ニュース・業界動向

  •  PR 

「ドコモ口座」不正利用にみる問題点と対策について

2020年8月、NTTドコモの「ドコモ口座」を経由し地方銀行に口座を保有する人の預金が不正に引き出されるという事件が発生。
これを受け9月上旬に会見を開催し「ドコモ口座の本人確認が不十分だったことが原因」と語りました。
また、対策として連携済みの金融機関の口座を新たに「ドコモ口座」へ登録できる機能を停止、SMS認証やeKYC(オンラインでの本人確認)を導入すれば、再開する方針を発表しました。

NTTドコモはこの不正利用被害について全額補償をするとしています。
この不正利用について、背景や課題・対策をまとめました。

\不正発覚した時に企業としてどう対応しますか?/

不正利用が発生した「ドコモ口座」とは

引用: ドコモ口座とは?│NTTドコモ

NTTドコモの提供する「ドコモ口座」とは、現金をチャージすることで利用できるモバイルウォレット。

  • ネットやアプリ上で送金やお買い物ができるバーチャルなお財布
  • どなたでも無料で簡単に開設できます!

とPRされており、友人や家族間での送金やNTTドコモの提供する「d払い」対応店舗でも利用ができます。

「ドコモ口座」不正利用事件の概要

今回の不正利用では、被害者の銀行口座が他人の作った「ドコモ口座」といつの間にか登録され、預金を引き出されてしまいました。
被害者からすると、ドコモとの回線契約も取引の覚えもないのに「ドコモコウザ」という摘要で出金がされてしまったのです。

被害は8月下旬~9月上旬に発生しており、現時点で銀行側からドコモへ知らされた分として被害額は約1800万円と発表されました。
また、ひとりあたりの被害としては8月と9月の2回、1ヶ月あたりの最大チャージ額30万円をそれぞれ引き出されてしまった方もいます。

今回、NTTドコモが発表した被害内容は銀行からの情報に基づくもので、丸山誠治副社長は「銀行側が把握しているものが全てであれば、(被害額の)桁が変わるほど拡大することは想定していない」と触れています。

NTTドコモが行う対策

上記の被害からNTTドコモは、10日時点で連携済みの金融機関の口座を新たに「ドコモ口座」へ登録できる機能を停止しました。(金融機関によってはチャージ機能がそのまま利用可能)
停止されたユーザーでも、SMS認証やeKYC(オンラインでの本人確認)を導入すれば、再開する方針です。

また、今後NTTドコモは銀行と連携し、預金だけではなく手数料なども含めて全額補償を行う方針です。

NTTドコモがチャージ機能を止めない理由

NTTドコモは会見の中で、被害を受けてもチャージ機能を止めない理由は通常通り利用する一般ユーザーの存在があるからとしています。

丸山誠治副社長は「ドコモ口座からチャージされる件数が1日1万3000件あり、影響が大きいと判断した」と解説。

「ドコモ口座」のチャージ残高は、ドコモのコード決済サービス「d払い」の残高と同一です。
d払いへのチャージ件数も合算されているため、「ドコモ口座」のチャージ機能を止めてしまうとd払いにも影響が及ぶ可能性があります。

そのため、チャージ機能を止めずに対応していく方針です。

不正者に利用された「ドコモ口座」の本人確認システム

会見でNTTドコモ側は、犯人側が本人確認されていないdアカウントの「ドコモ口座」に銀行口座の登録ができてしまったことを反省点として挙げました。

基本的に「ドコモ口座」は本人確認をしていない「dアカウント」からも開設が可能です。
その場合は、機能が制限された「ドコモ口座(プリペイド)」というサービスの口座となり、銀行口座からのチャージはできません。

しかし、そこに銀行口座を登録すると「本人確認」と見なし、銀行口座からのチャージ(引き出し)ができてしまうのです。

不正者はその仕組みを利用し、氏名、口座番号、生年月日、キャッシュカードの暗証番号などの情報を用いて被害者の銀行口座を登録。今回の被害を発生させました。

なぜdアカウントに本人確認がなかったのか?

dアカウントは、NTTドコモの事業戦略の軸です。そのため、ドコモ回線を契約していない人にも発信しユーザー層の拡大を図っていました。
具体的には、電話番号の紐づけなどもなく、メールアドレスだけで作れるようにしていたのです。
丸山誠治副社長は上記の戦略について触れた上で、「より便利に使っていただくためと考えていた」と説明しました。

「ドコモ口座」に銀行口座からチャージする機能は2017年から提供を開始。
当初は銀行口座と名義が一致していなくても可能という、より簡単に利用できるものでした。これは、もともと「ドコモ口座」がドコモの回線契約をしているユーザーだけに向けた、回線契約での本人確認を終えた状態で利用されるものだったためです。

今回の被害は、回線契約なし、そして「ドコモ口座」側の本人確認の不十分さで、問題が発生したと丸山誠治副社長は述べました。
また、機能を制限されているとはいえ本人確認されていないdアカウントから「ドコモ口座」が作成できた点について、NTTドコモ常務執行役員マーケティングプラットフォーム本部長の前田義晃氏は「私どもの認識が甘かった」とのこと。
今後、NTTドコモは外部機関にもレビューを依頼し、必要に応じて改善を図るとしています。

「ドコモ口座」不正利用被害について銀行側の課題

今回の会見では、不正利用の原因として銀行側の要因にNTTドコモ側が触れることはありませんでした。

NTTドコモは、dアカウント及び「ドコモ口座」のセキュリティに注意を払っていたものの、既存ユーザーを守る仕組みを強化しており、「ドコモ口座」を悪用する不正者の排除まで意識が届いていなかったと反省。
まずは自らを正すのが優先とし、銀行と連携して対策を展開するのは次のステップと説明しました。

質疑応答の中で「銀行口座の登録時、オンラインバンキングのログイン手段などよりも緩やかな認証だったのでは?」という問いもありましたが、丸山誠治副社長は「そうした意見があることは承知しているが、各銀行がそれぞれの事情に応じてお決めになると認識している。それについてのコメントは差し控えます」と返答。

さらに「ユーザーから見ると、金融機関側のセキュリティ、私どものセキュリティはトータルで考えなければいけないと思っている。私どもの本人確認が不十分だったことは、少なくとも一因だったと思っている」と語りました。

被害にあった銀行と被害が確認されていない銀行の差は?

補足ですが、一部で「被害が確認された金融機関の多くは地方銀行」という説もありますが、地銀でも問題が発生していない機関もあるため一概には言えません。

「ドコモ口座」と連携していた地銀の中でも、愛媛銀行、十六銀行、八十二銀行、肥後銀行などは、ドコモ側が新規登録を止めるまで問題はなかった様子です。
とくに十六銀行、肥後銀行、南都銀行などは、ワンタイムパスワードや二段階認証などでセキュリティを強化。自行での被害は確認されていないとしています。

こういったそれぞれの背景も含め、近いうちに金融機関からの説明もあると考えられます。

「ドコモ口座」で発生した不正利用被害はどこもユーザー以外にも起こり得るもの

今回「ドコモ口座」で発生した不正利用は、ドコモユーザー以外にも起こり得るものです。
氏名、口座番号、生年月日、キャッシュカードの暗証番号などの情報が漏洩し、特定のモバイルウォレットに登録されてしまった場合、似た手口で被害に遭う可能性が考えられます。

そのため、事業者は外部からの不正者を検知するセキュリティの強化が必須と言えます。
また、自社で情報漏洩が起きてしまった場合、不正者の手助けをしてしまう危険性があります。既存ユーザーの情報を守るセキュリティも同時に強化が必要です。

ユーザーとしては取引履歴を確認し、不正に気付く習慣をつける必要があります。いち早く不正利用に気づくことで、被害を最小限に留めることができます。
また、普段から利用する決済システムのセキュリティにも気を配りましょう。SMS認証やeKYC(オンラインでの本人確認)の有無で、利用するシステムを選ぶのも1つの選択肢です。

O-MOTION 仕組み紹介

自社の不正アクセス状況が分かるトライアル利用受付中!
O-MOTIONの資料DLはこちら

ピックアップ記事

  1. クレジットカードの不正利用を防ぐ方法は?消費者と事業者の両視点から原因を解説
  2. 3Dセキュア2.0を導入後も不正注文対策は必要!理由とおすすめの不正検知システム…
  3. 【2024年最新】クレジットカードの不正利用被害は過去最高額!クレカ不正の発生状…
  4. 不正検知サービスは無料で利用できる?選ぶポイントやコストを抑えて導入できるサービ…
  5. 【EC事業者必見】不正なチャージバックを防ぐ対策と不正対策システムの導入事例3つ…

関連記事

  1. ニュース・業界動向

    BNPLとは?仕組みやメリット・デメリット、クレジットカードとの違いを解説

    BNPL(バイナウペイレーター)とは、後払い決済サービスです。…

  2. ニュース・業界動向

    フェイクニュースとは?デマを流す目的から見る騙されないための3つの注意点

    私たちが日々使うSNSやwebをはじめとするさまざまなメディアでは、さ…

  3. ドジャース大谷翔平の試合を観戦するには?
  4. ニュース・業界動向

    東京商工リサーチが2020年の「上場企業の個人情報漏えい・紛失事故」調査結果を発表

    東京商工リサーチが、2020年における「上場企業の個人情報漏えい・紛失…

  5. 富士通 不正アクセス

    不正アクセス

    富士通の不正アクセスは防げたのか?情報漏えいの防止策も併せて解説

    「富士通株式会社」は、2021年8月11日に不正アクセスによって情報漏…

  6. 不正検知・ノウハウ

    【QR決済の動向】QRコード決済は今後も増加が見込める形に

    日本政府はコード決済を含むキャッシュレス決済を推進しています。…

EC不正事業者セルフチェックシート
漫画3匹の子豚でわかるどこよりもわかりやすいWebセキュリティ入門
漫画ウサギとカメでわかるどこよりもわかりやすいEC不正注文対策 無料ダウンロード

おすすめ記事

  1. チャージバックとは?不正が起こる原因と事業者が行うべき5つの…
  2. 【2024年最新】クレジットカードの不正利用被害は過去最高額…
  3. フィッシングサイトを検知する3つの方法!企業が受ける被害例も…
  4. 3Dセキュア2.0を導入後も不正注文対策は必要!理由とおすす…
  5. QRコード決済は危険?不正利用される原因や安全に使える電子決…
漫画3匹の子豚でわかるどこよりもわかりやすいWebセキュリティ入門

お役立ち資料

いざという時に。不正アクセス被害後の対応手順マニュアル
  1. サイバー攻撃とは?

    不正アクセス

    サイバー攻撃とは?26個の手口と未然に防ぐ対策を徹底解説【事例あり】
  2. EC構築・ノウハウ

    自社後払いとは?利用者・事業者のメリットや導入時の注意点
  3. 不正アクセス

    漫画でわかるどこよりもわかりやすいWebセキュリティ入門セミナー ~不正検知サー…
  4. 不正検知・ノウハウ

    キャリア決済の悪用を防ぐには?不正が発生する原因や対策、事例を紹介
  5. Two-factor authentication (2FA) and fingerprint touch identification security concept. User with digital tablet and smart phone and two-factor authentication security process, flatlay design.

    不正アクセス

    二要素認証とは?二段階認証との違いや活用事例、3つの要素を解説!
PAGE TOP