ドコモ口座、全35行で新規登録停止 異業種連携に穴

https://www.nikkei.com/article/DGXMZO63647420Z00C20A9000000/

※ 当初は、こんな風に、「ドコモのシステムを、破られたものじゃない!」という姿勢だった…。

※ しかし、どうもユーザー側で、口座番号を不正取得され、口座の暗証番号(たかだか、4桁だ)を「総当たりで」突き止められた節(ふし)もあるようだ…。

※ 「異業種提携」となると、「自分のところのシステム」のセキュリティ対策だけしっかりやっていれば済む…、という話しじゃ無くなってくる…。それで、銀行側と話し合って、被害額の賠償を分担する…、という方向で対処するようだ…。

『全国の地方銀行などでNTTドコモの電子決済サービス「ドコモ口座」を使った預金の不正な引き出しが見つかった。ドコモは9日、連携する全35行で新規登録を停止すると発表した。1年前にはセブン&アイ・ホールディングスの「セブンペイ」がサービス停止に追い込まれている。相次ぐ悪用はデジタル社会の基盤のもろさを改めて浮き彫りにする。

【関連記事】
ドコモ、10日夕方会見 被害状況など説明
NTTドコモ、不正引き出し被害は66件1800万円 10日正午時点

これまで不正な預金の引き出しが確認されたのは七十七銀行(仙台市)や中国銀行(岡山市)など少なくとも10行に上る。被害の拡大を防ぐため10日以降、安全性が確保されるまで新規登録を当面見合わせる。ドコモ口座とつながる全35行を対象にする。

ドコモ口座はスマートフォン決済や送金に使える。メールアドレスとパスワードを設定すれば開設でき、電話番号は求められない。銀行口座と連携すれば銀行からの入金(チャージ)も可能だ。不正に入手した銀行口座の情報さえあれば、本人になりすましてお金を引き出せる。もともとドコモ口座を使っていない人が気づかないうちに被害に遭う恐れがあった。

画像の拡大
一部の銀行では「口座番号」「名義」「4ケタの暗証番号」の3点があれば利用できる状態だった。ドコモは「不正に取得された口座番号やキャッシュカードの暗証番号などが第三者に漏れ、悪用されたことが不正利用の一因」とみている。

相次ぐ不正を受けてドコモは今後、口座開設で電話番号の入力を求めるなど本人確認を強化する方針だ。それでもシステム調整などに時間がかかる。9日夕方時点ではメールアドレスなどだけで簡単に登録できてしまう状況が続いていた。

金融庁は資金移動業者として登録しているドコモに被害の拡大防止措置を求めるとともに原因究明を急ぐ。ドコモと連携している地方銀行からも聞き取りを進めている。

不正の手口はまだ明らかになっていない。情報セキュリティーに詳しい情報法制研究所(東京・千代田)の高木浩光理事は「リバースブルートフォース攻撃」と呼ぶ手法が使われた可能性を指摘する。一つのID(口座番号など)に大量のパスワード(暗証番号)を試すのではなく、一つのパスワードに大量のIDを試す。

パスワードは数回入力するとアカウントが凍結される場合が多いのに対し、IDは何度入力し直しても凍結されることは少ない。「銀行の暗証番号は数字4ケタと極めて脆弱。何カ月もの時間をかければハッカー側が多人数分の暗証番号を取得することは可能」(高木氏)という。銀行を装ったサイトを通じてIDなどを盗み取る「フィッシング」が原因の可能性もあるとみられる。

【関連記事】
ドコモ口座不正引き出し、りそな銀で昨年5月にも
金融庁、ドコモに報告命令 不正の原因調査へ

ドコモ口座と連携するメガバンクでは不正が確認されていない。ワンタイムパスワードなど二重確認でセキュリティーを強めており、対策の違いが影響している可能性がある。不正利用のあった七十七銀は2段階認証は導入していなかった。

それ自体は厳格な銀行口座の本人確認のシステムも、業態間の連携に穴があればすり抜けられてしまう。スマホなどによる便利なキャッシュレス決済が普及すれば新たな不正のリスクも高まる。

2019年のサービス開始早々、不正利用が続いて廃止に追い込まれた「セブンペイ」の場合、ネット通販の顧客IDと決済サービスをひも付けたことで隙が生まれた。別の事業のIDと金融の連携という点はドコモ口座問題にも通じる。

企業のセキュリティー対策を支援するS&J(東京・港)の三輪信雄社長は「ドコモがサービスを始める前のリスク分析が甘かったのでは」と話す。電子決済も含め社会のデジタル化は避けて通れない。利用者保護のためにも業界の垣根を越えて課題を洗い出し、対策を徹底する必要がある。

被害客への対応も急がれる。ドコモは9日、「補償については銀行と連携し、真摯に対応する」と表明した。

NTTドコモがドコモ口座の新規登録を停止する銀行は以下の35行。
 みずほ/三井住友/ゆうちょ/イオン/伊予/池田泉州/愛媛/大分/大垣共立/紀陽/京都/滋賀/静岡/七十七/十六/スルガ/仙台/ソニー/但馬/第三/千葉/千葉興業/中国/東邦/鳥取/南都/西日本シティ/八十二/肥後/百十四/広島/福岡/北洋/みちのく/琉球』