脱炭素とはなにか
「ドコモ口座」だけではなく、3社の決済サービスでも特定の銀行との間で不正送金が発生していたことがわかった。「ドコモ口座」だけの問題ではない広がりを帯びてきた。
撮影:伊藤有
NTTドコモの決済サービス「ドコモ口座」における不正送金に端を発した不正出金問題が、他の決済サービスでも発生していたことが表面化した。
ゆうちょ銀行は9月15日、ドコモ口座以外の決済サービス8社との連携を一時停止したことを明らかにした。ゆうちょ銀行はこの後、各事業者と連携してセキュリティー対策を強化する方針だ。
ゆうちょ銀行は被害額を公表していないが、多くの契約者を抱えるため、一定の被害は発生しているとみられる。
9月16日正午の原稿執筆時点では、少なくとも決済サービスの「Kyash」が3件、「PayPay」が17件、「メルペイ」が3件の被害を取りまとめており、被害額はそれぞれ23万円、141万5141円、49万円。ドコモ口座に比べて、表面化した被害金額大きくはない。
いずれのサービスでも被害額は全額補償される見込みで、預金者側の被害は最小限に抑えられるだろう。
拡大する被害状況に、いま銀行と決済サービスの間で一体何が起きているのか。預金者はどんな対処をすればいいのかをまとめた。
ゆうちょ銀行、他の決済サービスにも広がる被害、原因は?
撮影:伊藤有
改めてここまでの経緯を確認したい。
今回の事件の端緒となったドコモ口座は、メールアドレスだけで作成できる「dアカウント」に連携するもので、SMSや個人認証なしに作成できた。その上で、ドコモ口座に銀行口座を登録して送金(チャージ)をして決済に利用できた。
なぜ、身元確認がなく、誰でもドコモ口座を作成できたか。それは、「チャージをするために銀行口座と連携すること」自体が本人確認(身元確認)とされていたためだ。
この方法は、犯罪収益移転防止法施行規則に則った手法だが、この時、一部の銀行では「口座番号」「口座名義」「キャッシュカード暗証番号」という少ない情報で口座確認を行っていた。
こうした一部銀行の脆弱なセキュリティーに加え、ドコモ口座の作成が容易だったことが、2019年10月から2020年9月10日までで143件、2676万円(9月15日0時時点)という被害につながったと見られている。
厳密な身元確認は行われていなかった
Kyashがプレスリリースで示した被害の構造。イオン銀行との間の不正被害の例を解説している。
出典:Kyash
ドコモ口座の事件では複数の地方銀行が狙われた。すべてが「Web口振受付サービス」と呼ばれる口座振替の仕組みを利用してドコモ口座と連携しており、しかも、セキュリティーレベルを高める機能を導入していなかった。
同様に連携時のセキュリティーレベルが低い可能性がある銀行として、ゆうちょ銀行とイオン銀行が取り沙汰されていたが、15日になって高市早苗総務大臣がゆうちょ銀行で被害が発生しており、ドコモ口座以外に複数の決済サービスで攻撃が行われていることを明らかにした。
これを受けて、KyashとPayPayが被害状況を発表したのが9月15日のことだ(その後、16日朝になってメルペイも被害を発表した)。
Kyashはゆうちょ銀行で3件23万円、イオン銀行で1件30万円の被害があった。PayPayはゆうちょ銀行において17件141万円、メルペイはゆうちょ銀行で3件49万円の被害があったという。
KyashやPayPayらはアカウント登録時にSMS認証を用いていたが、これでは不十分だった。SMS認証は、あくまで「SMSが受信できる端末を持っている人だけがアカウントを作成でき、その端末でログインする」ことを確認するための機能だ。身元を確認する機能はなく、「メールアドレスでアカウントを作成する」ことよりも少し手間が増えるだけに過ぎない。
「誰でも被害者になりうる」が、確実な予防策は困難
結局、KyashもPayPayも、口座連携による本人確認を行っており、これが身元確認代わりになっていた。しかし、この身元確認をする銀行側の機能が脆弱だったため、他人の口座を登録してチャージができてしまった。実際、一定のセキュリティー機能を搭載していた銀行では、今のところ同様の被害の報告はない。
一連の問題には2つのポイントがあると考えている。
1つは、ドコモ口座やKyash、PayPayといった決済サービスは、悪用すれば「誰でも身元を隠してアカウントを作成できる」点だ。多くの人に利用してもらうためにアカウント自体は簡単に作れるようにするのは一般的と言える。だが、他人になりすまして作成することも可能なため、「自分はその決済サービスを使っていない」という人も被害者になりうる。
もう1つが、「銀行口座からチャージする際には身元確認が必要だが、その確認が脆弱だった」という点。
本来、他人になりすましても身元確認をすれば別人だと判明して銀行口座からチャージはできないはずだ。ところが、他人になりすました状態で、身元確認をすり抜けて他人の銀行口座に接続し、勝手に銀行口座から預金を引き出せてしまった。
つまり、被害者からすると、「使ったことのない決済サービスに、勝手に自分の銀行口座が連携して預金が不正に引き出された」わけだ。
一連の事件のたちが悪いのは、ドコモの携帯電話を使っていないだとか、現金しか使っていないとかは全く関係がないことだ。銀行側のセキュリティー水準はユーザーからわからない以上、極端な話「誰でも被害者になりうる」と思って用心する必要がある状況になってしまった。
いま、何も知らない人が確実に被害を防止するには、
- (非現実的だが)すべての銀行口座を自分で決済サービスに紐づけてしまう
- 銀行のWeb口振受付サービスを停止する
- (これも非現実的だが)口座を解約する
ことぐらいしか被害を防ぐ手立てはないのではないか。
身元確認および銀行口座情報との突合が必要か
今後に向けた最大の対策は、(当たり前だが)各社がセキュリティーを高めることだ。
特に銀行側は、犯罪収益移転防止法によって厳格な身元確認が求められており、銀行口座にアクセスできる人は身元が確認されているという前提がある。
その上で、例えばインターネットバンキングでは、その身元確認した当人であることを認証するために、当人しか知り得ない情報(例えばIDとパスワード)と、当人しか持っていないもの(例えば口座開設時に登録した電話番号に送信した一時だけ有効なパスワード)を併用し、双方が一致しないとアクセスできないようにしている。
同様のことを「決済サービス」との口座連携時に実施すれば、「身元確認」と「当人認証」という2つの確認が実施できる。
決済サービス側でも、eKYC(インターネットを通じた本人確認)で身元確認を行い、銀行の身元と照合して一致すれば口座連携できるようにする、という工夫も考えられる。
PayPayは9月にeKYC必須化を独自に実施した矢先
撮影:伊藤有
PayPayは9月に入って、口座連携時にゆうちょ銀行などに対して、eKYCによる身元確認を導入。ドコモ口座の事例とは無関係に導入し、それ以降は被害が発生していないという。ゆうちょ銀行側の連携のセキュリティーは低いままだが、少なくともPayPayとの連携では安全性は高まる。
今回の一連の報道を受けて、金融庁や全国銀行協会は注意喚起を出し、銀行や決済サービス事業者に対して銀行口座との連携時に脆弱性がないか確認すること、問題があれば対策を強化することを検討すること、といった要請をしている。
被害の早期発見は、家計簿アプリが有効
今回の不正出金に気づくには、通帳などで不審な出金を確認するしかない。
例えば、銀行口座などの入出金明細を取得するオンライン家計簿サービスを利用すれば、複数の銀行やクレジットカードなどの明細を一度にチェックできる。こうしたサービスを活用して、不審な出金を早期発見して各種窓口に連絡する、といった自衛をするしかないだろう。
(文・小山安博)
小山安博:ネットニュース編集部で編集者兼記者、デスクを経て2005年6月から独立して現在に至る。専門はセキュリティ、デジカメ、携帯電話など。発表会取材、インタビュー取材、海外取材、製品レビューまで幅広く手がける。
