浅井秀樹
銀行の預金が、NTTドコモの電子決済サービス「ドコモ口座」を通じて不正に引き出されていた問題が起きた。銀行側の本人確認が甘かったとはいえ、こまめに預金通帳に記帳したり、出入金を確認したりしないと気づかなかったという。「暗証番号」の設定や管理が甘いと被害にあいやすいとみられ、とくに年配者は要注意だ。
ドコモ口座をめぐる問題が明らかになったのは9月。被害にあった預金者の通帳には、身に覚えのない「ドコモコウザ」などへの出金が記録されていた。
ドコモによると、被害は10月7日時点で125件、総額2842万円にのぼる。ドコモ口座のサービス対象となる35行のうち、不正に引き出された銀行は11行だったという。
今回の不正は、詳細は不明だが、預金者本人になりすました何者かがドコモ口座を開設。そこへ銀行口座からお金を移す手口だったとされる。ドコモ口座では提携先の店で買い物などの支払いを電子決済できるため、何者かがドコモ口座を通じて商品を購入し、それを転売して現金化したとみられている。
ドコモ口座の開設は、ドコモと携帯電話の回線契約をしていなくても、メールアドレスがあれば誰でも無料でできるのが特徴だ。ドコモ口座のサービス対象となる銀行のなかには、口座番号と暗証番号だけで連携できるケースもあったという。つまり、本人になりすました何者かがドコモ口座を開設して、銀行の口座番号と暗証番号を入力できさえすれば、預金の一部をドコモ口座に移してチャージできてしまったのだ。
「アプリ登録時の資金移動業者の本人確認の脆弱(ぜいじゃく)性に加え、銀行が口座振替でキャッシュカードの暗証番号のみで認証するなど、認証の手続きにも問題があった」
全国銀行協会の三毛兼承会長(三菱UFJ銀行頭取)は会見でこう述べ、本人確認の手続きの甘さが銀行側にもあったと認めた。一方で、「悪意の第三者が口座情報や本人確認情報を不正に入手している可能性がある」とも指摘した。
EGセキュアソリューションズ代表の徳丸浩さんは次のように解説する。
「本人確認には2種類あり、『人物が誰か』と、『銀行口座の持ち主』の確認。今回の問題の本質は、後者の確認が甘かったことです」
銀行口座の持ち主であるかどうかは通常、「通帳と届け出印鑑」もしくは「キャッシュカードと暗証番号」で確認されている。今回はネット上で通帳やキャッシュカードは介在せず、ドコモ口座に銀行口座をひもづける際に、口座番号と暗証番号だけでいいケースが狙われた。
徳丸さんは「口座にある預金を守るのは銀行の責任」と改めて強調した。
では、銀行口座や暗証番号がどうして漏れたのだろうか。徳丸さんはこう推測する。
「被害者(本人)が暗証番号などをネット上に入力した際に盗み取るフィッシング詐欺は、監視して見張っている人がいます。となると、一定の暗証番号に固定して、銀行口座を試行錯誤的に試した“逆総当たり攻撃”だったのではないでしょうか」
暗証番号は何度か入力に失敗すると、不正を防ぐため打ち込めなくなる。そこで“決め打ち”した暗証番号から逆に、コンピューターを活用するなどして、口座番号を探し出す手口だそうだ。
同じように指摘するのは、トライコーダ代表の上野宣さん。「暗証番号は推測されにくいものにする必要があるのですが、誕生日やゾロ目、例えば『1122』とかはよくあります。ネットバンキングをしていない人も被害にあっている」
ブレイディみかこ
鴻上尚史
鈴木涼美
