澤田翔
NTTドコモの個人向け送金・決済サービス「ドコモ口座」※1を悪用した、銀行口座の不正出金問題が注目を集めている。NTTドコモは2020年8月8日までに両銀行を含む3金融機関の新規登録を停止。その後、同様の懸念があるとして14金融機関の登録を停止した。事件の全貌についてはまだ明らかになっていない点も多い。
しかし、筆者が被害者に取材して判明した事実から推察すると、今回の事件は「ネット口振」を活用した、新たなタイプの犯罪と言えそうだ。そして、その背景には、銀行がセキュリティ対策をその場しのぎで実装し続けてきたことで、実効性自体が失われていたという、日本全体の問題が透けて見える。(連続起業家、エンジニア、インターネットプラス研究所所長 澤田 翔)
※1「ドコモ口座」とはQRコード決済サービス「d払い」に現金チャージをするために使われているほか、ドコモ口座保有者間で残高を送り合ったり、その残高を銀行に出金する機能も備わっている。
●悪用された「ネット口座振替受付サービス」
これまでインターネットでの決済はクレジットカードやコンビニで買えるプリペイドカードを用いたものが主流であり、銀行での決済は口座間振込や生計費の入出金が中心であった。クレジットカードの利用金額は銀行から引き落とされるが、これはクレジットカードの入会申込書に押捺した銀行届出印を銀行が照合することで引落口座の登録を行う仕組みになっている。
最近はキャッシュレスやデジタル金融に関わるサービスが銀行と直接接続するケースが増えているが、そこで使われているのが「ネット口座振替受付サービス」(以下ネット口振<こうふり>)だ。クレジットカードの入会であれば、クレジットカード会社のサイトでオンライン申込をした後にネット口振のサイトに遷移し、オンラインバンキングに用いるIDやパスワードを入力して登録が完了する。書面で印影をやりとりせずとも手続きができる点が便利で、「ドコモ口座」を含めて多くのキャッシュレスサービスがネット口振を利用している。
ところが、今回の事件はこの仕組みが悪用されてしまった。何者かがドコモ口座を開設する際、他人の銀行口座を登録し、不正にドコモ口座に送金。その後、出金ないしショッピングで残高を現金化するというやり口である。
●銀行は使いづらいオンラインバンキングを放置 安易な認証を導入
もともとネット口振はこれほど脆弱なサービスではなかった。登場した当初は手続きの際に口座登録の際にオンラインバンキング用のパスワードや認証カードの情報を入力するようになっていた。この手順を維持していれば、今回の犯行は起きなかったはずだ。ところがこの仕様では普及が進まなかった。オンラインバンキングを開設していない人や、開設していても暗証番号や認証カードを忘れた人が多かったことが原因である。
ミッツ・マングローブ
姜尚中
ラリー遠田
