脱炭素とはなにか
NTTドコモの「ドコモ口座」の不正利用問題の被害は拡大している。
撮影:伊藤有
NTTドコモは9月14日、キャッシュレスサービス「ドコモ口座」の不正利用問題について、最新情報を説明した。
被害は、10日の発表から47件増えて120件、被害総額は552万円増加して2542万円となった。
ドコモ口座へのチャージを停止した銀行は22行に増えたが、チャージを停止していない銀行では不正チャージの事実は確認されていない。被害者に対しては、銀行と連携して全額補償の手続きを開始したという。
被害額は2500万円を突破
14日時点の被害状況。
出典:NTTドコモ
今回の事件では、犯人がメールアドレスだけで作成できるdアカウントを使ってドコモ口座を作成。不正に入手した口座番号やキャッシュカード暗証番号などの一部の情報を用いて他人の銀行口座に接続。送金機能を使ってドコモ口座にチャージを行い、預金を窃取したというもの。
調査の結果、被害銀行は11行と9月11日の報告から1行減少。これは被害申告の内容が今回の事件とは別のものだと判明したためだが、被害額は2500万円強まで増えた。
ドコモ口座への新規口座登録を停止する9月10日0時までに119件の不正チャージがあり、新規口座停止後すぐに、すでに不正登録されていた口座から1件のチャージが行われたという。
ドコモ口座は現金の引き出し機能がないため、不正チャージされた残高は物品の購入に使われたと見られる。アカウントに紐付いた決済履歴から購入日時と店舗は判明しており、家電製品の購入や換金性の高いたばこなどの製品を購入していたと考えられている。
新規チャージを停止したのは、新たに「十六銀行」「池田泉州銀行」が加わって22行となった。
停止した銀行の一部は、対策の導入を発表している。銀行によっては対策が完了すればチャージを再開する可能性もあるが、現時点で再開時期などは不明だ。
銀行、ドコモ双方のセキュリティーの“甘さ”が狙われた
9月10日、謝罪をするNTTドコモの担当者。
撮影:小林優多郎
今回の事件の原因としては、NTTドコモ側、銀行側の双方にあった。
携帯回線契約者以外にサービスを拡大するキャリアフリー化を進めていたNTTドコモは、メールアドレスで作成できるdアカウントに対して、新たな本人確認なしでドコモ口座が作成でき、銀行口座に接続できるようにしていた。
NTTドコモは銀行口座へ接続することで、本人確認ができると考えていたが、その本人確認自体が不十分だった。
今回被害に遭った銀行は、Web口振受付サービスを使ってドコモ口座への送金(チャージ)を行っていたが、もともとこのサービスは一定の信頼のある口座へ送金するためのサービスだ。
そもそも決済サービスのチャージを想定していなかったせいか、被害銀行はセキュリティー強度が低い認証方式を採用してしまっていた。
そして、双方の間でお互いのセキュリティーレベルを認識して対処することなく、サービスが提供されてしまった。
NTTドコモ常務執行役員マーケティングプラットフォーム本部本部長の前田義晃氏(9月10日撮影)。
撮影:小林優多郎
今回の説明会でNTTドコモは、最初の不正チャージが2019年10月に起きたと説明。ドコモ口座がキャリアフリー化したのは2019年9月下旬で、その直後にはもう被害が発生したことになる。
しかも「たくさんのアタックがあったわけではなく、ピンポイントで成功している。失敗しているケースはそんなに多くはない」(ドコモ常務執行役員マーケティングプラットフォーム本部本部長の前田義晃氏)とのことで、明確に狙われたことがうかがわれる。
キャリアフリー化を急いだことが災い
NTTドコモ契約者以外がdアカウントを作る場合、メールアドレスさえあれば作成できる。
撮影:小林優多郎
銀行口座への接続による本人確認は「法律上は問題なかった」と前田氏。ただ、それでもしっかりと本人確認をしておくべきだった、と話す。
前田氏によると、銀行側と「認証要素を増やす」「追加認証を実施する」という対話はあったそうだが、正式に要請したわけではなく、銀行に認証レベルは任せっきりだった。
例えば、地銀向けにWeb口振受付サービスを提供する地銀ネットワークサービスも、地銀には追加認証などのセキュリティー対策はある、という説明はしていたそうだが、ここでも判断は銀行側に委ねられていた。
実際、2段階認証などを採用する銀行は今回の被害には遭っておらず、セキュリティーレベルの低い銀行が狙われた形だ。
口座番号や名義、キャッシュカードの暗証番号程度の情報で口座連携してしまった背景には、銀行側もNTTドコモユーザーに一定の本人確認がある、と誤認していた可能性がある。
dアカウントの「キャリアフリー化」が元凶か
ドコモ口座はNTTドコモ回線契約の有無で、開設時の仕様が違う。
撮影:小林優多郎
ドコモ口座は2019年9月までNTTドコモ回線を契約していたユーザーのみが利用できたため、NTTドコモによる本人確認が行われていた。
それが、キャリアフリー化で本人確認のないdアカウントユーザーがそのままドコモ口座を作成でき、他人の銀行口座に接続してなりすましができるようになってしまった。
キャリアフリー化自体は銀行側に説明していたとのことだが、それがどこまで伝わっていたかは、今となっては疑問だ。
口座番号などの情報を入手した経路は現時点で明らかにされていないが、リバースブルートフォース攻撃やフィッシング詐欺、ウイルスなど、手段としてはさまざまなものが考えられる。その手法については、今日の会見ではまだ判明しなかった。
2日で2000件以上の問い合わせが殺到
すでにNTTドコモが行っている対応措置。
出典:NTTドコモ
NTTドコモでは、9月10日0時にドコモ口座における新規口座登録を停止。不正利用が疑われるドコモ口座の利用停止も実施しており、12日には専用コールセンターも設置し、2日間で2000件以上の問い合わせがあったという。
すでに銀行口座連携を止めたことで、現時点で新たな被害が増える可能性は低いとNTTドコモでは見ているが、過去の攻撃が新たに判明して被害件数が増える可能性はある。
疑わしいチャージ履歴が検出されたドコモ口座の情報は、銀行側に提出して調査する方針。
ドコモ口座自体の停止は「考えていない」
今後の対策。(2)と(4)は新たに公表された対策。
出典:NTTドコモ
新たな被害を確実に防ぐ方法は、ドコモ口座自体を停止することだ。しかし、現時点で「停止することは考えていない」(前田氏)。
本人確認ができているNTTドコモ回線契約者を中心に正常に利用できているユーザーも多く、さらに一定のセキュリティーレベルの銀行では被害が発生していないため、と前田氏は説明する。
銀行側は、例えば中国銀行は口座届出の電話番号にワンタイムパスワードを通知する「IVR認証」を導入。事件を契機に、新たにドコモ口座、LINE Pay、メルペイなどでも利用可能にした。他にも同様の対策の導入を発表した銀行もある。
事態を重く見た全国銀行協会は、セキュリティー対策に関する注意喚起を会員銀行に対して行い、ユーザー認証の問題がないか確認し、ワンタイムパスワードなどの認証手段を組み合わせることなどを検討するよう求めた。
今回の事件は、ドコモ側、銀行側のいずれもセキュリティーレベルを高めていれば防げた内容だ。
安全性の両立には、バランス感覚が必要だ。セキュリティーを厳しくすれば使いづらくなり、過剰に簡単にすれば、狙われ、落とし穴にはまってしまう。 今回の事件はそのことを改めて感じさせられる。
(文・小山安博)
小山安博:ネットニュース編集部で編集者兼記者、デスクを経て2005年6月から独立して現在に至る。専門はセキュリティ、デジカメ、携帯電話など。発表会取材、インタビュー取材、海外取材、製品レビューまで幅広く手がける。
