これは“電子決済のコロナ”か「ドコモ口座」で終わらなかった不正引き出し

最終更新日: 2020.09.17 ［取材／文責］マネーイズム編集部

全国の地方銀行を中心に、ＮＴＴドコモの決済サービス「ドコモ口座」を利用した現金の不正引き出し被害が相次ぎ、ドコモが銀行の新規口座登録を停止するなどの事態になりました。しかし、問題はそれで終わりではありませんでした。9月半ばになって、ゆうちょ銀行でも、類似の電子決済サービスによる同様の被害が確認されたのです。あたかも新型コロナのように不気味な「蔓延」を見せ始めた今回の一件、問題の根はどれくらい深いのでしょうか？

「ドコモ口座」の被害は2,500万円超に

「ドコモ口座」を使った不正引き出しの手口は、次のようなものでした。

まず、犯人は何らかの手段で被害者の氏名、生年月日、銀行口座の口座番号や4桁の暗証番号を入手します。ただ、これだけでは、預金通帳ないしキャッシュカードが手元にないと、口座から現金を引き出すことはできません。ちなみに、いわゆる“振り込め詐欺”では、言葉巧みにキャッシュカードなどを奪うこともあります。

今回、不正引き出しの道具として使われたのが、「ドコモ口座」でした。開設すれば、「ネットやアプリ上で送金やお買い物ができるバーチャルなお財布」（「ドコモ口座」ホームページ）として利用できる電子決済サービスです。犯人は、入手した個人情報を使って被害者になりすまし、同口座を開設します。そして、やはり個人情報を使い被害者の銀行預金口座と連携させて、そこからその「ドコモ口座」に現金をチャージする、というやり口で現金を盗み取ったわけです。

ポイントは、銀行口座と連携（紐づけ）できること、そして「無料で簡単に開設できる」という利便性でした。「ドコモ口座」というからには、ドコモの携帯を使っている人専用のようにも感じられるのですが、たとえ回線契約をしていなくても、メールアドレスを使って「ｄアカウント」（無料共通ＩＤ）を作れば、口座を開設することが可能。その「使い勝手の良さ」を売りに会員数を増やしてきたのですが、今回はそれと裏腹のセキュリティに関する脇の甘さを突かれた格好です。

9月15日０時現在の「ドコモ口座」不正引き出しの被害状況（銀行からの申告に基づく）は、以下の通りです。

被害額：2,676万円（前日比134万円増）
被害件数：143件（同23件増）
「ドコモ口座」へのチャージ停止銀行：27行（15日0時以降含む）

なお、チャージを停止していない銀行に関しては、不正利用は確認されていない、としています。

ゆうちょ銀行が8事業者の登録、チャージを停止へ

当初、「セキュリティに問題のあるドコモ口座と地銀のミス」と捉えられていたこの問題ですが、9月15日に事態は新たな展開をみせました。高市早苗総務大臣が、記者会見で「ゆうちょ銀行と提携する即時振り替えサービス業者12社のうち6社について、被害が生じている」「ＮＴＴドコモだけではない」ことを明らかにしたのです。

ゆうちょ銀行は、9月16日の会見で、被害は今年に入ってから認識されたもので109件、総額1,811万円あった、と発表しました。「6社」は、「ドコモ口座」のほか「PayPay」、「LINE Pay」、「メルペイ」、「Kyash」、「PayPal」で、被害は、「ドコモ口座」が82件・1,546万円、「PayPay」が17件・141万5,141円、「メルペイ」が3件・49万8,113円などとなっています。

問題の発覚を受け、ゆうちょ銀行は15日、同行の口座と連携する際の本人確認について、キャッシュカードの暗証番号と、それ以外の認証方法を組み合わせる2要素認証を導入していない以下の8つの決済事業者について、新規口座登録や変更、チャージサービスを停止する、と発表しました。

「PayPay」、「LINE Pay」、「PayPal」、「ウェルネット（支払秘書）」、「楽天Edy」、「ビリングシステム（PayB）」、「メルペイ」、「ゆめカード（ゆめか）」

被害はどこまで広がるのか

実は、「ドコモ口座」問題が発覚した当初、「メルペイ」は、メディアの取材に対し、「アカウントは、SMSによる認証がないと作れない」、「PayPay」も、やはり「SMS登録が必要なので、第三者がなりすまして作ることは困難」と答えていました（「ITmedia」9月10日）。しかし、現実には、そのセキュリティをまんまと突破されていたことになります。こうした事実も、発生源で封じ込めに成功したと言われながら、全世界に拡散したコロナ禍をほうふつとさせるわけですが、この問題は、今後どこまで広がっていくのでしょうか？

被害の現状からみて、不正に引き出されたのが一部の地銀やゆうちょ銀行の口座に限定されると考えるのは、逆に不自然ではないでしょうか。それを裏付けるように、国内の民間銀行の大半が加盟する全国銀行協会（全銀協）は、会員に向けて、次のような具体的な「アラート」を発しています。

各銀行において、資金移動業者との契約を調査のうえ、業者側のアカウントと銀行口座を連携して口座振替手続きを実施する際の、認証上の問題がないかや、業者側の本人確認プロセスに脆弱性がないかを確認すること。
確認の結果、問題や脆弱性を確認した場合、ユーザー資産の保全を最優先に、新規登録やチャージの一時停止など対応すること。
資金移動業者側のアカウントと連携させる場合、キャッシュカードの暗証番号に加え、ワンタイムパスワードなど複数の認証方法を組み合わせる手続きの導入を検討すること。
第三者が口座情報や本人確認情報を不正に取得している可能性が想定されるため、今一度ユーザーへの注意喚起や自行のセキュリティの再確認を実施すること。
「資金移動業者の決済サービスを悪用した不正引出事件」に関して、ユーザーから相談を受けた場合は被害の有無に関わらず、真摯な姿勢で迅速かつ丁寧に対応すること。
対応にあたっては、利便性を意識しつつもユーザーの資産保全を最優先に徹底すること。

全銀協が、こうした呼びかけを行うのは、異例のこと。現状に対する強い危機感を反映したものだと理解すべきでしょう。

「ドコモ口座」を利用した不正な現金の引き出しが最初に行われたのは、実は昨年10月でした。クレジットカードやスマホのQRコードなどを使って買い物をすると、一定のポイントが付与される国の「キャッシュレス・ポイント還元事業」がスタートしたのは、奇しくも同じ月でしたが、これは偶然ではないと指摘する識者もいます。社会のキャッシュレス化によるメリットの半面、その隙間を狙った犯罪に遭遇する機会も増える可能性が高まるのかもしれません。いずれにせよ、今回の事態の1日も早い全貌解明が待たれるところです。