BI Daily Newsletter

もはや「“ドコモ口座”だけの問題」ではない不正出金。いまやるべきことは?

ドコモ口座とゆうちょ銀行

撮影:伊藤有

NTTドコモの“ウォレット”サービス「ドコモ口座」をめぐる不正出金に端を発した、決済サービス事業者と銀行との接続セキュリティの問題が注目を集めている。

同様の不正出金問題は今や、9月16日のゆうちょ銀行の謝罪会見で明らかになったPayPayやメルペイなどの少なくとも5事業者に広がり、関連する銀行にはメガバンクのみずほ銀行も含まれる。

今や「決済サービス事業者」のセキュリティの良し悪しではなく、接続する銀行側の認証も甘かったという「両者を連携する仕組みの課題」にまで広がってきた。

ここで改めて今回の事件の問題点を整理しておきたい。

そもそも、ドコモ口座で何が起こったのか

ドコモ口座の被害会見

9月10日、不正出金の問題について謝罪をするNTTドコモの責任者。

撮影:小林優多郎

今回の事件では大枠で下記の2つの問題がある。

  1. スマートフォンを使った決済サービスなどで利用する「アカウント」における本人確認の問題
  2. 当該のアカウントに残高をチャージするための銀行口座をひも付ける「Web口座振替」のセキュリティ問題

1つめは、ドコモの各種サービスを利用するための「dアカウント」について。利用範囲拡大のためにドコモ回線にひも付かない、いわゆる「キャリアフリー」として開放されていたことに起因している。

もともとドコモを含む大手携帯キャリアでは、回線契約時に身分証明書による本人確認が行われている。少なくとも回線を維持している限りは「本人確認済み」として扱われている。

ところが、従来まで回線にひも付いていたdアカウント(当時の名称は「docomo ID」)が、キャリアフリー化され誰もが本人確認なしでアカウント開設できるようになったのは2013年のこと。2015年内にはポイント機能(dポイント)が付与される形で「dアカウント」という現在の名称に変更になった。

しかも「d払い」の利便性向上のため、同社は2019年9月末に「ドコモ口座」の残高を「回線契約のないdアカウントのユーザー」にも開放していた。今回の最初の被害と思われるものが2019年10月から始まっていることから、これが結果的に、セキュリティ上の“穴”を広げる原因となったと思われる。

docomo_kouza01-2

NTTドコモの決済サービス「d払い」アプリ。ウォレットに表示されている「d払い残高」がドコモ口座の残高。ここでチャージを選ぶと、連携した銀行口座などからチャージができる。

編集部

2つめに、ドコモ口座には銀行口座に接続することで残高チャージを行う機能がある。

このひも付けに利用された「Web口座振替」の仕組みそのものに脆弱性があったと考えられている。

Web口座振替を依頼する際に要求される本人確認のための情報は銀行によって異なる。

ワンタイムパスワードなど「毎回変化する専用の認証番号」を要求する銀行がある一方で、口座番号や暗証番号、生年月日など「基本的な情報のみを要求する銀行」もあり、今回のケースでは後者のような比較的認証が甘い銀行が狙われている。

特に、専用のインターネットバンキングの仕組みを持っていないような地銀であったり、少し前まで最低限の情報でWeb口座振替が利用可能だったゆうちょ銀行やイオン銀行が被害対象として挙げられていることから、「Web口座振替が持つ潜在的な問題が悪用された」と考えていい。

それを踏まえた今回の事件のポイントは次の2つだ。

  • スマホ決済サービス利用の有無は関係なく、対策の甘い銀行の口座を持っているだけで被害に遭う可能性
  • ドコモが矢面に立っているが、同種の問題は他の類似サービスも抱えている。銀行側が抜本的な対策をとらない限り問題は終息しない

今回の最大のポイントは、本人の意思に関係なく対策の甘い銀行口座を所持しているだけで被害に遭う可能性があるという1点だ。

銀行側が生年月日や住所など個人情報を最低限しか所持していないという事情も、発覚を難しくしている。

多くのケースでは怪しい出入金があってもメールアドレスや電話(SMS)で通知する仕組みもなく、本人が通帳記入などを行わない限り問題が発覚しにくいのだ。これが、事件の全容把握を遅らせる結果にもつながっている。

「ドコモ口座」以外にも同様の事例

ゆうちょ銀行代表取締役副社長の田中進氏

9月16日、ゆうちょ銀行の緊急会見で深々と頭を下げるゆうちょ銀行の代表取締役副社長の田中進氏。

撮影:伊藤有

今回は対策の甘さからドコモが矢面に立っている形だが、その仕組み上、他の類似サービスも同様の問題を抱えている、と筆者は考えている。例えば、9月15日に行われた高市早苗総務大臣(当時)の記者会見では、ゆうちょ銀行の即時振り替えサービス(Web口座振替)を利用するサービス事業者は全部で12社あり、そのうちの6社で被害が確認され、2社(ドコモ、Kyash)で新規登録とチャージが停止されていると報告されている。

ゆうちょ銀行では同日夜に2要素認証を導入していない8事業者(PayPay、LINE Pay、PayPal、ウェルネット、楽天Edy、ビリングシステム、メルペイ、ゆめカード)について即時振替サービスを停止すると発表した。

一方、PayPayではSMSによる回線認証に加えてeKYC(インターネット経由の本人認証サービス)の導入を報告している。

ゆうちょ銀行の緊急会見の配布資料

緊急会見で判明した被害金額。会見時点の総額1811万円のうち、1546万円がドコモ口座にからんだ不正出金だった。しかし、被害はPayPayやメルペイなど他サービスにも及んでいる。

撮影:伊藤有

またメルペイなど、銀行口座への接続をもって本人確認が完了したとしていたサービス事業者も、eKYCによるアカウント上での本人確認を必須とするなど、今回“穴”とされた部分を両面から塞ぐ対策が進んでいる。

ただ実際のところ、顧客からの申告がベースになっているとはいえ、ドコモに被害報告が集中しているのと、接続口座数が約453万と他社と比較して圧倒的なPayPayを除けば、各社の被害件数は数件ないし0件にとどまっている。

ゆうちょ銀行が16日の緊急会見で報告した数字によると、ドコモで82件、PayPayで17件となっている。PayPayに次ぐ228万という接続口座数を持つLINE Payでさえ、報告されているのは2件であり、しかも内容は身内のトラブルとみられるもので、今回の件とは直接関係ない。つまり、事前予防的に対策を強化したという意味合いが強い。

同時に、ゆうちょ銀行ではWeb口座振替(同行のサービス名は「即時振替」)の新規登録時に2要素認証を新たに要求しているが、それまでこの仕組みを導入していなかった理由について

「(各サービス事業者に2要素認証の導入)お願いをしていたが、同意を得られなかった」(ゆうちょ銀行取締役兼代表執行役副社長の田中進氏)

とコメントしている。

だが口座新規登録時の本人認証は接続先銀行の役割であり、基本的にはすべて銀行側の裁量で決められるものと考える。ゆうちょ銀行側では「(2要素認証導入は)サービス事業者側の同意を得られることが前提」という姿勢で一貫しているが、一方でサービス事業者側は匿名を条件に「導入判断はゆうちょ銀行側にあるし、そもそもお願いという形で相談されたこともない」と複数の関係者が証言している。

事件の全容はまだ解明の途上にあるが、そもそも銀行とサービス事業者という2つの組織の間で意思疎通における齟齬が発生しているように思える。

問題の本質と、これからの展開

japanpostbank-1

撮影:伊藤有

今回の事件で分かった問題の本質と教訓は次の2点だ。

  • 出金や送金を可能とする「資金移動事業者」で必要となる本人確認作業が、「Web口座振替」をもって完了とされていたこと
  • 「Web口座振替」は便利な仕組みだが、利用の簡便さを重視するために認証作業に問題を抱えていたこと

金融業の仕組みとして、銀行免許ほど運営に厳密な規定は適用されず、より簡単にATM経由での出金や送金といった金融サービスを提供可能な「資金移動業」という認可事業がある。先ほども名前が挙がったスマホ決済サービスの多くが取得している。

この事業にあたって、個々人に金融サービスを提供する上で事業者に求められるのが「本人確認」作業だ。通常、eKYCなどの仕組みを使ってアプリ上で本人確認が行われているが、このほかに銀行口座との接続をもって本人確認が完了したとされるケースがある。

つまり、銀行への「Web口座振替」をもって本人確認ができたという流れだ。ただ、今回の事件ではWeb口座振替で行われる本人確認の仕組みにおいて要求されるセキュリティが銀行によって大きく異なっており、一様ではない点が問題になった。

そのため、各社とも新規登録時の本人確認を必須とする方向で動いており、銀行口座の登録をもって本人確認が完了したとされる既存利用者についても、チャージ時にeKYCでの再認証を要求するなど、すべてのユーザーを対象にする方向で進んでいる。

Web口座振替の仕組み上の問題

次に「Web口座振替」だ。高いセキュリティ対策を要求されるインターネットバンキングを利用していないユーザーと比較して、多くの口座保持者を認証するための手段を銀行は持ち合わせていない。

仮にワンタイムパスワードなどの2要素認証を要求したり、あるいは追加の情報登録を要求すると、個人情報を出すのを嫌がったり、あるいは仕組みそのものを面倒とするユーザーはWeb口座振替という仕組みそのものを利用してくれないだろう。

しかも、Web口座振替では一度サービスとの接続を許可すれば、そのまま利用し続けることができる。今後認証のセキュリティレベルを向上させたとしても、仮にすでに悪意のある第三者が他者の口座を利用してWeb口座振替を済ませていれば、対策が行われる時点までは悪用が可能だ。

もともとWeb口座振替自体は、定期的な料金引き落としなどに利用することを想定していたものだった。今回のように決済サービスと組み合わせた「都度チャージ」の仕組みに必ずしもフィットしているかは難しいところで、サービスの形態に応じたセキュリティが必要なのかもしれない。つまり、銀行側の抜本的な対策が求められる、と筆者は考えている。

口の重い銀行側。業界としての指針が必要ではないか

LINE

LINEは、LINE Payアカウントの口座登録やチャージの一時停止を続々と進めている。名だたる地銀がリストアップされているのは非常に印象的だ。

出典:LINE公式ブログより

「ドコモ口座問題」としてスタートした事件だが、すでに問題は決済サービス事業者全体にまで広がっている。

そして、行き着く先は「銀行」の対応、仕組みのあり方だ。その端緒となったのが9月16日に行われたゆうちょ銀行の緊急会見だ。

銀行側の問題は、各行によってセキュリティレベルに差がありすぎることと、Web口座振替の仕組みなど「本人認証のための業界共通のガイドラインなどが存在しない」ことに起因する。

現在、各行とも最低限の被害報告や対応状況を淡々と報告するのみだが、今後は銀行としての問題の認識、そして業界としての指針を示す必要があるのではないか。

また、今回の問題では総務省と金融庁で管轄をまたいでいるなど、縦割り行政の中で、それぞれの所轄が分かりにくい面もあった。

このほど発足した菅新政権によって、こうした役所の壁を越えた横串の仕組みの登場が期待される。肝いりとされる「デジタル庁」の創設や縦割り行政打破を掲げた行政改革も待ったなしだ。

「銀行は銀行、サービス事業者はサービス事業者」とバラバラに動いていた流れを改善する必要があるのは明白だ。

インターネット時代の金融サービスの仕組みは従来の枠組みを越えて、日々進化している。時代に合わせた業界の改革やガイドライン策定がいま、求められている。

編集部より:初出時、dアカウントのキャリアフリー化開始時期を2019年と表記しておりましたが、正しくはdocomo ID時代の2013年です。お詫びして訂正いたします。 2020年9月21日 11:55

(文・鈴木淳也


鈴木淳也:モバイル決済ジャーナリスト/ITジャーナリスト。国内SIer、アスキー(現KADOKAWA)、@IT(現アイティメディア)を経て2002年の渡米を機に独立。以後フリーランスとしてシリコンバレーのIT情報発信を行う。現在は「NFCとモバイル決済」を中心に世界中の事例やトレンド取材を続けている。近著に「決済の黒船 Apple Pay(日経BP刊/16年)」がある。

  • Twitter
  • Facebook
  • LINE
  • LinkedIn
  • クリップボードにコピー
  • ×
  • …

あわせて読みたい

BUSINESS INSIDER JAPAN PRESS RELEASE - 取材の依頼などはこちらから送付して下さい

広告のお問い合わせ・媒体資料のお申し込み