浜松City 快適お買物計画Go! Go!

　こんにちは、フリーランスちゃんたけです。

2020年9月、マイナポイント事業が好調にスタートしました。・・・が、しかし、

僅か1週間でそれを揺るがす事件が起きてしまいました。

そうです。ドコモ口座不正出金事件です。9/15時点で被害件数143件、被害額2,676万円(1人平均/17万円)の社会的問題となりつつある事件です。

ドコモ口座事件とはどういった物か？、『私はドコモの口座など使用していないので、関係ない。』・・・とおっしゃる方が今回のメインターゲットとなっていますので、復習も含めてご覧下さい。

簡単に言えば、第三者がアナタの銀行口座のインターネットバンキングのログイン情報を不正入手して、本人に成りすまし、勝手にドコモ口座を開設し、銀行口座からドコモ口座に上限である30万円をチャージして使ってしまうという手口の犯罪が行われました。

●ドコモ口座とは、皆さんが銀行へ行ってキャッシュカードで下す口座ではなく、電子マネーやスマホQR決済をする際に、いったんウォレットへチャージしてお支払いする様に、その架空の財布がドコモ口座です。特にスマホ決済を利用される方は分かるかと思いますが、スマホ決済のアプリで事前に自分のウォレットへチャージする為、メインバンクの口座から24時間/365日、いつでもチャージ出来る様に決済アプリと銀行を連携(リンク)させる初回設定登録させます。これを紐づけといいます。・・・ドコモユーザーは、携帯を契約される際に身分証明書等の細かい審査をされていた為、身元判明もされている為、今回の被害にはあっていませんが、ドコモユーザーでない方でも簡単にドコモ口座が作成出来てしまう事が今回の問題になってしまいました。●銀行口座番号　●ログインパスワード　●キャッシュカード暗証番号4桁、この3情報があれば第三者でも簡単にドコモ口座が作成出来てしまいます。(今回のドコモサイドは、銀行口座やキャッシュカード暗証番号が明確であれば銀行側が身元確認されている人物である。と安易に判断してしまった事です。)

何故、あの天下のドコモが、そこまでのミスを起こしてしまったのか？

ある人はこう言います。『現在、キャッシュレス決済の頭1つ飛びぬけた勢いのPayPayに溝を開けられ、ドコモのd払いもドコモユーザー以外のキャリアユーザーから新たな利用者を獲得する為に間口を広げてハードルを下げたと言う焦りではないか？』・・・と。私もその意見には同感です。・・・あの7Pay(セブンペイ)事件でも言われた様に、今回のドコモ決済新規作成登録の際に、2段階認証システムを導入していませんでした。　2段階認証は登録申請の際に、再確認も含めて申請者宛の電話番号へSMS(ショートメール)で認証ログイン番号が送られ、その番号を使って最終手続きを行う物です。これがあればほぼ確実に本人確認が出来ます。

ここで、ドコモ口座事件の責任は100％ドコモにあったのでしょうか？　もちろんドコモ側が今回の被害額は全てドコモが補うと発表しているので、被害者にとっては一安心です。

しかし、冷静になって、少し客観的に検証していきましょう！

1.まず、被害者の銀行口座番号やログインパスワードが何らかの理由で事前に盗まれていた。と言うのは申し訳ありませんが、これは被害者の自己責任です。警察の見解は、銀行公式サイトとそっくりの偽造サイトへの誘導、いわゆるフィッシングサイトへ被害者自らが訪問し、個人情報を入力してしまったのではないか？・・・このケースが大半だという事です。

ただ、4桁カードパスワードはなかなか入手が困難な為、どうしたのでしょうか？

今回の件で有名になりましたが、リバースブルートフォース攻撃(逆総当たり攻撃)が使われたと言われています。

皆さんもご経験がある様にあらゆるWEBログインの際、パスワードを3回間違えるとしばらくの時間使用が凍結されてしまいます。そこで、今回の犯人達は作業を逆からスタートするリバースブルート＝逆総当たりと言う形で、スマホ電話の番号配列でよく利用されている横・縦・斜め配列で作った暗証番号【例：1236・3698・3578】と決め打ち固定して、不正入手したユーザーID側を1つ1つ変更しながらヒットした銀行情報で今回のドコモ口座と紐づけしたわけです。

2.今回のドコモ口座事件で被害にあった銀行は11銀行と言われています。

ゆうちょ銀行・イオン銀行・みちのく銀行・七十七銀行・東邦銀行・大垣共立銀行・第三銀行・紀陽銀行・滋賀銀行・中国銀行・鳥取銀行です。被害にあった銀行の共通点は1つ、“2段階認証”対応していなかった事です。・・・ドコモ口座を作成する際の2段階認証がなかった事は先程お話しましたが、今度はドコモ口座と各銀行と紐づけする際に、銀行側でも2段階認証機能がなかった事が今回の悲劇を呼んでいます。この2段階認証を行っていた銀行は被害にあっていなかった様に、銀行側もセキュリティが非常に甘かったという責任問題があります。後に、更に発覚してしまったのがゆうちょ銀行発のPayPay,LINE Pay,メルペイ等の他社決済不正利用事件です。全国でメジャー且つ、2段階認証が無かった一番甘いセキュリティ強度の弱い銀行のレッテルを貼られてしまいました。

不正利用した犯人が100％悪でありますが、それを引き出してしまった原因の所在は①被害者本人？ ②ドコモ口座？③セキュリティ弱の銀行？責任の度合いは、皆さんのそれぞれの判断にお任せしますが、『ドコモ口座事件はドコモが全面的に悪い！』と言ううわべの判断は非常に危険ですので、そこをご理解下さい。

ドコモからの新しいセキュリティ改定対策を明記しておきます。

【特にドコモ回線を契約でない方】

●ドコモ口座の開設作業時→SMSによる2段階認証にプラスして、『eKYC』＝Electronic Know Your Customer 』 ※アプリの指示に従い、お客様ご本人の顔と本人確認(運転免許証等)を画面に表示される指示に従って撮影いただくことで手続きが完了します。

※私達浜松市民にとって気になる地銀情報についても記載します。【静岡銀行令和2年9月19日(土曜日)】より引用

なりすましを防ぐ【2段階認証】はスルガ銀行が導入済みで、清水銀と静岡中央銀は導入していない。静岡銀は「犯罪被害防止の観点から回答を控える」とした。静岡銀は18日、「PayPay」 「LINE(ライン)ペイ」 「メルペイ」などのサービスの新規登録とチャージ機能を停止した。ドコモ口座については既に同様の措置を取っている。・・・・

個人的な話で恐縮ですが、私はマイナポイントの決済はPayPayを利用しています。そして、銀行紐づけは静岡銀行です。しずぎんのチャージが出来なくなってしまうのでしょうか？非常に困ります。(汗)

【総括】

今回のドコモ口座事件を筆頭に他社決済口座事件について、当お買物計画はこう考えます。

セキュリティエラーであるドコモ口座事件被害額は約2,700万円です。キャッシュレスと対局にある現金決済を伴う振り込め詐欺をセキュリティエラーに対してヒューマンエラーと呼ぶ人もいますが、詐欺の年間被害額は、約300憶円です。まず、被害者の方に対しては心よりお見舞い申し上げます。自分たちがいつその立場になってしまうかもしれません。