この記事のまとめ
1.どんな人が被害にあうのか
ドコモ口座の不正送金被害のニュースが話題になっている。
ゆうちょ銀行では、ドコモ口座以外にPayPayやメルペイなどの決済サービスへのチャージの一時停止が発表されています。
この問題で、
「自分はドコモ口座も使っていないし、PayPayとかのスマホ決済サービスも怖いから使っていなかったから、大丈夫」
などという人がよくいるのですが、大きな誤解です。
実はそんな人ほど被害にあっている可能性があるので、要注意です。
ゆうちょ銀行、決済10社と連携停止 ペイペイなど5社でも被害―不正出金:時事ドットコム
NTTドコモの電子決済サービス「ドコモ口座」を使った銀行口座からの不正出金が全国で相次いでいる問題で、日本郵政傘下のゆうちょ銀行は15日、即時振り替えサービスの提携先12社のうち、ドコモ以外にも5社で被害が発生していると明らかにした。ソフトバンク系の大手「PayPay(ペイペイ)」が含まれる。被害拡大を防ぐため、ゆうちょ銀は同日までに10社について新規口座登録とチャージ(入金)を停止した。
今回の問題は、ドコモ口座やPayPayなどを使っていたかどうかではなく、
自分の銀行口座に犯人が勝手に作ったドコモ口座やPayPay口座などを紐づけられて、
知らない間にお金を引き出されてしまうという問題です。
連携している金融機関に口座を保有している人であれば、誰でも被害にあっている可能性があるというところが恐ろしいとこです。
逆にすでにドコモ口座やPayPay口座を持っていて、銀行口座と紐づけをしている人は、その銀行での被害は受けないはずです。
つまり、使っていなかったから安全なのではなく、使っていなかったから危険ということになります。

2.なぜこんなことになったのか(ドコモ口座編)
では、なぜそんなことになってしまったのでしょうか。
それは、ドコモ口座やPayPayなどの決済サービスの本人確認の仕方に問題があるようです。
それぞれのサービスの本人確認方法を見てみましょう。
ドコモ口座 利用開始までの流れ
https://docomokouza.jp/campaign/careerfree.html


これによると、dアカウントとドコモ口座を作ったら、
銀行口座と連携させることで本人確認をするという手順になっています。
「銀行口座の情報を知っている=本人」 という前提に立った仕組みということですね。
ドコモ口座自身で本人確認はしていなくて、
本人確認ができている銀行口座に確認を頼っているということになります。
そこで、問題になるのが連携の時の確認の仕組み。
メガバンクなどのセキュリティにしっかり投資しているところは、
二要素認証などを使って、しっかり本人であることを確認したうえで連携させるのですが、ゆうちょ銀行や地方銀行なんかだと、名義と口座番号と4桁の暗証番号のみで連携させるような仕組みであったと推察します。
これだとなにが問題なのかというと。
ECサイトからの情報漏洩やフィッシングサイトなどで名義と口座番号が手に入れていれば、あとは4桁の暗証番号がわかると、簡単に連携して本人確認が通ってしまうことです。
もちろん、暗証番号なんて人に教えていないし、フィッシングサイトにも入力していないという人もいるかもしれませんが、リバースブルートフォースアタックなどという手法で攻撃されているという報道も出ています。
4桁の暗証番号は誕生日や何かの記念日などにしている人もいるかもしれませんが、
犯人は適当に暗証番号を決め打ちして、それにひっかかる人を逆に探すという手法をとっているということです。
例えば 暗証番号を 1234と決めて、
入手している口座番号で片っ端から試していくと、
どこかで口座番号と暗証番号が一致してしまう。
そんな攻撃になります。
暗証番号が4桁しかないうえ、日付のようなものはさらに絞られるので、よく使われていそうな暗証番号で決め打ちされると、簡単に突破されてしまうようにも思います。

3.なぜこんなことになったのか(PayPay編)
では、PayPayの本人確認はどうなっているでしょうか。
PayPay本人確認について
https://paypay.ne.jp/help/c0118/



こちらは、「銀行口座の認証」と「かんたん確認」の2つの方法があると書かれています。
このうち「かんたん確認」はドコモが今後の対策で導入しようとしている。
「eKYC」と呼ばれるものになります。
「eKYC」とは、「Know Your Customoer(顧客を知る)」という言葉の前に「e(電子)」をつけたもので電子的に顧客の確認をしようというものです。
いくつか方法が提示されているのですが、そのうちの一つが運転免許証などの本人確認書類の画像と本人の写真を確認するというものです。
※「eKYC」について詳しく知りたい方は以下のリンクを参照。
金融庁 「犯罪による収益の移転防止に関する法律施行規則の一部を改正する命令」の公表について
https://www.fsa.go.jp/news/30/sonota/20181130/20181130.html
PayPayの場合、せっかく「eKYC」を導入しているのですが、
ドコモ口座と同じような、「銀行口座の認証」でも本人確認ができてしまうので、
せっかくの「eKYC」を使わなくても登録できてしまうところに弱点があると思います。
結局ドコモ口座と一緒ということですね。

4.対策は?
まずは、ご自身の銀行口座で見知らぬ入出金がないかを確認してください。
ネットバンキングを利用している人は入出金履歴を、
利用していない人は通帳記入をしてください。
ドコモ口座を利用していないに、ドコモ口座などと記載されていれば不正送金の可能性がありますので、すぐに金融機関に相談しましょう。
もし、不正送金の記録がないとしてもそれで安心してはいけません。
なぜなら、連携済みでまだ入金をしていないだけかもしれません。
ゆうちょのようにチャージを一時停止にしている場合は、いったん被害は止まった状態にありますが、連携されたままになっている場合は再開された場合に被害が発生する可能性もあります。
金融機関に問い合わせをすれば、連携されているものがあるかどうかはわかるようなので、心配であれば金融機関に問い合わせをしてみるのが良いと思います。
根本的には口座番号と暗証番号だけで、連携ができるようなセキュリティの弱い銀行にはお金を預けないというのが一番のようにも思いますが、口座を変えるというのは結構な手間もかかります。
そんな場合は、まめに口座をチェックして不正な引出しがないかを確認するのが一番だと思います。
とはいえ、通帳記入をそんなに頻繁にするわけにもいかないですよね。
一定のリスクはありますが、ネットバンキングなどにして、残高や入出金記録を常に確認できるようにしておくのも大切でしょう。
複数の銀行口座の残高や入出金記録をまとめて確認できる「マネーフォワードME」や「マネーツリー」のような家計簿サービスを活用して、チェックするのもよい対策になると思います。
連携口座が少なければ、無料で使用することもできます。
<参考>
ドコモ口座の連携金融機関は以下の金融機関です。
ドコモ口座 連携金融機関
https://docomokouza.jp/detail/bank_list.html
- みずほ銀行
- 三井住友銀行
- ゆうちょ銀行
- イオン銀行
- 伊予銀行
- 池田泉州銀行
- 愛媛銀行
- 大分銀行
- 大垣共立銀行
- 紀陽銀行
- 京都銀行
- 滋賀銀行
- 静岡銀行
- 七十七銀行
- 十六銀行
- スルガ銀行
- 仙台銀行
- ソニー銀行
- 但馬銀行
- 第三銀行
- 千葉銀行
- 千葉興業銀行
- 中国銀行
- 東邦銀行
- 鳥取銀行
- 南都銀行
- 西日本シティ銀行
- 八十二銀行
- 肥後銀行
- 百十四銀行
- 広島銀行
- 福岡銀行
- 北洋銀行
- みちのく銀行
- 琉球銀行
コメントを残す