「ドコモ口座」を使ってなくても、自分の銀行残高を確認しましょう
ニュースになっている「ドコモ口座」の不正出金問題ですが、当教室のLINEでも注意喚起を行いました。
「ドコモ口座」なんて使ったこともない! という方でも、銀行に口座を持っていれば被害に遭う恐れがあります。
また、昨年の5月にはすでに被害があったが、ニュースにもならずひっそりと処理されていたようです。被害の期間も相当長期に渡ります。
ぜひ、昨年のはじめくらいまでさかのぼって、銀行口座に「ドコモコウザ」「ドコモ口座」などの不審な出金がないか、確認してみてください!
「もう銀行にお金を置いておけない」と言う方が続出
当教室の受講生様からは、
「もう銀行にお金を置いておけないですね。引き出しておこうかな」
という声が続出しています。
この意味で、今回の事件は銀行口座そのものの信用にかかわる事件であるわけです。
NTTドコモ側も、銀行側も、そして日本国金融当局も、この意味を果たして正面からとらえて、対処されているでしょうか?
記事の続きでは、ニュース記事やTwitterなどから、「ドコモ口座」不正利用事件の性格、私たちはどう対処すべきなのか、といったことをまとめていきます。
どうやって赤の他人の銀行口座から「ドコモ口座」経由でお金が抜き取られたのか
「ドコモ口座」は他人の銀行口座からお金を抜き取る手段として利用された
今回の事件は、赤の他人の銀行口座からお金を抜き取る道具として、「ドコモ口座」が使われた、というのが正しいように思います。
次の記事にある図表が分かりやすいと思います。不正者が、「ドコモ口座」を介して、銀行口座にアクセスすることに成功している図です。
銀行口座の「名義」と「暗証番号」が不正に入手されている
それでも、最終的には口座の「暗証番号」がなければ、銀行口座からの出金はできません。
口座名義と、暗証番号の情報が、何らかの方法で犯人に知られているということになります。
報道では、「リバースブルートフォース攻撃」によって暗証番号が入手されたのではないか、という推測の記事が出ていますが、私としては「今さら」という感じもします。
リバースブルートフォース攻撃とは、
- 同じ口座番号に対して、暗証番号は数回間違えるとロックがかかってしまうため
- 逆(リバース)に、同じ暗証番号に対して膨大な数の口座番号を試して、暗証番号を当てる
という手法です。暗証番号のセキュリティの抜け穴として、古典的な方法です。
銀行の暗証番号を割り出すという行為は、「ドコモ口座」事件以前に、もともと広く行われているのではないでしょうか。その情報が売買されているのではないかという気すらします。
また、名義人を割り出すことは非常に簡単で、適当な口座番号に「振り込み」操作をするだけで、実在する口座番号であれば名義人が画面に表示されます。その後、振り込まないでキャンセルすればよいわけです。
その後、暗証番号や口座名義の不正入手手段として、「偽サイト」「フィッシングサイト」が使われたのではないか、という報道も出てきています。
匿名で作れる「ドコモ口座」と、銀行間の「Web口振受付サービス」が不正に利用された
普通はキャッシュカードを盗まれない限り、お金は引き出せない
銀行口座の名義と暗証番号が分かっただけで、普通はお金を引き出せないですね。
キャッシュカードを盗まれたとしたら、初めてお金が引き出される、ということが現実に起こり得ます。
ですから、通常はこの「キャッシュカード」という実物を盗まれない、ということが、安全を確保しているわけです。
「キャッシュカード」と「カメラなしのATM」を作られたようなもの
この、「キャッシュカードを盗まれない限り起きないはずの不正出金」が、今回起きてしまった要因について、次の記事で専門家が解説しています。
「暗証番号が漏れたから不正利用されたんだ!」「いやそんな情報漏洩は当行からは起きていない」と言い合っていても仕方ないわけですね。さきほどご紹介した手法などを使えば、暗証番号が不正に入手される可能性はつねにあると考えなければなりません。
だとすれば、
- 「キャッシュカードを入れなければ出金できない」に相当することを、ネット上でやらなければならない
- 「他人がキャッシュカードを使ったらバレる」に相当することも、ネット上でやらなければならない
ということなのだと思います。
今回の「ドコモ口座」では、その両方が破られた結果、不正利用につながっていると思います。
銀行間の「Web口振受付システム」では、口座登録にあたって4桁の暗証番号しか確認しないで口座振替の登録を受け付けていた銀行があり、それが被害にあったとみられます。この方法では、暗証番号さえわかれば、他人の銀行口座でも登録できてしまいます。
そして、「ドコモ口座」の方は、匿名でも開設できてしまう仕組みでした。「防犯カメラのないATMを匿名で設置できる」ような状態だったわけです。
この両方が揃わなければ、実際には不正出金できなかったと考えられます。
どちらの要因も、9月11日現在抜本的な対策がなされていない
9月11日現在いまだに匿名で作れる「ドコモ口座」
一連の報道をうけて、筆者もさきほど「ドコモ口座」を実際に作ってみました。
すると、まずは「dアカウント」を作るよう促されるわけですが、このような画面です。
2段階認証の送信先として、今回はGmailを使ったのですが、認められています。匿名で作った捨てアドレスでも、偽名でも、容易にdアカウントは登録できます。
そして、いっさい本人確認書類や携帯電話での認証をしなくても、「ドコモ口座」は作れました。
恐るべきことです。不正取引を可能にした大きな要因の一つが、あれだけ報道されているのに、そのままの形で放置され、運用が継続されています。
※その先の、チャージ用の銀行口座登録機能は、さすがに実際に停止されていました。新規の銀行口座登録はできませんので、これまでに登録済みの不正口座があれば利用可能な状態と思われます。
Web口振受付サービスも何事もなかったように運用中
一方、もう一方の問題・「Web口振受付サービス」も、現在なにごともなかったように運用中です。不正取引が確認された銀行が、個別に「ドコモ口座との連携を中止した」だけで、他に同様に使えるサービスがあれば、すぐにでも被害が発生する可能性があります。
サービスを運営する「地銀ネットワークサービス株式会社」のトップ画面には「お知らせ」という欄があるのですが、ここにも被害事象は現時点で一切掲載されていません。
なぜ、可能性のある人全員に確認の連絡をしないのか?
案の定、ドコモが記者会見を行い、「新規口座登録を停止」したあとも、被害は拡大しています。
本当に被害規模を確定しようとするのであれば、
ドコモ口座にチャージが行われた全口座の名義人に対して、チャージした覚えがあるかどうか確認する連絡を銀行から行う
という行為を行わなければならないと思うのですが、今日(9/13)現在どこからもそんな話は聞こえてきません。やるべきだという記事すら見受けられません。
ドコモ・銀行の双方が「悪い相手を遮断しただけ」ではないのか
このような状況の全体を見ますと、結局のところ
- ドコモ側は「銀行に問題があったから、銀行の新規登録を停止した」
- 銀行側は「ドコモ側に問題があったから、ドコモ口座との連携を中止した」
という状態であって、どちら側も、自分の側の問題を解決していないまま、運用を続けていることが分かります。
金融取引を扱う両主体が、このような態度で事態にあたっていること自体が、大変恐るべきことであると筆者は考えます。顧客の安全を考えれば、まず自社の問題点を至急改めるべきであり、それまでは運用すべきではないのではないでしょうか。
「『ほぼほぼ』新しい被害は出ない」という信じがたいコメントが通用する現実
ドコモ側の対応をめぐっては、9/14に次のような記事が出ました。
ドコモ口座と連携している35銀行のうち、22銀行「しか」チャージそのものは停止していません。
また、「ドコモ口座」そのものも、依然として匿名で作れる状態であり、「不正利用が疑われるドコモ口座アカウントは個別に利用を停止」しているだけなので、不正がバレていない口座はそのまま残存しています。
さらに、「不正がバレていない」ドコモ口座アカウントは通常取引ができる状態ですので、すでにチャージ済みの犯罪収益は引き出せる状態であることになります。
この状態でドコモは「ほぼほぼ被害は出ない」、と、この私たちがなんとなく日常会話で使う「ほぼほぼ」という語を使って、ドコモ口座のサービスそのものを停止しない理由として説明したようです。金融当局からも、報告を求められているようですが業務停止などの命令は受けていないようです。
私たちをとりまく金融の現状はこのようなものです。銀行に大切に置いてあるなけなしのお金も「ほぼほぼ」という、痛みを感じない言葉で流され、いつまでも不正引き出しの脅威に怯えなければならない。この恐怖感に対する責任は、誰一人としてとろうとしていないのが現実なのです。
同じ被害を受けないために・私たちができること
被害にあわないために何ができるか、といっても限られています。
暗証番号を一般的でないものに変更する
暗証番号が、かりに「リバースブルートフォース」によって当てられたのだとしたら、「多くの人が使っていそうな暗証番号は避ける」ことが有効です。
今回の「ドコモ口座」経由の被害では、まだ、どんな暗証番号の人に被害が多いか分かっていません。一般的に言うと、この記事の上位にあるような 1234 1111 0000 といった暗証番号は、リバースブルートフォースで最初に試されると思いますので、暗証番号を割り出される可能性は高いといえます。
全部の暗証番号を時間をかけて試せば結局割り出されてしまいます。工夫すれば可能性を少しでも下げられるということです。
「Web口振受付サービス」の利用を停止する手続きをする
すべての銀行で可能か確認できていませんが、利用者が希望すれば「Web口振受付サービス」の利用を停止することができる場合があります。
【この手続きについては、別の記事で詳しく取り上げました。】
【ドコモ口座問題】ニュースで流れない、銀行預金を不正引き出しから守る方法 | 当店ブログ
例として武蔵野銀行のHPを引用します。
本サービスのご利用を希望されないお客さまは、お届印をお持ちのうえ、武蔵野銀行窓口にて所定のお手続きをさせていただくことにより、このお取扱いを停止することができます。
武蔵野銀行「むさしのWEB口振受付」サービス
この手続きを行えば、今回の手口での不正引き出しは完全に不可能になります。
利用者側は、スマホでの銀行引き落としの手続きなどができなくなり、例えば「PayPayへの銀行口座登録」「公共料金の引き落とし口座をスマホで変更する」などの手続きができなくなりますが、書面での銀行引き落とし申し込みは引き続き利用できます。利便性より安全性を重視する方は、この手続きをされるのがよいかもしれません。
口座残高に注意し、知らない引き出しがあったらすぐに通報する
あとはとにかく、被害を早く発見して銀行や警察に連絡するしかありません。
取引が多い口座の残高などは、あまり注意してみていない場合もありますが、「大丈夫だろう」という思い込みを捨てて、自分が実際に支払いに同意したものであるか、きちんと全取引を見る必要があると思います。
同じ被害が発生しない、電子決済のルール作りを
ネット通販・電子マネーの普及で、セキュリティがこれまでとは段違いに重要になってきています。動くお金の総額も大きくなるため、不正利用しようとする者も多くなっています。
NTTドコモは全額を補償するといっていますが、銀行口座というものを「いつお金を抜き出されても防ぎようがない」状態にしたこと、そのことが、今回の事件の本当の「罪」なのではないでしょうか。
また、「Web口振受付サービス」や、被害にあった口座を管理する銀行の対応にも問題があるように思います。
NTTドコモが「暗証番号さえ盗まれなければ」と言い、銀行側が「うちからは盗まれていない」と言い、というような、責任のなすりあいをしていると感じられる部分もあります。
不正利用の余地があるのに、頑として全取引を停止しないのはなぜか?
9月11日現在、「ドコモ口座」への新規銀行口座登録は停止されていますが、過去に登録済みの銀行口座については、依然としてチャージ可能な状態となっています。
そして、匿名での新規登録も、依然として可能です。
昨年7月、「セブンペイ」の不正利用事件がありました。これも大変大きな事件でしたし、不正利用の抜け穴が「本人確認」「SMS認証」の省略にあったことも共通しています。「ドコモ口座」はすでにその前の2019年5月に不正利用が発覚していましたが、チャージ上限額を引き下げるだけの対応をしていたとか。
「デジタル庁」構想というのも出てきていますが、本当に顧客や利用者の安全を守れるセキュリティのルールを、ぜひ業界・金融行政・国が私利私欲を排して、作っていただけなければ、日本における電子決済に未来はないと思います。
いまの現状ではこれ以上「支払い」は「便利」にならなくて良い
よく「支払いが便利になる」「サッと支払える」と電子決済が宣伝されていますが、支払いが簡単ということは、簡単にお金を自分の口座から引き出されるということでもあります。
そこには、相応のセキュリティがあってはじめて成り立つ話です。支払いが速いかわりにセキュリティに穴があるのでは、単に利用者のお金を引き出したがっているだけ、ということになります。
まったく何もしていない利用者の銀行口座から、知らない間にお金が盗まれる、という、銀行口座そのものの信頼性を揺るがす事件に際して、ドコモ・銀行双方、そして金融当局からこのような対策しかとられない現状では、もうこれ以上「支払いを便利にする」メリットがないのではないでしょうか。
賠償をすればよいという問題ではありません。金融システムの信頼性にかかわる問題だと思います。今のようなつぎはぎの対策をつづけている状況では、日本の金融システムに未来はないと言えるでしょう。
コメント