まずドコモ口座の問題点については、メールアドレスだけで持つことができるという、本人確認が徹底されていない点が挙げられる。犯罪者側にとっては、ドコモ口座は銀行口座よりもお金の受取先として足がつきにくく、簡単に作ることができて便利と言える。10日に会見したドコモの丸山誠治副社長はこの点を事件の原因として強調する姿勢を見せて“平謝り”に徹した。

 丸山氏は、今後、今はドコモ契約者だけに送られている携帯電話の「SMS(ショートメッセージサービス)」のほか、顔写真付きの身分証と本人の顔写真をオンラインで突き合わせる「eKYC」と呼ばれる仕組みで、本人確認を徹底させるように見直す考えを示した。

 しかし、ドコモ口座のセキュリティーの甘さは数年前から露呈していた。今回明らかになった73件以前に、昨年5月にはりそな銀行からの不正振り込みも明らかになっているが、関係者は「小さな『ヒヤリ・ハット』はほかにもあった。対策を取るべきだという声も上がっていたのに、ユーザー拡大を優先した結果だ」と吐き捨てた。

■独自の本人確認は無し

 もう一つ、ドコモ口座側の問題としては、丸山氏は強調しなかったが、銀行口座からお金をチャージ(振り込み)するために必要となる口座振替の手続きを銀行側の仕組みにほぼ任せているため、他の決済サービスよりも容易に不正なチャージができてしまった点が挙げられる。

 銀行口座からチャージするのはドコモ口座だけではない。最近までクレジットカードからのチャージができなかったLINE Payを始めとして、PayPayやauPAYなどほぼすべてのスマホ決済でも同様だ。銀行口座からチャージした上で、QRコードを店頭で見せるなどして決済するわけだ。

 ただ、ドコモ口座以外のサービスはここ数年で新しく始まったため、銀行口座とひも付ける際には銀行側の仕組みに任せず、独自に本人確認を強化している。地銀の一部はセキュリティー強化が遅れており、「名義人・口座番号・暗証番号」の三つさえわかれば口座振替契約が可能な場合がある。そのため、LINE Payが住所の入力も必要とするなど、各サービスで不正チャージを防ぐための追加の対応が取られている。

 一方、ドコモ口座は独自の本人確認を行っておらず、銀行任せ。それを元々は別のサービスだったスマホ決済の「d払い」と連携させたことで、不正チャージを許す「穴」が生まれたと言える。(ライター・平土令)

AERA 2020年9月21日号より抜粋

▼▼▼AERA最新号はこちら▼▼▼