ニュース・業界動向

「ドコモ口座」不正利用にみる問題点と対策について

2020年8月、NTTドコモの「ドコモ口座」を経由し地方銀行に口座を保有する人の預金が不正に引き出されるという事件が発生。
これを受け9月上旬に会見を開催し「ドコモ口座の本人確認が不十分だったことが原因」と語りました。
また、対策として連携済みの金融機関の口座を新たに「ドコモ口座」へ登録できる機能を停止、SMS認証やeKYC(オンラインでの本人確認)を導入すれば、再開する方針を発表しました。

NTTドコモはこの不正利用被害について全額補償をするとしています。
この不正利用について、背景や課題・対策をまとめました。

不正利用が発生した「ドコモ口座」とは

引用: ドコモ口座とは?│NTTドコモ

NTTドコモの提供する「ドコモ口座」とは、現金をチャージすることで利用できるモバイルウォレット。

  • ネットやアプリ上で送金やお買い物ができるバーチャルなお財布
  • どなたでも無料で簡単に開設できます!

とPRされており、友人や家族間での送金やNTTドコモの提供する「d払い」対応店舗でも利用ができます。

「ドコモ口座」不正利用事件の概要

今回の不正利用では、被害者の銀行口座が他人の作った「ドコモ口座」といつの間にか登録され、預金を引き出されてしまいました。
被害者からすると、ドコモとの回線契約も取引の覚えもないのに「ドコモコウザ」という摘要で出金がされてしまったのです。

被害は8月下旬~9月上旬に発生しており、現時点で銀行側からドコモへ知らされた分として被害額は約1800万円と発表されました。
また、ひとりあたりの被害としては8月と9月の2回、1ヶ月あたりの最大チャージ額30万円をそれぞれ引き出されてしまった方もいます。

今回、NTTドコモが発表した被害内容は銀行からの情報に基づくもので、丸山誠治副社長は「銀行側が把握しているものが全てであれば、(被害額の)桁が変わるほど拡大することは想定していない」と触れています。

NTTドコモが行う対策

上記の被害からNTTドコモは、10日時点で連携済みの金融機関の口座を新たに「ドコモ口座」へ登録できる機能を停止しました。(金融機関によってはチャージ機能がそのまま利用可能)
停止されたユーザーでも、SMS認証やeKYC(オンラインでの本人確認)を導入すれば、再開する方針です。

また、今後NTTドコモは銀行と連携し、預金だけではなく手数料なども含めて全額補償を行う方針です。

NTTドコモがチャージ機能を止めない理由

NTTドコモは会見の中で、被害を受けてもチャージ機能を止めない理由は通常通り利用する一般ユーザーの存在があるからとしています。

丸山誠治副社長は「ドコモ口座からチャージされる件数が1日1万3000件あり、影響が大きいと判断した」と解説。

「ドコモ口座」のチャージ残高は、ドコモのコード決済サービス「d払い」の残高と同一です。
d払いへのチャージ件数も合算されているため、「ドコモ口座」のチャージ機能を止めてしまうとd払いにも影響が及ぶ可能性があります。

そのため、チャージ機能を止めずに対応していく方針です。

不正者に利用された「ドコモ口座」の本人確認システム

会見でNTTドコモ側は、犯人側が本人確認されていないdアカウントの「ドコモ口座」に銀行口座の登録ができてしまったことを反省点として挙げました。

基本的に「ドコモ口座」は本人確認をしていない「dアカウント」からも開設が可能です。
その場合は、機能が制限された「ドコモ口座(プリペイド)」というサービスの口座となり、銀行口座からのチャージはできません。

しかし、そこに銀行口座を登録すると「本人確認」と見なし、銀行口座からのチャージ(引き出し)ができてしまうのです。

不正者はその仕組みを利用し、氏名、口座番号、生年月日、キャッシュカードの暗証番号などの情報を用いて被害者の銀行口座を登録。今回の被害を発生させました。

なぜdアカウントに本人確認がなかったのか?

dアカウントは、NTTドコモの事業戦略の軸です。そのため、ドコモ回線を契約していない人にも発信しユーザー層の拡大を図っていました。
具体的には、電話番号の紐づけなどもなく、メールアドレスだけで作れるようにしていたのです。
丸山誠治副社長は上記の戦略について触れた上で、「より便利に使っていただくためと考えていた」と説明しました。

「ドコモ口座」に銀行口座からチャージする機能は2017年から提供を開始。
当初は銀行口座と名義が一致していなくても可能という、より簡単に利用できるものでした。これは、もともと「ドコモ口座」がドコモの回線契約をしているユーザーだけに向けた、回線契約での本人確認を終えた状態で利用されるものだったためです。

今回の被害は、回線契約なし、そして「ドコモ口座」側の本人確認の不十分さで、問題が発生したと丸山誠治副社長は述べました。
また、機能を制限されているとはいえ本人確認されていないdアカウントから「ドコモ口座」が作成できた点について、NTTドコモ常務執行役員マーケティングプラットフォーム本部長の前田義晃氏は「私どもの認識が甘かった」とのこと。
今後、NTTドコモは外部機関にもレビューを依頼し、必要に応じて改善を図るとしています。

「ドコモ口座」不正利用被害について銀行側の課題

今回の会見では、不正利用の原因として銀行側の要因にNTTドコモ側が触れることはありませんでした。

NTTドコモは、dアカウント及び「ドコモ口座」のセキュリティに注意を払っていたものの、既存ユーザーを守る仕組みを強化しており、「ドコモ口座」を悪用する不正者の排除まで意識が届いていなかったと反省。
まずは自らを正すのが優先とし、銀行と連携して対策を展開するのは次のステップと説明しました。

質疑応答の中で「銀行口座の登録時、オンラインバンキングのログイン手段などよりも緩やかな認証だったのでは?」という問いもありましたが、丸山誠治副社長は「そうした意見があることは承知しているが、各銀行がそれぞれの事情に応じてお決めになると認識している。それについてのコメントは差し控えます」と返答。

さらに「ユーザーから見ると、金融機関側のセキュリティ、私どものセキュリティはトータルで考えなければいけないと思っている。私どもの本人確認が不十分だったことは、少なくとも一因だったと思っている」と語りました。

被害にあった銀行と被害が確認されていない銀行の差は?

補足ですが、一部で「被害が確認された金融機関の多くは地方銀行」という説もありますが、地銀でも問題が発生していない機関もあるため一概には言えません。

「ドコモ口座」と連携していた地銀の中でも、愛媛銀行、十六銀行、八十二銀行、肥後銀行などは、ドコモ側が新規登録を止めるまで問題はなかった様子です。
とくに十六銀行、肥後銀行、南都銀行などは、ワンタイムパスワードや二段階認証などでセキュリティを強化。自行での被害は確認されていないとしています。

こういったそれぞれの背景も含め、近いうちに金融機関からの説明もあると考えられます。

「ドコモ口座」で発生した不正利用被害はどこもユーザー以外にも起こり得るもの

今回「ドコモ口座」で発生した不正利用は、ドコモユーザー以外にも起こり得るものです。
氏名、口座番号、生年月日、キャッシュカードの暗証番号などの情報が漏洩し、特定のモバイルウォレットに登録されてしまった場合、似た手口で被害に遭う可能性が考えられます。

そのため、事業者は外部からの不正者を検知するセキュリティの強化が必須と言えます。
また、自社で情報漏洩が起きてしまった場合、不正者の手助けをしてしまう危険性があります。既存ユーザーの情報を守るセキュリティも同時に強化が必要です。

ユーザーとしては取引履歴を確認し、不正に気付く習慣をつける必要があります。いち早く不正利用に気づくことで、被害を最小限に留めることができます。
また、普段から利用する決済システムのセキュリティにも気を配りましょう。SMS認証やeKYC(オンラインでの本人確認)の有無で、利用するシステムを選ぶのも1つの選択肢です。

ピックアップ記事

  1. 不正検知システムとは?「クレジットカード等の決済前に危険性判断する」仕組みや導入…
  2. 不正アクセスの手口とは?2019年の不正アクセス行為の発生状況と併せて解説
  3. 旅行事業者・旅行者が知っておくべき「不正トラベル対策」
  4. テレワーク時代における効果的なセキュリティ対策について
  5. セキュリティコード(SC)がクレジットカードに設定されている理由と、販売店にとっ…

関連記事

  1. ニュース・業界動向

    クレジットカードの不正利用防止対策とIC化の取組み状況と具体内容について

    一般社団法人日本クレジット協会は、クレジットカードのIC化率を「202…

  2. ニュース・業界動向

    インバウンドの増加に伴い需要が高まるキャッシュレス化

    2013年以降、急激に増加している日本のインバウンド。この記事…

  3. ニュース・業界動向

    キャッシュレスとは?何が変わるのかを消費者、事業者の視点から解説

    2019年10月の消費税率引上げに伴い、さらに注目されているキャッシュ…

おすすめ記事

  1. 不正アクセスの手口とは?2019年の不正アクセス行為の発生状…
  2. 生体認証だけでは不正アクセスは防げない?決して完璧ではない理…
  3. テレワーク時代における効果的なセキュリティ対策について
  4. なりすましによる不正アクセスの被害内容と具体的な対策(不正検…
  5. QRコード決済からのカード情報の不正流出と不正利用防止対策に…

ECサイト不正利用。巧妙化する手口


お役立ち資料

2020年最新調査データ無料DL オンラインサービスの最新不正傾向と対策を!約20,000サイトの独自データから分析
  1. 不正アクセス

    不正アクセスへの対策を。被害内容、発生後の対応、不正アクセス禁止法について
  2. 不正検知・ノウハウ

    不正検知ソリューションとは何か?不正使用を防ぐために必要な対策
  3. 不正検知・ノウハウ

    ECにおけるクレジットカードの不正利用を未然に防止する「3Dセキュア(本人認証サ…
  4. ニュース・業界動向

    任天堂から注意喚起。ニンテンドーアカウントへの不正ログイン・クレジットカードの不…
  5. 不正検知・ノウハウ

    代金未回収のリスクを回避できるキャリア決済。導入する場合のメリット・デメリット
PAGE TOP