口座を保有する人の預金が不正に引き出されるという事件が発生。
これを受け9月上旬に会見を開催し「ドコモ口座の本人確認が不十分だったことが原因」と語りました。
また、対策として連携済みの金融機関の口座を新たに「ドコモ口座」へ登録できる機能を停止、SMS認証やeKYC(オンラインでの本人確認)を導入すれば、再開する方針を発表しました。
NTTドコモはこの不正利用被害について全額補償をするとしています。
この不正利用について、背景や課題・対策をまとめました。
\不正発覚した時に企業としてどう対応しますか?/ 
目次
不正利用が発生した「ドコモ口座」とは
引用: ドコモ口座とは?│NTTドコモ
NTTドコモの提供する「ドコモ口座」とは、現金をチャージすることで利用できるモバイルウォレット。
- ネットやアプリ上で送金やお買い物ができるバーチャルなお財布
- どなたでも無料で簡単に開設できます!
とPRされており、友人や家族間での送金やNTTドコモの提供する「d払い」対応店舗でも利用ができます。
「ドコモ口座」不正利用事件の概要
今回の不正利用では、被害者の銀行口座が他人の作った「ドコモ口座」といつの間にか登録され、預金を引き出されてしまいました。
被害者からすると、ドコモとの回線契約も取引の覚えもないのに「ドコモコウザ」という摘要で出金がされてしまったのです。
被害は8月下旬~9月上旬に発生しており、現時点で銀行側からドコモへ知らされた分として被害額は約1800万円と発表されました。
また、ひとりあたりの被害としては8月と9月の2回、1ヶ月あたりの最大チャージ額30万円をそれぞれ引き出されてしまった方もいます。
今回、NTTドコモが発表した被害内容は銀行からの情報に基づくもので、丸山誠治副社長は「銀行側が把握しているものが全てであれば、(被害額の)桁が変わるほど拡大することは想定していない」と触れています。
NTTドコモが行う対策
上記の被害からNTTドコモは、10日時点で連携済みの金融機関の口座を新たに「ドコモ口座」へ登録できる機能を停止しました。(金融機関によってはチャージ機能がそのまま利用可能)
停止されたユーザーでも、SMS認証やeKYC(オンラインでの本人確認)を導入すれば、再開する方針です。
また、今後NTTドコモは銀行と連携し、預金だけではなく手数料なども含めて全額補償を行う方針です。
NTTドコモがチャージ機能を止めない理由
NTTドコモは会見の中で、被害を受けてもチャージ機能を止めない理由は通常通り利用する一般ユーザーの存在があるからとしています。
丸山誠治副社長は「ドコモ口座からチャージされる件数が1日1万3000件あり、影響が大きいと判断した」と解説。
「ドコモ口座」のチャージ残高は、ドコモのコード決済サービス「d払い」の残高と同一です。
d払いへのチャージ件数も合算されているため、「ドコモ口座」のチャージ機能を止めてしまうとd払いにも影響が及ぶ可能性があります。
そのため、チャージ機能を止めずに対応していく方針です。
不正者に利用された「ドコモ口座」の本人確認システム
会見でNTTドコモ側は、犯人側が本人確認されていないdアカウントの「ドコモ口座」に銀行口座の登録ができてしまったことを反省点として挙げました。
基本的に「ドコモ口座」は本人確認をしていない「dアカウント」からも開設が可能です。
その場合は、機能が制限された「ドコモ口座(プリペイド)」というサービスの口座となり、銀行口座からのチャージはできません。
しかし、そこに銀行口座を登録すると「本人確認」と見なし、銀行口座からのチャージ(引き出し)ができてしまうのです。
不正者はその仕組みを利用し、氏名、口座番号、生年月日、キャッシュカードの暗証番号などの情報を用いて被害者の銀行口座を登録。今回の被害を発生させました。
なぜdアカウントに本人確認がなかったのか?
dアカウントは、NTTドコモの事業戦略の軸です。そのため、ドコモ回線を契約していない人にも発信しユーザー層の拡大を図っていました。
具体的には、電話番号の紐づけなどもなく、メールアドレスだけで作れるようにしていたのです。
丸山誠治副社長は上記の戦略について触れた上で、「より便利に使っていただくためと考えていた」と説明しました。
「ドコモ口座」に銀行口座からチャージする機能は2017年から提供を開始。
当初は銀行口座と名義が一致していなくても可能という、より簡単に利用できるものでした。これは、もともと「ドコモ口座」がドコモの回線契約をしているユーザーだけに向けた、回線契約での本人確認を終えた状態で利用されるものだったためです。
今回の被害は、回線契約なし、そして「ドコモ口座」側の本人確認の不十分さで、問題が発生したと丸山誠治副社長は述べました。
また、機能を制限されているとはいえ本人確認されていないdアカウントから「ドコモ口座」が作成できた点について、NTTドコモ常務執行役員マーケティングプラットフォーム本部長の前田義晃氏は「私どもの認識が甘かった」とのこと。
今後、NTTドコモは外部機関にもレビューを依頼し、必要に応じて改善を図るとしています。
「ドコモ口座」不正利用被害について銀行側の課題
今回の会見では、不正利用の原因として銀行側の要因にNTTドコモ側が触れることはありませんでした。
NTTドコモは、dアカウント及び「ドコモ口座」のセキュリティに注意を払っていたものの、既存ユーザーを守る仕組みを強化しており、「ドコモ口座」を悪用する不正者の排除まで意識が届いていなかったと反省。
まずは自らを正すのが優先とし、銀行と連携して対策を展開するのは次のステップと説明しました。
質疑応答の中で「銀行口座の登録時、オンラインバンキングのログイン手段などよりも緩やかな認証だったのでは?」という問いもありましたが、丸山誠治副社長は「そうした意見があることは承知しているが、各銀行がそれぞれの事情に応じてお決めになると認識している。それについてのコメントは差し控えます」と返答。
さらに「ユーザーから見ると、金融機関側のセキュリティ、私どものセキュリティはトータルで考えなければいけないと思っている。私どもの本人確認が不十分だったことは、少なくとも一因だったと思っている」と語りました。
被害にあった銀行と被害が確認されていない銀行の差は?
補足ですが、一部で「被害が確認された金融機関の多くは地方銀行」という説もありますが、地銀でも問題が発生していない機関もあるため一概には言えません。
「ドコモ口座」と連携していた地銀の中でも、愛媛銀行、十六銀行、八十二銀行、肥後銀行などは、ドコモ側が新規登録を止めるまで問題はなかった様子です。
とくに十六銀行、肥後銀行、南都銀行などは、ワンタイムパスワードや二段階認証などでセキュリティを強化。自行での被害は確認されていないとしています。
こういったそれぞれの背景も含め、近いうちに金融機関からの説明もあると考えられます。
「ドコモ口座」で発生した不正利用被害はどこもユーザー以外にも起こり得るもの
今回「ドコモ口座」で発生した不正利用は、ドコモユーザー以外にも起こり得るものです。
氏名、口座番号、生年月日、キャッシュカードの暗証番号などの情報が漏洩し、特定のモバイルウォレットに登録されてしまった場合、似た手口で被害に遭う可能性が考えられます。
そのため、事業者は外部からの不正者を検知するセキュリティの強化が必須と言えます。
また、自社で情報漏洩が起きてしまった場合、不正者の手助けをしてしまう危険性があります。既存ユーザーの情報を守るセキュリティも同時に強化が必要です。
ユーザーとしては取引履歴を確認し、不正に気付く習慣をつける必要があります。いち早く不正利用に気づくことで、被害を最小限に留めることができます。
また、普段から利用する決済システムのセキュリティにも気を配りましょう。SMS認証やeKYC(オンラインでの本人確認)の有無で、利用するシステムを選ぶのも1つの選択肢です。
自社の不正アクセス状況が分かるトライアル利用受付中!
O-MOTIONの資料DLはこちら
