「ドコモ口座資金窃盗事件」が、少し前から話題になっています。これに関して「金融評論サイト」を自称する当ウェブサイトとしては、株式会社NTTドコモのウェブサイトなどを参考に、事実関係を調べてみましたが、たしかに本人確認に甘い部分が見受けられます。報じられている被害総額は現在のところ1000万円前後とのことですが、被害総額が今後膨らむ可能性がある点に加え、これが深刻なネット金融犯罪である点については注目に値します。
ドコモ口座資金詐取事件
少し前から当ウェブサイトの読者コメント欄でも話題となっていたのが、「ドコモ口座の不正使用事件」です。
「ドコモ口座」とは、株式会社NTTドコモが運営する決済サービスシステムのことで、銀行口座などと紐付けして、街やネットのお店での支払にも使用でき、さらにはドコモユーザー同士であれば電話番号だけで送金ができる、という、一見すると非常に便利なシステムです。
利用するには、まずは「dアカウント」を登録し、ついで「ドコモ口座」を新規登録し、さらにはそこに入金(チャージ)するか、銀行口座との紐付けをする、という流れだそうですが、悪用されたのはどうもこの銀行口座との紐付けの部分のようです。
これに関し、『ITmedia NEWS』によると、株式会社NTTドコモは今日、ドコモ口座と連携する全35行の銀行口座の新規登録を当面停止すると発表したそうです。
ドコモ口座、全銀行で新規の登録停止 被害額は1000万円
NTTドコモは9月10日、電子決済サービス「ドコモ口座」を通じた現金の不正引き出しが相次いでいることを受け、ドコモ口座と連携する全35行の銀行口座の新規登録を当面停止すると発表した。<<…続きを読む>>
―――2020年09月10日 11時02分付 ITmedia NEWSより
リンク先記事によると、株式会社NTTドコモは9日までに、34口座で約1000万円の被害を確認したそうであり、また、第三者が「銀行口座番号やキャッシュカードの暗証番号などを不正に入手し、ドコモ口座に銀行を新たに登録することで被害が発生した」、などとしています。
誰でも被害に遭う可能性が…?
もっとも、今回の事件の恐ろしいところは、べつにNTTドコモのユーザーではない人にも被害が発生している(らしい)、という点です。つまり、「誰でも被害に遭う可能性がある」、ということです。
よくよく調べてみると、この「dアカウント」や「ドコモ口座」は、「ドコモとの契約がない人も作成可能」であり、かつ、この「ドコモ口座」の開設に当たって本人確認も不要であるため、犯罪者集団によってこのシステムが悪用された可能性が指摘されています。
この点、株式会社NTTドコモ側は「詳細な手口については調査中」などとしているようですが、あくまでも金融評論家としての勝手な見解に基づけば、おそらく今回の事件には、株式会社ドコモ側と参加している銀行側の双方に何らかの過失があったのではないか、という仮説を抱いています。
まず考えられるのは、ドコモ側の過失です。
『ドコモ口座』のページには、「ドコモ口座」からの出金が可能な口座については「本人確認が必要だ」などと記載されているのですが、同ページを読むと、その「本人確認」の方法は「相手の銀行口座の登録をすること」だと読めてしまいます。
もしそうなのだとしたら、「『ドコモ口座』を開設する時点で本人確認が不要である」という点において、ドコモ側に重大な過失がある、という可能性があるでしょう。
なぜなら、犯罪者集団(たとえば日本が得意な某北朝鮮国の工作員)が何らかの方法で銀行口座の番号と口座所有者のリストを盗み出し、架空の名前で「ドコモ口座」を多数作成し、それらの銀行口座のリストを片っ端から紐付けようとすれば、なかには成功する事例もあるかもしれないからです。
ひとつの仮定を置くならば、4ケタの暗証番号だけ固定しておいて、銀行口座のリストをひとつずつトライしていく、という方法が考えられます。しかも、暗証番号に使われる数字にはパターンがあるとも言われていますので、意外と10000通りを試す必要もないのかもしれません。
(※ただし、「ドコモ口座」と銀行口座の名義が異なっていた場合であっても紐付けができていたのか、あるいは紐付けができないシステムとなっていたのかについては、事実確認が取れていませんが…。)
ただし、もしこの仮説が正しければ、銀行側の過失も皆無ではありません。ドコモ口座と紐付けをする際に、4ケタの暗証番号だけでそれが出来てしまい、以降は無制限に銀行口座の資金がドコモ口座に流れてしまうのだとしたら、セキュリティとしては非常に脆弱です。
実際、海外の某銀行のケースだと、暗証番号は6ケタ、それとはべつにネットバンキングには(口座番号ではなく)ユーザー名とパスワードが要求され、さらにはワンタイムパスワードを発行するためのトークンが交付されていました。
その意味では、被害が発生した銀行のセキュリティ水準がどうだったのかについても、検証する必要があるように思えるのです。
IT化時代ならではの犯罪
サイバー空間を使ったさまざまな犯罪は、これからも手を変え品を変え、次々と出て来ることでしょう。そして、やりようによってはもしかすると北朝鮮などの犯罪国家に巨額の資金が流れることについても警戒する必要があります。
そういえば、かつて600億ドル近い暗号資産が北朝鮮と疑われる犯罪者集団に詐取されたという事件が発生したことがあります(『580億円窃盗事件:暗号通貨を金商法の対象にせよ』等参照)が、これもIT時代固有の犯罪なのかもしれません。
今回報じられている「ドコモ口座」の窃盗犯罪の被害総額は、現在のところは1000万円前後であり、暗号通貨「NEM」の窃盗事件と比べればまだ軽微ですが、それでも被害総額が膨らむ可能性がある点に加え、金銭を窃盗するという意味では、金融システムと社会への信頼を揺るがしかねない、深刻な犯罪です。
考えてみれば、IT化以前であれば、1億円のカネを盗もうと思えば、物理的に紙幣を奪い取るというのがいちばん効率的でした。ただし、1億円の場合は重量が約10㎏にも達するそうであり、窃盗団がこれを盗んで山分けをしようとしても、持ち運んで逃げること自体が大変な作業です。
【参考】1億円
(【出所】日本銀行ウェブサイト)
IT時代になって、銀行強盗はなくなったのかもしれませんが、その代わりにサイバー空間を悪用した知的な犯罪が跋扈するようになるのかもしれません。だからこそ、自民党総裁選に出馬を表明している菅義偉氏が創設を明言している「デジタル庁」構想については、じつにセンスが良いと思う次第です。
おそらく菅氏のことですから、官房長官時代に金融庁や警察庁などから外国からのネット犯罪の頻発についての情報が入っていたのかもしれませんね。
View Comments (39)
更新ありがとうございます。
まだ全貌が明らかになった訳ではありませんが、どうやら地銀が狙われたようですね、七十七銀行。
「ドコモ口座」と連携する中国銀行、大垣共立銀行、東邦銀行、イオン銀行、ゆうちょ銀行等35行の銀行口座の新規登録を当面停止すると発表。
この「ドコモ口座」の開設には本人確認も不要だと。犯罪者集団によって暗証番号4ケタだけでカネが盗まれるとは!ま、大金無い私には影響無いですが(失笑)。まさか、外国人?、、かな。
会計士様、読者の皆様へ
先程のコメントで訂正があります。
「ゆうちょ銀行は取引停止とはしていません」です。
ご迷惑をおかけしました。
現時点では2段階認証や残高情報を必要とする金融機関では被害確認がないようです。被害確認は、口座番号と暗証番号”等”で済ましている金融機関が目立ちますね。
https://piyolog.hatenadiary.jp/entry/2020/09/08/054431
セキュリティーの甘さ自体は問題だけど、それ以上にドコモ口座とかいう、反社会勢力だろうがテロリストだろうが口座まがいのものを作れて、資金調達からマネロンまでできちゃうような状況は到底容認できないですね。電子決済代行者登録を即時取り消してほしいものです。
各銀行の本人確認などをまとめたものが欲しかったけど、上のリンクぐらいしか見つけられませんでした。匿名個人のブログ(?)が、マスコミよりも情報が整っているという状況もなかなかアレですね。
例えばゆうちょだと、ダイレクトバンキングでの送金はログインパスワードでログインした後に、送金時にあらかじめ登録したメールアドレスにワンタイムパスワードを送ります。
ただ今回のドコモ口座は送金でなくチャージの扱い(いわゆるデビッドカードの扱い)でおそらくダイレクトバンキングの扱いでない形になった所を突かれたと推測しています。
> 銀行は「ドコモから情報が漏れたんだろう」ドコモは「銀行から情報が漏れたんだろう」でまともに調べてくれず。
いやはや、お気の毒な状況ですね。絵に描いたような責任回避。
今後は、こういったキャッシュレス決済サービスは、ユーザーから口座開設料を徴収し、それによって本人確認の精度を高め、不正登録の心理的敷居を高めると共に、開設料の一部を保険金としてプールし、被害者を救済すると良いのではないでしょうか。
口座を開くとき、銀行と同等のチェックをしていないことの方が驚きですね。
これ、口座って名前だから誤解されてますが、実態はプリペイドカードとかネトゲのアカウントとかと同じ代物っぽいんですよね。
こういうたぐいのものって、このドコモ口座と同じような情報だけで取得できるものがものすごく多い。
なので、今回はドコモがやらかしましたが、今後似たようなシステムのものが銀行口座からダイレクトにチャージする機能つけた場合、同じことが起こる可能性が高いです。
そのあたりのことを踏まえるとドコモの責任も重いですが、根本的に口座番号と暗証番号だけでチャージできる仕様のままネットバンキングをやろうとしているとか、チャージは二段階認証不要とか、そういう舐めた考えで金のやり取りをやろうとしてる金融機関の問題が一番大きい案件です。
そもそも、そこがきっちりしてればあっさり防げる案件なのは間違いない事実ですし。
「実態はプリペイドカードとかネトゲのアカウントとかと同じ代物っぽい」のに、
ドコモ口座”だけ”こうなってるんだからドコモ口座に致命的な欠陥があると見るべきでは?
ネトゲのアカウントとかプリペイドカードって、大半は現在PCで直接銀行口座からチャージできない(クレジットカードやWEBマネーなどの電子マネーでチャージする、スマホを経由するかチャージ機もしくは店頭で直接チャージする)システムです。
また、大部分がドコモほどのネームバリューがないので銀行側が慎重に判断して、こういう取引を広げてこなかった、という点もあります。
ドコモがやらかした原因はどっちかっていうと、ネームバリューのせいでお互いその辺を甘く見てセキュリティをちゃんと構築する前に取引を広げたという点にあるので、一定以上ネームバリューがある企業が発行している住所と名前程度で開設できる自社アカウント(これまたものすごく数がある)で銀行口座と直接やり取りを始めれば、まず間違いなく同じ事件が発生します。
ドコモ側にもなにがしかの問題は絶対あるので、そのセキュリティホールはつぶす必要がありますが、そこをつぶしたところで金融機関がこの意識のままだったら別のところで同じことをやらかします。
何度も言いますが、過失の比重は金融機関のITリテラシーの低さのほうが間違いなく重く、ドコモだけ潰せば終わりにはなりません。
むしろドコモの問題にしてしまって、金融機関の甘い意識やセキュリティホールが残ったままになる方がまずい案件です。
結局、PCで完結する上にメアドだけで口座作れるという
他に類を見ないザルセキュリティが原因ですな。
ドコモ口座って名前がややこしいですが、単なる電子マネーサービスの一つなので、楽天のアカウントがあれば作れるEdyなどや、Yahooアカウントで作れるYahooウォレットなどと本質は変わりません。単なる電子決済のプラットフォームです。
ドコモ契約外の人がドコモ口座を開設する際の本人確認が甘いのは事実ですが、フィンテックという意味では、Bitflyerなどの仮想通貨交換所やマネーフォワードなどの家計管理アプリなどもデジタルバンキングと連携しており、これらもドコモ口座と本質は変わりません。これからもデジタル上で銀行とつながるサービスはたくさん出てくるでしょう。
そして、そういった各サービスと銀行が連携を拡大していくときに、まずは銀行口座を持っている顧客の保護が第一だろうし、その責務は口座を管理して保護する銀行にあるでしょう。
今回もドコモ口座の役割は、ぶっちゃけ似たものならドコモ口座でなくてもいいし、今後ドコモ口座の開設時に本人確認がなされてるようになっても、ドコモ口座開設した後に、犯罪者がそれを買い取ればいいだけなので、根本的な解決にはならないと思う。
4桁の暗証番号だけでオンラインバンキングが出来てしまう地銀のデジタルバンキングが一番の大問題だと思う。被害にあってない大手銀行は、4桁の暗証番号のほかに別の認証を重ねて多重認証にしているが、地銀にはそこまで自前で整備する力がないのだろう。4桁の暗証番号は、物理的なキャッシュカードとセットになることでATMで2重認証になっているのに、キャッシュカードを確認しないオンラインで、4桁の暗証番号だけでの認証というは、21世紀のセキュリティではないだろう。ざるすぎる。
菅官房長官がどこかの記者会見で地銀の再編について話していたと思うが、こんなセキュリティで運用している地銀は再編でも何でもして、体力をつけないとだめだろう。当面は低金利政策で、銀行にとって厳しい時代が続くので再編は避けられないのでは?
「金を抜き取られる地銀は危険」「地銀口座は解約しろ」という流れになりそうですね。
名無しのPCパーツさんへ
>ドコモ口座”だけ”こうなってるんだから
本当? 本当にドコモ口座だけですか?
しょうもないツッコミですが。
> ただし、1億円の場合は重量が約10kgにも達するそうであり、窃盗団がこれを盗んで山分けをしようとしても、持ち運んで逃げること自体が大変な作業です。
以前、金額を m (メートル)で表わす方がいました。1m=1億円。
日銀が出典の写真は、10cm(1千万円)が10個。
全部一万円札なら2人で山分けすれば、一列に積んでも一人当り50cm。二列にすれば25cm。重量は5kg。
持ち運んで逃げることは、そんなに難しくなさそうです。
この事件のマスコミ報道はゴミですね。
わざわざ「○○銀行(□□市)」とかご丁寧に書いてるけど、銀行の本店所在地情報はどう考えても不要。同じ銀行名で本店の市町村だけ違うなんてないわけですし。
電子決済詐欺事件なのだから、リアル店舗の住所なんか糞の役にも立たない情報なのに。
新宿会計士さんの指摘どおりに、暗証番号を固定してそれに対応する口座番号を探ってく方法(リバースブルートフォースアタック)だったら、口座情報も個人情報も一切必要ないというのに、マスコミの殆どが「①何らかの方法で口座情報を不正入手、②...」みたいな解説がつくというお粗末さ。そもそも、これって単一犯罪者(集団)でなく、手口が犯罪者間で共有された結果、同時多発的にアタックされてる可能性もあるうえに、被害実態の把握が困難なんじゃないかと。銀行側からじゃ正規のドコモ口座からの引き落としかどうかわからないし(複数ドコモ口座から限度額下ろされてれば被害口座とみなせるでしょうけど)、ドコモ側はドコモ口座の個人情報を把握できてないし(今後もできない可能性もあり)、預金者側から覚えのない引き落としがあったといいださないとダメという状況の可能性が大ですよ。いずれにせよ、ドコモ口座の本人確認ができていないから被害なのか正規取引か判断しにくいのが全容解明のネックになるでしょうね。
ケロお様
>口座番号を探ってく方法(リバースブルートフォースアタック)だったら、口座情報も個人情報も一切必要ない
口座番号+4桁の暗証番号が、本人確認の用をなさないなんて、ネットバンキングが始まった頃から分かってた話じゃないのかな?
クレジットカードなら、引き落とし日までに明細を確認するみたいな自衛手段もあるけど、銀行口座だと引き下ろされたら、それまで
ですものね♪
銀行とドコモの間での責任分担の話には時間がかかるだろうけど、せめて、利用者への補償をさっさとやって欲しいと思うのです♪
>(リバースブルートフォースアタック)
これに必要なのは大量の口座なので(一つの口座で数千数万のアタックは難しい)
メアドさえあれば口座をいくらでも作れるドコモ口座が使われたんだろうね。
中国銀行(本店:岡山市)は、中國銀行(Bank of China)と混同する可能性はあります。
広島県東部出身なので、大手町の中國銀行を見るたびに、本店岡山市の銀行な気分がします。
#中国銀行(本店:岡山市)の東京支店は日本橋らしい。
なお、元々は中国銀行(本店:岡山市)も、商号が『中國銀行』だったものを
Bank of Chinaの日本進出の際に、商号とロゴを新字体に改めたようです。
自分が住んでいるところの地銀に口座を持っている人は多いと思うので、名前と住所だけでも総当たりで特定できるかもしれませんね。
七十七銀行の場合、暗証番号は所定の回数間違えるとロックされ解除には窓口での手続きが必要になるようですが、口座番号は時間がたてば自動でロック解除されるようです。
開発チーム内では当然わかっていたことだと思いますよ。
上役(自分のスマホのメール設定も出来ない)が、訳も分からず、必要ないと握り潰したのでしょう。
なれば、NTTドコモなる携帯電話通信会社とは、金融犯罪発生を誘引し得る脅威の存在を過小評価して、実害が発生することを許した「情弱企業」ということですね。社会的な信用は失われたのではないでしょうか。
損害はNTTドコモがすべて賠償。ドコモ口座は既存分も含めて廃止。この分野のサービスはNTTドコモは永久に撤退ということになるのではと思います。
いや、銀行が勝手に預金者のお金を見知らぬ組織(ドコモ口座)に送金したんですよ。
銀行に損害賠償しろとの訴えは裁判所が門前払いしないだろうが、ドコモに損害賠償しろという訴えは門前払いされそうですね。
副社長氏の発言がひどい。巨大企業というブランドに胡坐をかいた軽率な利益拡大策と指弾されても仕方ない状況と思います。彼にキャッシュレス経済を語る資格も才覚もなさそうです。社長をかばって身を投げた忠犬幹部社員として社内ではたいそう評価を高めたくらいのことは(大企業ですから)起きそうです。
個人的には過失割合は「銀行3ドコモ7」ぐらいかなぁ。
ドコモ口座はpaypayやら他の銀行連携サービスと
同じくらいのセキュリティは会って然るべきなのにそれを怠ったわけだし。
いやいや全面的に
銀行
の
責任でしょ!
①ドコモ口座を持たない人が、
②何もしていないのに
③自分の銀行通帳から、知らないうちに他人にお金が引き出された(他人のドコモ口座に送金された)。
のだから!
むしろ、D口座を使っている人の方が安全ってのが悪質です。
同一口座は複数のアカウントには登録できないそうです。
これ、被害確認は各自が通帳記帳して確認するしかないんですかね?
記帳しての確認が、難しい人もいるでしょうし、
(入院してるとか、遠方にいるとか)
DOCOMOは被害は補償するといってますけど、
そういう、被害確認の手間とかも請求できるんでしょうか?
給付金とかで役所に銀行口座の番号を登録する人はいっぱいいたはずだ。最近の役所は公務員試験を受けていないアルバイトみたいな公務員がいっぱいいる。役所によってはセキュリティは甘いだろう。銀行口座番号が閲覧し放題なんてとこもあるのでは。役所のコンピュータのエンジニアだったらそれこそ大量に持ち出せるしね。ということで、本人確認をしっかりしないとだめですね。
役所から口座番号を抜き取った人は守秘義務違反だけど、それから流通していった先はなんの犯罪にもならない。法制度もどうするかだね。
これってATMで出金とかする時に使うキャッシュカードの四桁の暗証番号がわかれば(インターネットバンキング関係なしに)電子マネーのチャージができてしまう金融機関がある所の問題と、フリーメールアドレスさえ量産できたらいくらでも口座が作れるドコモの問題とそれぞれ考えた方がいいかもしれませんね。