ドコモ口座事件、真の原因は「認識の甘さ」ではない

本田雅一の時事想々:
ドコモ口座事件、真の原因は「認識の甘さ」ではない 露呈した「銀行との風通しの悪さ」
2020年09月14日 18時00分 公開
https://www.itmedia.co.jp/business/articles/2009/14/news127.html

『いくらなんでもそれはないだろう。

 情報化社会の昨今、そのように感じる問題が起きることなど、1年を通してもそうそうあるものではない。

 ところが、あろうことか日本はもちろん、グローバルにみても最大手クラスの通信企業であるNTTドコモが、「お前、それはないだろう」と思わずツッコミを入れたくなる対応を取るとは、情けないを通り越して笑い話のようにさえ思えてくる。

 被害総額約2542万円(9月14日午前0時時点)と、果たしてどこまで被害が拡大するのか見えていない「ドコモ口座」の不正出金の問題についてだ。

photo
ドコモ口座を使用した不正出金が相次ぎ、被害総額は約2542万円に拡大(9月14日午前0時時点)
 口座と名付けられているがサービスの本質は、いわゆるスマートフォン決済サービス。送金やショッピング支払いなどに使えるものだ。金利などは一切付与されないものの、自身の銀行口座からチャージできる。

 サービスそのものは、よくある決済サービスの亜種。いくつかの特徴はあっても特別なものじゃない。何より“ドコモさま”の提供なんだから信頼できると思っていたら、実にグダグダだ。

 何しろ被害者がドコモ口座対応の銀行口座を持っているだけで、ドコモユーザーではなくとも、加害者が捨てメールアカウントを使って自由に、いくつでも口座を作り、不正出金を行える可能性があったというのだからタチが悪い。

 ここまでグダグダだと、いったいなぜこんなことになったのか、グダグダになった理由が見つかるかどうかさえ怪しいほどだ。

せっかく責任ある行動と判断ができるというのに
 既報の通り、山ほどツッコミを入れたくなることがたくさんある一方で、ドコモはしっかりと責任ある行動も示している。サービスのセキュリティ設計がずさんなことは批判対象だが、まずは褒めるべきところは褒めておきたい。

 ドコモの丸山誠治副社長は9月11日の記者会見で、認識の甘さについて反省を口にしつつも「1日の取引が約1万3000件もある」ことを理由に、ドコモ口座のサービスを停止しないと話した。

photo
ドコモが9月11日に開いた記者会見の様子=編集部撮影
 自分たちのケツは自分で拭く。不正出金は、銀行と連携しながら全額補償する。それよりも一度、始めたサービス事業だ。信頼できるものに改良をしていく上で、しっかりサービスを止めずに解決策を見いだしていきたいということなのだろう。

 世間での“ウケ”を狙うなら、不正出金の補償はもちろん、すぐにサービスを止めて問題解決を図る方が印象がいい。

 まだ明らかになっていない潜在的な被害、あるいは被害に遭う可能性がある、まだ出金されていない口座もあるかもしれない。犯罪者にこれ以上の送金を重ねさせるな、という意見もあるだろう。

 しかし、最もグダグダだった新規口座登録を止め、ドコモの携帯電話契約情報との照合、「eKYC」やSMSを用いた本人確認などを行うというから、一般的なネットでの取引に求められる信頼性は確保できるはず、というわけだ。

photo
「eKYC」導入などの対策を強化=ドコモの資料より
 不正出金が確認された銀行は11行(14日午前0時時点)。取引を継続して行える15行に関しては、ドコモと銀行の双方でネットでの口座の扱いが十分だと判断したのだろう。ここまで問題が拡大した上で、なおも大丈夫というのだからドコモ口座を止める必要はない。それさえも問題ならば、ドコモ口座がなくとも危険ということなのだから、止める意味はない。

 とかく世間体を意識して「まずは止めて謝るところから」という、全く論理的ではないダメージコントロールを選ばなかったところは、きちんと自分たちの頭で考えて対策をしていることが伝わってきて、むしろ好感を持ったほどだ。

 サービスだけではなく、問題発覚後の対応もグダグダだった「7pay」の事件のときとは大違いで、ここは褒めるべきだろう。いや、もちろん、システムそのものは褒められたものじゃないのだが。

それ、誰が判断したの?
 さて、ドコモ自身は「認識の甘さ」と言っているが、筆者としてはこの問題の根っこにあるのは認識の甘さではなく、責任の所在が曖昧なことではないかと感じている。「ドコモが悪い」「いや簡単にハックされる銀行の仕組みが悪い」「その両方だ」といろいろな意見があるが、そもそも「あっちにも、こっちにも問題があった」にもかかわらず、相互に問題意識を共有できていないことに、筆者は絶望感を覚える。

ごく基本的な部分だが、日本の銀行キャッシュカードは、たった4桁の暗証番号で現金を引き出せる。この全銀フォーマットの仕様も、とっくの昔に見直されていて然るべきだ。各メディアがいくつもの指摘をしているので、ここであらためて紹介するまでもないが、現代のネットワークサービス、それも顧客の財産を扱う仕組みとしては脆弱(ぜいじゃく)すぎる。

 それでも辛うじて社会問題にならなかったのは、対人にしろ、対機械にしろ、キャッシュカードを用いた現金引き出しに物理的な手続きが必要だったからだ。こんなことは誰もが分かっているはずなのに、従来の仕組みを使い回してしまった。

 今回の不正引き出しの全貌が明らかになっているわけではないが、不正送金が明らかになっているケースでは、こうした銀行からの現金引き出しにかかわる基本的な部分での脆さが問題だったとみられる。

photo
ドコモ口座のWebサイトより
 NHK NEWS WEBでは、ドコモ口座問題について「暗証番号を定期的に変えましょう」と注意喚起する記事を掲載していたが、全くもって無意味(14日時点では記事内容が修正されている)。暗証番号がバレたのなら変更は必要だが、ネットを通じての不正送金があったのなら、システム側の問題であり頻繁に変えたからと行って問題解決にはならない。

 暗証番号を変えて「もう大丈夫」と思って安心してる人たちに、正しい情報を伝えた上で謝ってほしいぐらいだ。

 ところで、銀行口座にネットからアクセス可能になるのだから慎重になるべき、なんてことは今さら指摘するまでもないことなのに、なぜ「そのまんまなの?」という、大きなクエスチョンマークがここで出てくる。

 物理的なキャッシュカードと比べ、はるかに便利になっているのに、個人認証の仕組みはスマホ時代非対応どころか、インターネットが発明される以前からのそのままなのだから「これで大丈夫って誰が判断したの?」という話になってくる。

当たり前のことを当たり前にできない理由
photo
9月14日夕方時点で、チャージ(入金)を停止している銀行の一覧=ドコモのWebサイトより
 さて、ドコモが問題発覚を受けて精査した結果、その対策としてドコモ口座が対応していた35行のうち13行は不正出金が容易には起きないと判断し、送金サービスを継続するというのだから、前述したように差し引き22行以外は大丈夫だとドコモと各銀行は判断したのだろう。

 ずさんな本人確認に脆弱な出金の仕組み。「両者ともに悪いね」というだけでは済まないのは、ドコモが昨年5月、既にりそな銀行、埼玉りそな銀行で同様の問題が起きていたことを、他の銀行に周知徹底していなかったことが、最終的に今回の問題へとつながっているからだ。

 当時の犯行グループと今回の犯行グループが同一なのかどうかは分からない(期間が空いていることを考えれば別と考える方が良さそうだが)。

 しかしこの時、ドコモは問題の発生を把握し、その原因についてもある程度は知っていたはず。少なくとも、電子メールの到達をもって本人確認されるという、いまでは信じられないような仕組みが問題だったことを、提携銀行各社とはいわないまでも、セキュリティ対策の甘い提携銀行に連絡していれば、今回の問題は起きなかったのではないだろうか。

 もちろん、金融機関のIT化はどこの業界よりも真っ先に行われてきたわけで、規模の大小による意識の違いこそあれ、「お前、それはないだろう」的な状態をさらしてきた銀行側にも問題はある。

 しかし主体的に利便性を提供し、なるべく簡易的な手続きで使って欲しいドコモ側に利用者を速やかに増やし、決済サービス分野での生き残り、ライバルとの競争に勝ちたいという意識がなかったとは思わない。

 そんな邪推も「邪推じゃないかもね?」と筆者が思ってしまうのは、ドコモと金融機関の風通しの悪さが理由だ。

 今回、不正送金があった11行は、ドコモ口座との連携にCNS(地銀ネットワークサービス)を利用。そこに脆弱性があったのでは? という推測があるが、11日の記者会見でドコモの丸山副社長は「金融機関側の仕組みなので把握していない」と答えた。

 実はここに問題の根っこがある。

誰もが見えるはずの景色が見えていない
 ドコモ口座と連携し、銀行口座から入金するための仕組み、手続きの手順は銀行側に依存している。

 「ドコモ口座というプリペイドサービスにお金を入れたいのだけど?」という時、どのような手法でお金を送金可能とするかの判断は銀行側にある。ドコモは、所定の手続きに従って情報を送り、その結果、入金されたから取引を承認しただけなのだから、本来は責任がない。

 と、そんなふうに考えているかどうかは分からないが、この金融機関との距離感が、誰もが見えるはずの景色を見えなくしていた、あるいは「見ようとしなかった」(面倒くさいし、速やかに利便性の高い、簡便なサービスにしたいから)のではないか。

 繰り返すが、ドコモ口座の本人確認のずさんさは責められて当然。本当にもう勘弁してくださいよ、と言いたくなるような”ポカ”であり、罪深い。

 だが最も残念なのは、これほど明確な“穴”を見過ごし、しかも一度は発覚していたのに風通し悪く、見通せる景色を共有できなかったことだ。まさに木を見て森を見ず。大企業にありがちな、見えにくいものは見ない方が面倒が少ない──そんな前時代的な問題が透けて見えるならば、大きな問題はまだまだ隠れていることになる。

 ドコモが巨大企業であることは言うまでもないが、メガバンクとは比較にならないとはいえ、地方銀行も大きな組織に違いない。まさか2020年にもなって「今さら大企業病かよ!」とあきれることになるとは。ドコモでさえ、この調子ならば日本全国、至るところに構造不良が隠れていても不思議じゃない。』