ドコモ口座の「不正出金」の被害拡大…“ユーザー”でなくても注意すべき人や対策を専門家に聞いた

ドコモユーザー以外も要注意

ネットやアプリで送金・買い物ができる電子決済サービス「ドコモ口座」とひも付けした銀行口座から、不正に預金を引き出す被害が相次いで確認されている。

NTTドコモ（以下ドコモ）は10日夕方に会見を開き、「ドコモ口座」を通じた預金の不正な引き出しが10日正午までに11の銀行で66件、約1800万円に拡大したことを明らかにし、謝罪した。

連携している次の35銀行については、すべて新規のひも付けを停止している。

みずほ銀行、三井住友銀行、ゆうちょ銀行、イオン銀行、伊予銀行、池田泉州銀行、愛媛銀行、大分銀行、大垣共立銀行、紀陽銀行、京都銀行、滋賀銀行、静岡銀行、七十七銀行、十六銀行、スルガ銀行、仙台銀行、ソニー銀行、但馬銀行、第三銀行、千葉銀行、千葉興業銀行、中国銀行、東邦銀行、鳥取銀行、南都銀行、西日本シティ銀行、八十二銀行、肥後銀行、百十四銀行、広島銀行、福岡銀行、北洋銀行、みちのく銀行、琉球銀行

この記事の画像（6枚）

この「ドコモ口座」という名前から、ドコモのサービス利用者だけの問題だと思っている人はいないだろうか？

しかし実は、ドコモのスマホを使っていなくても、回線を使っていなくても、電子マネーを使っていなくても、被害を受ける可能性があるというのだ。

いったいどんな人が、何に気を付ければいいのか？なぜこんな問題が起きたのか？そしてどういった手口なのか？ ITジャーナリストの三上洋さんに聞いた。

提携銀行の口座を持つすべての人が要注意

――気を付けるべきなのはどんな人？

今回の問題で注意するべきなのは、ドコモ口座と提携している銀行の口座を持っているすべての人です。当初は地方銀行のみだったんですが「ゆうちょ銀行」も含まれたので被害甚大になるかもしれません。

――ドコモのサービスをまったく使ってない人も注意すべき？

そういう人の方が危険です。

1つの銀行口座は、1つの「ドコモ口座」にだけひも付けできるので、すでに自分で「ドコモ口座」を作って銀行口座とひも付けていた人は大丈夫です。逆に「ドコモ口座」がなく、提携銀行に口座がある人は注意してください。

銀行側の本人確認と「ドコモ口座」…両方の仕組みに問題

――そもそも「ドコモ口座」とは？

ドコモは、d払い、電話料金合算払い、VISAプリペイドなど金融関係のサービスをたくさん展開しており、それらを一つの「口座」から引き落とす形にするためにできたのが「ドコモ口座」です。

大まかに言えば、ドコモが用意している銀行口座みたいなものと考えてもいいです。

――なぜ不正利用が起きた？

この「ドコモ口座」に現金を入れる方法はいろいろあり、そのうちの一つが銀行とのひも付け、つまり口座振替です。ひも付けの申し込みはネット上で行われ、各銀行側のサイトにて本人確認をする仕組みになっているんですが、これが甘かったのです。

一部報道などでは、氏名・生年月日・口座番号・暗証番号で登録できるとされています。

攻撃する側は、氏名・生年月日・口座番号の流出情報をたくさん持っているといわれており、分からないのは暗証番号だけです。しかも暗証番号は4桁しかありません。

――具体的にはどのような方法が取られたと思う？

そこで「リバースブルートフォース」と言われるやり方を使ったとみられています。これはそんなに難しいことではなく、1つのパスワードを例えば1000件分の氏名・生年月日・口座番号で試してみるという手法です。

よく使われる暗証番号と言えば、まず誕生日。次に多いと言われてるのは「2580」…これは電話のキーを縦に押しただけです。他には「1357」や「2468」といった偶数奇数もあります。このような番号は誰か使ってるだろう、ということでたくさん試してみるわけです。

暗証番号が分からなくても、このようなアタックの方法ができたというのは、銀行側が本人確認に使う情報が少なかったことが最大の問題ですね。

――その他の問題点は？

次に大きな問題点は「ドコモ口座」にもあります。

「ドコモ口座」はメールアドレスがあれば誰でもたくさん作れますが、この状態ではお金の引き出しなどはできません。そこで必要な本人確認というのは銀行口座を登録することなんです。

つまり上のような方法で暗証番号を割り出して銀行口座を登録すれば、本人確認のなりすましができると同時に、お金の引き出しできるようになってしまうんです。この方法では本人確認の意味はないですね。

――この不正利用をどう思う？

今回の不正利用は、「ドコモ口座」の仕組みがキャッシュレス時代に合ってなかったのでしょう。

あえてドコモ側の言い訳を考えてみると、「ドコモ口座」はもともとプリペイドのサービスだったので、無記名Suicaのように身分証がなくても本人確認をしなくてもよかったんですね。でも新たに銀行口座のひも付けをやることになったら、ちゃんとした本人確認が必要になるわけです。

今まであったサービスを、そのままキャッシュレス時代に持ってきてしまったために、問題点が露呈したのでしょう。

対策は？「自分で見張るしかない」

――犯人はどうやって情報を入手した？

これに関しては全くの謎ですが、今分かっている事から一つ仮説を立てるならショッピングサイトから情報が流出した可能性が考えられます。

ショッピングサイトの中には決済に銀行口座への振り込みが使えるところもあり、そういうところでは名前と口座番号と、場合によっては生年月日も収集していたかもしれません。

そんなショッピングサイトから内部不正で情報が流出したり、もしくは外部からの攻撃で情報が持ち出されるということはありうるのではないでしょうか。ショッピングサイトからの情報流出というのは実際にたくさん起きています。

――問題の銀行口座を持っている人は、どうすればいい？

実はもうやれることはあまりなくて、「通帳記入をしてください」「ネットバンキングの口座を見てください」というだけです。不正な引き渡しがないかちゃんと見ましょうとしか言えません。

――自分で見張るしかない？

そうです。ドコモユーザーか否かはまったく関係ありません。名前が挙がってる銀行口座を持っている人は、必ずチェックしてください。

NTTドコモは10日の会見で、被害者に対し、銀行と連携して全額補償する方針を表明した。
そして、ドコモ口座における銀行口座との新規登録を当面禁止し、本人確認が不十分だったとして携帯電話番号を使ったSMS、ショートメッセージによる二段階認証などを導入すると改めて説明した。

対象の銀行口座を持っている人は、まずは不正な出金がないかどうかを通帳などで確認してほしい。