ニュース・業界動向

「ドコモ口座」不正利用にみる問題点と対策について

2020年8月、NTTドコモの「ドコモ口座」を経由し地方銀行に口座を保有する人の預金が不正に引き出されるという事件が発生。
これを受け9月上旬に会見を開催し「ドコモ口座の本人確認が不十分だったことが原因」と語りました。
また、対策として連携済みの金融機関の口座を新たに「ドコモ口座」へ登録できる機能を停止、SMS認証やeKYC(オンラインでの本人確認)を導入すれば、再開する方針を発表しました。

NTTドコモはこの不正利用被害について全額補償をするとしています。
この不正利用について、背景や課題・対策をまとめました。

不正利用が発生した「ドコモ口座」とは

引用: ドコモ口座とは?│NTTドコモ

NTTドコモの提供する「ドコモ口座」とは、現金をチャージすることで利用できるモバイルウォレット。

  • ネットやアプリ上で送金やお買い物ができるバーチャルなお財布
  • どなたでも無料で簡単に開設できます!

とPRされており、友人や家族間での送金やNTTドコモの提供する「d払い」対応店舗でも利用ができます。

「ドコモ口座」不正利用事件の概要

今回の不正利用では、被害者の銀行口座が他人の作った「ドコモ口座」といつの間にか登録され、預金を引き出されてしまいました。
被害者からすると、ドコモとの回線契約も取引の覚えもないのに「ドコモコウザ」という摘要で出金がされてしまったのです。

被害は8月下旬~9月上旬に発生しており、現時点で銀行側からドコモへ知らされた分として被害額は約1800万円と発表されました。
また、ひとりあたりの被害としては8月と9月の2回、1ヶ月あたりの最大チャージ額30万円をそれぞれ引き出されてしまった方もいます。

今回、NTTドコモが発表した被害内容は銀行からの情報に基づくもので、丸山誠治副社長は「銀行側が把握しているものが全てであれば、(被害額の)桁が変わるほど拡大することは想定していない」と触れています。

NTTドコモが行う対策

上記の被害からNTTドコモは、10日時点で連携済みの金融機関の口座を新たに「ドコモ口座」へ登録できる機能を停止しました。(金融機関によってはチャージ機能がそのまま利用可能)
停止されたユーザーでも、SMS認証やeKYC(オンラインでの本人確認)を導入すれば、再開する方針です。

また、今後NTTドコモは銀行と連携し、預金だけではなく手数料なども含めて全額補償を行う方針です。

NTTドコモがチャージ機能を止めない理由

NTTドコモは会見の中で、被害を受けてもチャージ機能を止めない理由は通常通り利用する一般ユーザーの存在があるからとしています。

丸山誠治副社長は「ドコモ口座からチャージされる件数が1日1万3000件あり、影響が大きいと判断した」と解説。

「ドコモ口座」のチャージ残高は、ドコモのコード決済サービス「d払い」の残高と同一です。
d払いへのチャージ件数も合算されているため、「ドコモ口座」のチャージ機能を止めてしまうとd払いにも影響が及ぶ可能性があります。

そのため、チャージ機能を止めずに対応していく方針です。

不正者に利用された「ドコモ口座」の本人確認システム

会見でNTTドコモ側は、犯人側が本人確認されていないdアカウントの「ドコモ口座」に銀行口座の登録ができてしまったことを反省点として挙げました。

基本的に「ドコモ口座」は本人確認をしていない「dアカウント」からも開設が可能です。
その場合は、機能が制限された「ドコモ口座(プリペイド)」というサービスの口座となり、銀行口座からのチャージはできません。

しかし、そこに銀行口座を登録すると「本人確認」と見なし、銀行口座からのチャージ(引き出し)ができてしまうのです。

不正者はその仕組みを利用し、氏名、口座番号、生年月日、キャッシュカードの暗証番号などの情報を用いて被害者の銀行口座を登録。今回の被害を発生させました。

なぜdアカウントに本人確認がなかったのか?

dアカウントは、NTTドコモの事業戦略の軸です。そのため、ドコモ回線を契約していない人にも発信しユーザー層の拡大を図っていました。
具体的には、電話番号の紐づけなどもなく、メールアドレスだけで作れるようにしていたのです。
丸山誠治副社長は上記の戦略について触れた上で、「より便利に使っていただくためと考えていた」と説明しました。

「ドコモ口座」に銀行口座からチャージする機能は2017年から提供を開始。
当初は銀行口座と名義が一致していなくても可能という、より簡単に利用できるものでした。これは、もともと「ドコモ口座」がドコモの回線契約をしているユーザーだけに向けた、回線契約での本人確認を終えた状態で利用されるものだったためです。

今回の被害は、回線契約なし、そして「ドコモ口座」側の本人確認の不十分さで、問題が発生したと丸山誠治副社長は述べました。
また、機能を制限されているとはいえ本人確認されていないdアカウントから「ドコモ口座」が作成できた点について、NTTドコモ常務執行役員マーケティングプラットフォーム本部長の前田義晃氏は「私どもの認識が甘かった」とのこと。
今後、NTTドコモは外部機関にもレビューを依頼し、必要に応じて改善を図るとしています。

「ドコモ口座」不正利用被害について銀行側の課題

今回の会見では、不正利用の原因として銀行側の要因にNTTドコモ側が触れることはありませんでした。

NTTドコモは、dアカウント及び「ドコモ口座」のセキュリティに注意を払っていたものの、既存ユーザーを守る仕組みを強化しており、「ドコモ口座」を悪用する不正者の排除まで意識が届いていなかったと反省。
まずは自らを正すのが優先とし、銀行と連携して対策を展開するのは次のステップと説明しました。

質疑応答の中で「銀行口座の登録時、オンラインバンキングのログイン手段などよりも緩やかな認証だったのでは?」という問いもありましたが、丸山誠治副社長は「そうした意見があることは承知しているが、各銀行がそれぞれの事情に応じてお決めになると認識している。それについてのコメントは差し控えます」と返答。

さらに「ユーザーから見ると、金融機関側のセキュリティ、私どものセキュリティはトータルで考えなければいけないと思っている。私どもの本人確認が不十分だったことは、少なくとも一因だったと思っている」と語りました。

被害にあった銀行と被害が確認されていない銀行の差は?

補足ですが、一部で「被害が確認された金融機関の多くは地方銀行」という説もありますが、地銀でも問題が発生していない機関もあるため一概には言えません。

「ドコモ口座」と連携していた地銀の中でも、愛媛銀行、十六銀行、八十二銀行、肥後銀行などは、ドコモ側が新規登録を止めるまで問題はなかった様子です。
とくに十六銀行、肥後銀行、南都銀行などは、ワンタイムパスワードや二段階認証などでセキュリティを強化。自行での被害は確認されていないとしています。

こういったそれぞれの背景も含め、近いうちに金融機関からの説明もあると考えられます。

「ドコモ口座」で発生した不正利用被害はどこもユーザー以外にも起こり得るもの

今回「ドコモ口座」で発生した不正利用は、ドコモユーザー以外にも起こり得るものです。
氏名、口座番号、生年月日、キャッシュカードの暗証番号などの情報が漏洩し、特定のモバイルウォレットに登録されてしまった場合、似た手口で被害に遭う可能性が考えられます。

そのため、事業者は外部からの不正者を検知するセキュリティの強化が必須と言えます。
また、自社で情報漏洩が起きてしまった場合、不正者の手助けをしてしまう危険性があります。既存ユーザーの情報を守るセキュリティも同時に強化が必要です。

ユーザーとしては取引履歴を確認し、不正に気付く習慣をつける必要があります。いち早く不正利用に気づくことで、被害を最小限に留めることができます。
また、普段から利用する決済システムのセキュリティにも気を配りましょう。SMS認証やeKYC(オンラインでの本人確認)の有無で、利用するシステムを選ぶのも1つの選択肢です。

ピックアップ記事

  1. テレワーク時代における効果的なセキュリティ対策について
  2. クレジットカードにセキュリティコード(SC)がある理由を解説
  3. 【購入者向け】受取拒否や身に覚えのない荷物への対応について
  4. 【購入者から見る後払い決済】利用手順やメリット・デメリット、未払い時の対応は?
  5. キャッシュレスとは?増加で起こる消費者・事業者の変化を解説

関連記事

  1. ニュース・業界動向

    IPA(独立行政法人情報処理推進機構)が「情報セキュリティ10大脅威 2021」を発表

    経済産業省所管の独立行政法人であるIPA(独立行政法人情報処理推進機構…

  2. ニュース・業界動向

    IPA(独立行政法人情報処理推進機構)が「情報セキュリティ10大脅威 2020」を発表

    日本におけるIT国家戦略を技術と人材の両面から支えるために設立された、…

  3. 不正検知・ノウハウ

    【QR決済の動向】QRコード決済は今後も増加が見込める形に

    日本政府はコード決済を含むキャッシュレス決済を推進しています。…

おすすめ記事

  1. 二要素認証とは?二段階認証との違いや活用事例、3つの要素を解…
  2. eKYCとは?注目が集まる3つの理由や、メリット・デメリット…
  3. サイバー攻撃とは?効果的な対策・検知方法・種類を解説
  4. 【保存版】企業ができるサイバー攻撃への対策
  5. 不正アクセスを検知する「不正検知システム」とは?
漫画3匹の子豚でわかるどこよりもわかりやすいWebセキュリティ入門

お役立ち資料

2020年最新調査データ無料DL オンラインサービスの最新不正傾向と対策を!約20,000サイトの独自データから分析
  1. ニュース・業界動向

    クレジットカードの不正利用防止対策とIC化の取組み状況と具体内容について
  2. 3Dセキュア

    3Dセキュアとは?メリットや利用方法を解説
  3. 不正アクセス

    不正ログインとは?考えられる被害やリスク、手口。個人やサービス提供者ができる対策…
  4. セキュリティ用語

    クレジット業界におけるイシュアとは何か?役割やアクワイアラとの違いについて解説
  5. データ&レポート

    日本クレジット協会が発表した令和元年10月クレジットカードの利用状況について
PAGE TOP