NTTドコモの電子決済サービス「ドコモ口座」で、銀行口座から預金を不正に引き出される被害が相次いで報告されています。
現在、ドコモは全ての銀行(35行)について新規登録を10日から停止することを発表しました。
docomoの携帯電話や、ドコモ口座を利用していない人でも、突然銀行口座から預金を引き出されたという被害が報告されています。
被害報告のあった銀行はこちら
被害が報告されているのはこちらの10行です。
- 大垣共立銀行
- 紀陽銀行
- 滋賀銀行
- 七十七銀行
- 中国銀行
- 東邦銀行
- 鳥取銀行
- みちのく銀行
- ゆうちょ銀行
- イオン銀行
ドコモの携帯やドコモ口座を使っていなくても、こちらの銀行に口座をお持ちの方は、至急口座の取引明細を確認することをオススメします。
なぜ「ドコモ口座」を使っていないのに被害にあう?
今回の「ドコモ口座」で不正引き出しが必要になった原因の一つが、「ドコモ口座」が誰でも作れてしまうということです。
ドコモ口座の新規登録手順は以下の3ステップ
- dアカウントの作成
私も持っていますがメールアドレスのみの登録で作成できてしまいます。 - ドコモ口座の作成
(出典)NTT docomo - 銀行口座の紐付け
(出典)NTT docomo
問題が、第三者が作成した「ドコモ口座」に不正に入手した他人の銀行口座が紐付けできてしまうということです。
これは、厳密に本人確認していなかった「ドコモ口座」のシステムの問題と言わざるを得ませんね。
銀行口座の認証方法に問題も!
今回、被害にあったのはイオン銀行、ゆうちょ銀行以外は地方銀行です。
ドコモ口座に銀行口座を紐付ける際に、金融機関のページで認証をしなければならないのですが、その認証方法が「2段階認証」や「ワンタイムパスワード」や「乱数表」など、本人でなければ知り得ない情報を用いた認証でなかった事も原因の一つとなっています。
つまり、口座情報と暗証番号のみが一致すれば紐付け可能なだったということです。
今回用いられた手口は「4桁のパスワード」を固定して「その番号を使っている口座情報」を探すという、従来の「口座情報」から「パスワードを総当りで探す」方法とは逆のパターンでした。
口座番号を固定して何度もパスワードを間違えると「口座がロック」されてしまいますので、それを避けるために逆の方法をとったのでしょう。
不正に引き出された預金は戻ってくる?
もし、不正に預金が引き出されていた場合は、お金は戻ってくるのでしょうか?
銀行の不正取引にあったときは、「預金者保護法」というのが適用されます。
これにより、偽造・盗難カードを用いた被害については原則として補償されます。
ただし!!「重大な過失」や「過失」があった場合は補償されなかったり、補償が減額されてしまうこともあります。
では、その重大な過失とはどんなものでしょうか?
「重大な過失」とは?
- 本人が他人に暗証番号を知らせた場合
- 本人が暗証番号をキャッシュカード上に書き記していた場合
- 本人が他人にキャッシュカードを渡した場合
- その他本人に上記の場合と同程度の著しい注意義務違反があると認められる場合
「過失」とは?
- 金融機関から何回も暗証番号を変えるように言われていたのにもかかわらず、生年月日、自宅住所、電話番号、勤務先の電話番号、自動車のナンバーを暗証番号にしていて、免許証や健康保険証、パスポートなどのそれらの暗証番号を想像できるような書類と一緒にお財布やバッグに入れていた場合
- 暗証番号をメモして、キャッシュカードと一緒にお財布やバッグに入れていた場合
このような「過失」がない場合は、全額補償してもらえるそうなので、もし今回の「ドコモ口座」で被害にあった場合はすぐに金融機関に申し出ましょう。
まとめ
今回の「ドコモ口座」の不正引き出しの件ですが、SEの仕事を長年している私から見ても、システム上の問題の可能性大です。
ドコモ側か金融機関側かといえば、どちらもというところでしょう。
金融機関と支払いシステムの紐付けは、操作が面倒になったとしてもセキュリティを最優先にするべきです。
利便性とセキュリティの確保を両立するというのは難しい課題ではありますが、こういった不正利用があれば、サービスの存続にも関わる重大な問題ですからね。
以前、セブンペイがサービス終了になった例もありますから…
このような騒ぎになった以上、「ドコモ口座」もどうなるかわかりませんね。
