Pages

Tuesday, September 15, 2020

ドコモ口座問題で誰もが知っておきたいこと - ITmedia

ikanberenangkali.blogspot.com

 先週から大きな話題になっているNTTドコモ(以下、ドコモ)の決済サービス「ドコモ口座」を経由した不正送金問題。ドコモのスマートフォンや「dビデオ」などのサービスを利用していない人は「自分は無関係」という意識があるかもしれないが、実はドコモを使っていようが、いまいが、該当する銀行の利用者は被害に遭う可能性があった。問題のポイントと注意点、現在の状況をまとめた。

1)ドコモ口座はスマホ決済の一種

 サービス名に「口座」が付いていたり、同業のKDDIが子会社を通じて三菱UFJ銀行とネットバンキングサービスの「じぶん銀行」を行っていたりするため、ドコモがバンキングサービスを行っていると勘違いしやすいが、ドコモ口座は別モノだ。

ドコモ口座

 では何かといえば、単なるスマホ決済サービスの一種だ。KDDIでいえばじぶん銀行ではなく「au PAY」、ソフトバンクでいえば「Pay Pay」が競合といえる。そしてau PAYやPay Payと同様、ドコモ口座もドコモの携帯電話を持っていない人でも作れる。

 ドコモが「口座」を名乗っているのは、バンキングサービスを提供しているからではなく、チャージした金額を利用者の銀行口座に送金できるからだと思われる(今回の件にはあまり関係ない)。

 問題発覚以前、NTTドコモのブランド力もあってか、一部の地方銀行はドコモ口座との連携を利用者に勧めていたが、一方でメガバンクなどはほとんど言及しなかった。それも当然。ドコモ口座へのチャージは、プリペイドサービスを提供している会社への送金に過ぎないからだ。

2)ドコモユーザー以外も危ない理由

 ドコモが提供する様々なサービスを利用するために使用する「dアカウント」というものがある。これを利用してキャッシュレス決済を提供するのがドコモ口座の主旨。dアカウントさえあれば、誰でもドコモ口座の利用を申請できた(現在は新規受付停止中)。

 ただし、登録だけではその情報が実在の人物と結びついているのか分からない。このため、ドコモの携帯電話契約がない場合など、身元が確認されていないdアカウントのドコモ口座には、現金以外でのチャージはできないという制約がある。ここまでは問題ない。

 しかし銀行口座の情報をdアカウントに登録した時点で、そのドコモ口座は「本人確認済み」とみなされ、銀行口座からのチャージが可能になる。ドコモ側は、A銀行がAさんを確認しているのだから、A銀行が「連携OK」といえば、Aさんの身元を確認したことと同意であると見なした。しかし銀行側にとっては単に決済サービスが一つ増えたという意識だったのか、ドコモ口座登録時にも本人確認を行うかどうかは銀行によって差が出た。

 登録時に本人確認がないと、氏名、口座番号、暗証番号だけで任意のdアカウントと連携できてしまう。氏名は口座番号があれば送金準備をするだけで簡単に入手できる。つまり、たった4桁の暗証番号だけに依存する、極めて信頼性が低い状況の口座ができてしまった。

 悪意のある第三者がどのようにして口座情報や暗証番号を入手したかは調査中だが、結果としてそうした銀行では、dアカウントを作ってドコモ口座に登録するだけでお金を引き出せる“出口”ができてしまった。

 このように、少なくとも問題発覚時には「ドコモなんて使ってない」人でも勝手にドコモ口座を登録されている可能性があった。これが、各社の報道などで「ドコモと提携している35の銀行に口座を持っている人はすべて危ない」といわれた理由だ。

3)被害総額があまり大きくない理由

 9月15日の時点で明らかになった不正引き出しの被害は143件、総額2676万円。こうした事件の中では控えめと思える数字に収まっているのは、ドコモ口座に1日あたり20万円の取引上限があったからだ。

 被害を確認した銀行は地銀を中心に全国11行。ドコモ口座と連携している35行のうち22行はアカウントへのチャージ機能を停止したが、残りの13行は被害が確認されておらず、セキュリティ体制を整えているとしてチャージ機能の提供を続けている。

4)被害の有無を確認する方法

 被害の有無を確認する方法は、通帳やオンライン取引履歴をチェックし、心当たりのない「ドコモコウザ」への出金があるかどうか調べること。不正送金と思われる出金があったならドコモに連絡をとる。

中国銀行がWebサイトに掲載している確認方法

 今回の問題で先日から各銀行のATMや窓口には行列ができているようだが、一刻を争うといった状況ではない。既にドコモ口座の新規登録は停止し、不正送金の被害者にはドコモが全額を補償することを発表している。

5)本当にドコモだけが悪いのか?

 ドコモの記者会見を受け、ドコモの責任を追及する報道が相次いでいる。確かに銀行口座を持つ人の預かり知らぬところでdアカウントが新規登録され、その中でドコモ口座を申し込めたのは明らかにドコモ側の甘さだ。

 ただし、ドコモ口座登録時に本人確認を行わなかったり、4桁の暗証番号だけに依存する状況を作ったのは銀行側の怠慢といえるかもしれない。業界団体の全国銀行協会は9月15日、ドコモ口座の件を受けて会員銀行に対し、複数の認証手段の導入や顧客への注意喚起を求めた。

 また、総務省の高市早苗大臣は15日、ゆうちょ銀行が提携するドコモ口座以外の電子決済サービスでも不正な現金引き出し被害が発生していると明らかにしている。われわれ一般利用者も、いましばらく注視しておく必要がありそうだ。

Let's block ads! (Why?)


からの記事と詳細
https://ift.tt/33wcjen
ビジネス

No comments:

Post a Comment