Q&A347

企業・産業|

ドコモ口座で何が起きたのか?

通信会社やIT企業が相次いで乗り出し、顧客の獲得競争が激しくなっている電子決済サービス。その1つ、NTTドコモが展開する「ドコモ口座」を通じて、銀行の預貯金が不正に引き出される問題が発生しました。これまでに明らかになっている被害は、本人が知らないうちに何者かによってドコモ口座が開設され、いつの間にか銀行の口座からお金がドコモ口座に送られてしまうというものです。いったい何が起きているのでしょうか?
(専門家のご意見やその後の新しい情報も加え、9月13日、14日、17日に更新しました)

そもそも「ドコモ口座」って、どういうものなんですか。

NTTドコモが展開する電子決済サービスです。一般的に「d払い」と呼ばれるスマートフォン決済の一部で、銀行の口座からドコモ口座にお金をチャージすることで、買い物ができたり、送金ができたりします。ドコモ口座と銀行口座が連携することで、スマホ決済がより便利に使えるというものです。

特徴的なのが、NTTドコモが展開しているサービスでありながら、ほかの携帯電話会社のユーザーでもドコモ口座を利用できるということ。幅広くユーザーを獲得することを目指しているためで、ネット上でドコモ口座を開設する際には携帯電話番号の入力は求められず、メールアドレスのみでOKになっています。

それがどうして、銀行の預貯金が不正に引き出されることに?

何者かが、ドコモと連携する銀行の預金者になりすましてドコモ口座を開設したうえで、銀行の口座からドコモ口座にチャージする形で不正に預貯金が引き出されました。

預金者の側から見ると、知らないうちにドコモ口座を開設され、知らないうちに銀行口座から不正にお金を取られてしまったんです。

こうした犯行を許したのは、メールアドレスがあれば簡単にドコモ口座を開設することができてしまうという本人確認の不十分さと、銀行側のセキュリティーの不十分さが重なっていたからだと見られます。

全く知らないうちに銀行口座からお金がとられてしまうなんて、怖いですよね。どれくらいの被害が出たんですか?

確認された被害は全国11行で157件、被害額は2760万円に上っています(9月17日午前0時時点)。預金をドコモ口座にチャージする限度額はひと月に30万円ですが、なかには8月末から9月初めにかけて60万円を不正に引き出された人もいます。
NTTドコモは銀行とも協議して、被害にあった人に全額を補償するとしています。

その後、ドコモ口座以外の電子決済サービスを通じても、不正な引き出しの被害が出ていることが明らかになりました。

ゆうちょ銀行では、連携する12のサービスのうち「ドコモ口座」と、「PayPay」、「メルペイ」、「Kyash」、「LINE Pay」、「PayPal」、「支払秘書」で合わせて136件、2150万円の被害が確認されています(9月17日公表分)。

そもそもどうして、なりすましが可能なんですか?銀行口座からお金を引き出すにも、暗証番号などが必要になるはずですよね?

詳しい犯行の手口はまだ明らかになっていませんが、専門家の間では、いくつかの可能性が指摘されています。外部に流出した銀行の口座や暗証番号などの情報を使ったり、フィッシングと呼ばれる手法で不正に暗証番号などを入手したりして、何者かが犯行に及んだ可能性が指摘されています。

また、いわゆる「逆総当たり攻撃」(リバースブルートフォースアタック)の可能性も指摘されています。これは、固定した暗証番号を使って多数の口座にアクセスを繰り返すというものです。こうした手法を組み合わせている可能性もあります。

NTTドコモ 丸山誠治副社長

NTTドコモは9月10日の記者会見で、各社との競争が激しくなる中、顧客を増やすために口座を開く手続きを簡単にした結果、本人確認が不十分となり、悪意のあるユーザーによるなりすましを防げなかったと説明しています。ビジネスの拡大を急いだことが裏目に出て、セキュリティーの不備を見過ごしてしまったということなんです。

しかも去年にはドコモ口座で同じような不正引き出しがあったほか、別のスマホ決済サービスでも不正な引き出しが発生し、対策を強化するチャンスはあったはずです。

NTTドコモは、顔写真と運転免許証などを使った本人確認を導入するとしていますが、信頼を回復できるかが問われることになります。

また、専門家からは、銀行側のセキュリティーの不備がより問題だという指摘も出ています。ドコモ口座には、大手銀行や地方銀行など35の銀行の口座を連携できるようになっていますが、このうち共通の口座振替のシステムを利用している銀行や、ドコモ口座と銀行口座をひも付ける際に「2要素認証」を導入していなかった銀行で被害が確認されています。


ドコモ口座と連携可能な35銀行

みずほ銀行・三井住友銀行・ゆうちょ銀行・イオン銀行・伊予銀行・池田泉州銀行・愛媛銀行・大分銀行・大垣共立銀行・紀陽銀行・京都銀行・滋賀銀行・静岡銀行・七十七銀行・十六銀行・スルガ銀行・仙台銀行・ソニー銀行・但馬銀行・第三銀行・千葉銀行・千葉興業銀行・中国銀行・東邦銀行・鳥取銀行・南都銀行・西日本シティ銀行・八十二銀行・肥後銀行・百十四銀行・広島銀行・福岡銀行・北洋銀行・みちのく銀行・琉球銀行


これまでのところ、暗証番号などに加えてスマホに届く一時的なワンタイムパスワードや、通帳残高の一部の数字などの入力が必要となる「2要素認証」をとっていた大手銀行などでは、被害が確認されていません。現在35の銀行は新規にドコモ口座と連携させることを停止していますが、早急にセキュリティーを強化することが求められます。

全国銀行協会の三毛兼承会長も9月17日の記者会見で、銀行側も認証が不十分だったことを認めたうえで、「再発防止に向けて業界をあげた取り組みが必要だ」と述べ、決済サービスと口座を連携させる際にどのような認証が必要か、安全上の水準を示したガイドラインをつくる考えを示しました。

自分が預けたお金を守るために、利用者ができることはありますか?

専門家は、今回の犯行に対しては利用者が対策をとるのはむずかしいと指摘しています。

複数の金融機関で同じ暗証番号を使い回さないことや、単純な番号・生年月日などから類推されやすい番号は使わないことなど一般的な対策をとっていたとしても、事業者や金融機関のセキュリティーに不備があれば、被害を完全に防ぐことはできません。

以前は定期的な暗証番号の変更が推奨されていたことがありますが、作り方がパターン化しやすいなどの弊害があり、現在は定期的な変更は必要なく、流出した時には速やかに変更するよう呼びかけられています。

ドコモ以外の携帯電話を使っている人や、ドコモ口座を利用していない人でも、連携している35の銀行に口座を持っている場合は、通帳記入などでドコモ口座からの引き落としがないか確認してみてください。

引き落とし先が「ドコモコウザ」や「デイーバライ」となっている、心当たりのない取り引きの記載がある場合は、被害にあっているおそれがあります。NTTドコモが設けている専用の相談窓口に連絡してください。

NTTドコモ 専用相談窓口
0120-885-360 (平日・土日・祝日とも午前9時~午後8時)

ゆうちょ銀行では、郵便局の窓口を訪ねれば自分の口座がどの決済サービスにひも付けされているのか調べるとしています。また、通帳を記入するなどして口座に身に覚えのない取り引きや不明な点があれば、コールセンターに問い合わせてほしいと呼びかけています。

ゆうちょコールセンター
0120-108-420(平日午前8時半から午後9時まで。土日祝日は午前9時から午後5時まで)