[更新]「狙われた地銀」ドコモ口座の不正送金、犯人“抜き取り”の手口…情報漏洩はどこから?

ドコモ口座

地銀を中心とした一部銀行との連携の穴を狙われ、不正送金の舞台になったドコモ口座。

撮影:伊藤有

NTTドコモが提供する決済サービス「ドコモ口座」において不正送金が発生し、一部地方銀行からの送金が停止している問題が注目を集めている。

不正送金が確認されたのは、七十七銀行、中国銀行、東邦銀行、大垣共立銀行の4行。さらにその後、滋賀銀行と鳥取銀行が被害を確認。他の地銀でも、他行の被害を見てドコモ口座に関するサービスを停止する銀行が出てきた(9月8日時点)。9月9日未明の時事通信の報道によると、疑いがあるものも含めて17行に被害が広がっている。

これを受けてドコモは9月10日木曜から、銀行口座35行の新規登録を当面停止すると発表。オンライン本人確認システム(eKYC)の対策を講じて、再開時期を検討するとしている(9月10日午前10時45分追記)

不正送金が発生した銀行とドコモは実態調査を進めており、現時点で被害額などは明らかにしていない。被害者への補償については現時点で明らかにされていない。なぜ「不正」は起こったのか?

不正が起こったメカニズム

bank

被害にあった地銀のほとんどがトップページにお知らせを掲載、対処にあたっている。

出典:七十七銀行/中国銀行/東邦銀行/大垣共立銀行

ドコモ口座は、銀行口座などと連携して残高をチャージし、発行したVisaプリペイドカードやコード決済サービス「d払い」の支払いに使ったり、ユーザー同士で送金したりできる決済サービスだ。ドコモの携帯契約があるユーザー以外でも、誰でもdアカウントを作成してドコモ口座を開設できる。

このドコモ口座にオンラインチャージできる銀行は複数あるが、今回その中で一部の地方銀行が狙われた模様だ。

ちょうど、次のような構図になっていたと思われる。

fusei

ドコモ口座を使った不正出金の仕組み。チャージしてしまえば「d払い」として加盟店で利用できるため、現金化しやすいものを購入するなどして「出金」することができる。

出典:筆者説明や各種資料より編集部作成

犯人はdアカウントとドコモ口座を作成した上で、不正に取得した銀行口座の情報を使って振替設定を行い、ドコモ口座に送金(チャージ)した。ドコモ口座の銀行チャージは1回最大10万円、1カ月最大30万円のため、1口座あたり、最大30万円の被害が発生した可能性がある。

これまで、ドコモは不正アクセスに対する「2段階認証」や「アカウントロック」「ドコモ口座の監視」などのセキュリティ対策を講じていた(ドコモ発表)。しかし、今回は「銀行側の認証」を通った口座からのチャージだったため、不正を検知できなかった。

地銀が狙われた、連携の「弱点」

d払い

NTTドコモの決済サービス「d払い」アプリ内にあるウォレットに表示されている「d払い残高」がドコモ口座の残高。ここでチャージを選ぶと、連携した銀行口座などからチャージができる。

筆者キャプチャー

ドコモ口座と地銀の連携には、地銀ネットワークサービスが提供する「Web口振受付サービス」が利用されている。しかし、認証方式に関してはそれぞれの銀行が個別に判断しているのが実情だ。

今回、被害にあった地銀は、いずれも口座番号、キャッシュカードの暗証番号といった一部の口座情報だけで確認を実施していたとみられる。

銀行によっては、口座に登録した電話番号へのSMSや、メールによる認証を加えるなどの方法でセキュリティを強化しているが、狙われた銀行はそうした設定をしていなかった。

docomo_kouza02

例えばソニー銀行をドコモ口座に登録しようとすると、キャッシュカードの暗証番号入力に加え、カード製造番号の2ケタを記入するメールが登録メールアドレスに送られる。セキュリティレベルとしては高めだ。

筆者キャプチャー

本来、キャッシュカードのパスワードが4ケタの番号で成り立つのは、物理的なキャッシュカードを持っていて、さらにATMなどで確認できるからだ。いわゆる、「カード」と「暗証番号」の2要素認証が成立する。

しかし、今回はオンラインでキャッシュカードの所持が確認できない状態のため、多要素認証になっていない。そうした「セキュリティの穴」を突かれた形だ。

dアカウントやドコモ口座は誰でも作成できるサービスであり、本人確認もメールアドレス程度と比較的ゆるい。

他の決済サービスでは、口座名義や住所、生年月日、使用目的などの本人確認がある。ドコモ口座の場合は口座振替ということで、そうした確認がないことが犯人に狙われた理由なのかもしれない。

ただ、口座連携に関しては、銀行側のサイトで登録し、「本人確認は銀行が実施する」形なので、ドコモ側では銀行口座と紐づける際の、各行のセキュリティの水準までは関知していなかった。

今回の事件を受け、ドコモは各銀行に対して周知を図っており、銀行側からの要望があれば口座振替の登録などを停止する。

どこから口座情報が「漏洩」したのか?

shutterstock_1166453734

Shutterstock

気がかりなのは、この不正利用の発端になった「情報漏洩」がどこから起こったのか、だ。

現状では、どういった経路で情報が漏洩したのか判明しておらず、原因は不明だ。各地銀とも「自社システムから情報が漏洩したという事実は確認されてない」としている。

一方、ドコモ広報も「ドコモからの情報漏洩もない」と強調する。そもそもドコモでは、携帯料金の支払いで口座振替を使うなど、「銀行口座を登録した人以外の口座情報」は保有していない。

また、ドコモ口座の仕組みは、口座登録時に各銀行のサイトで認証するため、口座情報はドコモに知らされない。

ドコモでは、銀行の被害口座が把握できないため、どのドコモ口座へのチャージが「不正送金」か分からず、銀行側からの情報提供を待っている状態だ。そのため、ドコモ口座に不正送金された残高がどうなったか現時点で分からないという。

いずれにしても、何らかの手段で、どこかから漏洩した口座番号、キャッシュカードの暗証番号といった一部の情報が悪用され、不正出金が行われた。

なお、被害者はドコモユーザーである必要はなく、dアカウントやドコモ口座を所有していなくても、「犯人が勝手にドコモ口座を作成して口座連携できてしまう」ため、潜在的には多くの人が被害者になる可能性はまだ残っている。

銀行側では、ドコモ口座以外を含めて口座連携の設定を見直し、必要であれば早急なサービス停止や改善をすべきだろう。

利用者側の自衛は難しいが、不審な取り引きがないか、定期的に口座の動きをチェックする方が良さそうだ。

(文・小山安博)

  • Twitter
  • Facebook
  • LINE
  • LinkedIn
  • クリップボードにコピー
  • ×
  • …

あわせて読みたい

BUSINESS INSIDER JAPAN PRESS RELEASE - 取材の依頼などはこちらから送付して下さい

広告のお問い合わせ・媒体資料のお申し込み