ドコモ口座事件で分かったリスク、銀行口座紐付けのどこが問題?
ドコモ口座を通じた不正引出し事故は、その後11行で被害が発覚しました。そして、本事故への認知が広まるにつれて、不正引…[続きを読む]
ドコモ口座不正引出し、被害者になり得るのは誰?
ドコモ口座を通じた銀行口座からの不正引出し事故は、日本中の人々を不安にさせています。
この不正引出しは、ドコモ口座と「銀行口座との紐付け」を、犯人が不正に入手した第三者の銀行口座、暗証番号、口座名義人の情報を使って違法に行うことで可能になります。
この事故の怖いところは、ドコモ携帯の利用者ではなく、ドコモ口座の利用者でもない人が被害者になり得ることです。それは、端的に言うと、ドコモ口座の開設手続きが杜撰であることが原因です。
では、どのような人が被害に遭う可能性が高いのか?事故の現状は? 分かり易く解説します。
目次
1.ドコモ口座を通じた不正利用は誰もが被害者になる!
ドコモ口座を通じた銀行口座の不正引出し事故(不正利用)は、その被害額が増えています。
9月24日午後8時現在、ドコモ口座からの不正引出し事故のその後の状況です。
・不正引出し件数211件、事故発生銀行数 11行、被害総額2,833万円
なお、NHKニュースから、事故が発生した銀行11行のリストが発表されています。
- 七十七銀行
- 大垣共立銀行
- 中国銀行
- 東邦銀行
- 鳥取銀行
- 滋賀銀行
- 紀陽銀行
- みちのく銀行
- 第三銀行
- ゆうちょ銀行
- イオン銀行
また、ドコモ口座への送金が可能な銀行は、事故前は35行であったのが、現在6行となっています。
その他、PayPayやLine Pay、Kyashなど、ドコモ口座以外のアプリ決済を通じて、ゆうちょ銀行他数行で不正引出しが発見されています。現在、不正引出しが見つかった銀行では、チャージ機能を停止し、新たな銀行口座紐付け手続きも停止されています。
被害額が1件当たり多くても30万円なのは、ドコモ口座に銀行口座からチャージできる金額の1ヶ月の限度額が30万円だからです。中には月を跨いで60万円の被害に遭った人もいるようです。
1-1.誰もが被害者になり得る事故
スタート早々からトラブルと不正が相次いだセブンペイの事件が記憶に新しいかと思いますが、セブンペイの事故と比較をしても、今回のドコモ口座を使った事故の方が深刻です。
理由は、「ドコモ口座と紐付けが出来る銀行に口座を持っていて、その口座情報を第三者が不正入手した場合には、その第三者がキャッシュカードを持っていなくても、ネットバンキングへアクセスできなくても、なりすましをしてドコモ口座を作ってしまうと誰もが被害者になり得る」からです。
なお、模倣犯や愉快犯を防止するために、事故が発生した銀行名や詳しい手口は発表されていません。心配な方は、各銀行のHPで発表されている情報を確認してください。お知らせの例をあげておきます。
【参考】七十七銀行:「ドコモ口座」を利用した当行口座の不正利用への対応について
https://www.77bank.co.jp/pdf/oshirase/20091001_dcmfuseitaiou.pdf
1-2.ドコモ口座の現状について
9月14日現在、ドコモ口座の新規開設は停止されていますが、ドコモ口座との紐付けが出来る35行のうち、チャージを停止している銀行は22行であり、13行でチャージは可能となっています。
この13行は、事故が報告されていないこと、紐付け手続きが厳格であるということから、今後もチャージは継続する見込みとのことです。
9月15日現在、チャージ可能銀行一覧という形でドコモのHPにはありませんので、こちらの提携金融機関一覧から、口座を持っている銀行が該当するかどうかを確認して、銀行のHPで確認をするのが確実となります。
【参考】ドコモ口座:対象金融機関
https://docomokouza.jp/detail/bank_list.html
留意すべき点は、第三者が勝手に作ったドコモ口座は本人がその存在を確認することが出来ないことです。銀行口座の方で確認をする必要があるので、一番確実なのは通帳記帳をすることです。
現在のところメガバンクでは事故が発生していませんので、事故が起きている銀行で、比較的多くの人が口座を持っているのはゆうちょ銀行です。通帳記帳をお勧めします。
1-3.銀行口座からの不正引出しの方法とセキュリティの盲点とは?
具体的な手法は以下の通りです。
| ①銀行口座情報を入手した被害者に成りすまして、ドコモ口座を開設する。 (現在ドコモ口座の新規開設は停止されているが、ドコモ口座はメールアドレスだけで簡単に開設出来た。) |
| ⇩ |
| ②不正に開設したドコモ口座に被害者の銀行口座を紐付けする。 (この手続きがドコモ口座の本人確認手続きとなっているので、ドコモ口座で買い物が出来るようになる。) |
| ⇩ |
| ③紐付けした銀行口座からドコモ口座にお金を送る。 (この段階で被害者は、通帳を記帳すると身に覚えがない引出しを把握出来る。引出しは、「ドコモコウザ」や「ディバライ」と記載されている。) |
一連の手法の中で、セキュリティの盲点は次の通りとなります。
①ドコモ口座がメールアドレスだけで作成が出来ること
(規約ではひとり1口座しか作れないことになっているが、それも確認する術がないこと)
②ドコモ口座と紐付けされる銀行口座側の手続きが簡単な設定である銀行があること
(銀行口座番号、名義人氏名、暗証番号の3つだけの銀行で多数の事故が起きていますが、具体的には発表されていませんので、それ以外の手続きがあっても発生している可能性は否定できません)
2.銀行口座との紐付けが本人確認続きとして認められている日本の特殊性
ドコモ口座は、本人確認手続きをすると、ドコモ口座を持っている人に一定額以下であれば送金をすることが出来ます。
仮に今回不正引出しされたお金が犯人の銀行口座に送金されてしまえば、指定された銀行口座やセブン銀行のATMで引き出すことが出来ます。これはマネーロンダリングという犯罪行為になります。
ここで、本人確認手続きについて少し深掘りをしたいと思います。
ドコモ口座の場合は、この「銀行口座との紐付け手続き」が本人確認手続きになっています。これは、銀行口座に関する暗証番号を知る人は、その銀行口座の名義人だけだからというロジックに基づくものです。
2-1.「銀行口座との紐付け」とは?
銀行口座との紐付け手続きについては、実際にやった事がない人にはピンとこないかもしれません。
この手続きは、従来は、電気代やガス代などの口座振替(収納代行)に使われていた機能です。
以前は、用紙に銀行口座情報と銀行の届出印を押して、銀行内で確認手続きをしていたものと基本的には同じものです。
銀行への届出印を押して、その印影で本人からの申請であることを確認していたものを、ネットを通じて暗証番号を代わりに使うようになっています。
この手続きは、従来はB to Bで使われることを想定したサービスであったものを、B to Cに開放したことで、今回のように悪意を持って利用する人が使うというリスクがあることが露呈しました。
今後は、今回の事故が起こっている手続きが比較的緩い地方銀行も、手続きを厳格化する必要性に迫られています。
ただし、この銀行口座との紐付け手続きを、金融庁は本人確認手続きとして認めています。
紐付け手続き自体の厳格性に差があることを想定していなかった点で、金融庁の判断も甘かったと言えると思います。
2-2.本人確認手続きはどんな場合に必要なのか?
本人確認手続きは、一般的にKYC(Know Your Customerの頭文字となります)と呼ばれています。
これは、銀行で新しく口座を開く場合や、不動産を購入する場合などに必要なものです。
事業者が自発的に行うこともありますが、多くの場合、KYCは、法律で要請された場合に行っています。
従って、その手続きとして、何が認められているかも法律によって定められています。通常は、免許証やマイナンバーカードなどでKYCを行います。
海外でも、KYCとして何を認めるかについては、必要とされている取引の重要性によって定められています。
しかしながら、その中に、今回のような銀行口座との紐付け手続きをKYCと認めているものは、筆者が知る限りありません。
この意味で、この手続きをKYCとして認めていることは、日本独特のものであると言えるでしょう。
今回の事故により、ドコモ口座以外の決済手段でも、銀行口座との紐付け手続きが不正に行われた事故が見つかっていますので、今後は、このルールも変更される可能性が高いと思われます。
銀行口座との紐付け手続きの詳細については次の記事をご覧ください。
3.なぜ地銀が危ないのか?
日本では、海外でも事業活動を行えるメガバンクと、原則として日本国内をメインとして事業を行う地方銀行(以下、地銀と略します)では、銀行法やその他の法律で、様々な規制において、メガバンクに厳しいものとなっています。
それが、結果的に、ネット取引等でワンタイムパスワードを発行する、暗証番号以外の個人情報や口座名義人しか知り得ない情報を使って不正行為を防止する等のレベルが、相対的に地銀の方が低くなっているのです。
今回の銀行口座との紐付け手続き以外にも、地銀は手続きが甘いというところを突かれて、外貨送金などでマネーロンダリングが行われていたとして金融庁から指導を受けた地銀もあります。
今回のドコモ口座の事故に関しては、ドコモ口座側で、第三者が本人に成りすましをしてドコモ口座を開設したことを、本人に通知することは事実上不可能に近いです。
特に、ドコモ口座との提携金融機関になっている地銀に口座を持っている人は、通帳記帳をして不正利用をされていないか?について、ご自身で確認をすることをお勧めします。
4.不正利用への対策
この記事を書いている9月15日の段階で、総務庁から、「ドコモ口座以外にも5つの電子決済サービスで不正利用が見つかった」という発表がされています。
【参考】NHK:「ドコモ口座」以外の5つの電子決済サービス 不正引き出し確認
https://www3.nhk.or.jp/news/html/20200915/k10012618701000.html
しかしながら、模倣犯や愉快犯を防止するために、具体的な手口や、どのような人が今回被害者になっているかについては、詳細は総務庁からもドコモからも説明はされていません。
通帳記帳を行う
記事を読んでいる方に安心して頂くためにも、仮に不正利用をされても、その被害額は補償されるとドコモから発表されているということをご理解下さい。
銀行によっては、利用者から多くの問い合わせがあるらしく、いくつかの銀行では、今回の事故に関連して「お知らせ」を銀行のHPで出していますので、まずは、それを確認して頂くことをお勧めしたいと思います。
そして、出来れば、普段あまり使っていない銀行口座についても、通帳記帳を行って、不正利用がないか確認しましょう。
不正利用の疑いがあれば問い合わせ
万が一、不正利用らしきものを見つけたら、落ち着いて、銀行にその旨を連絡してください。
恐らく、多くの銀行でたくさんの問い合わせがあり、また、問い合わせと見せかけて、悪意を持った人からのアクセスがあることも想定して、銀行では問い合わせの時に、銀行口座の名義人であることを厳格に確認しているはずです。
ですから、万が一、お持ちの銀行口座に不審な取引があっても、落ち着いて、必要な情報(銀行に届けてある個人情報、暗証番号、届出印は手元にあるかどうかなど)を整理してから問い合わせをしましょう。
当サイトでは、本事故の重要性に鑑み、必要に応じて、今後も記事をアップしていきますので、ご参考にして頂きたいと思います。
執筆
荒井 薫(あらい かおる)
荒井 薫(あらい かおる)
労働省→公認会計士→コンサルタント→事業会社CFO&国際ブランド付きプリペイドカード事業の立ち上げをやりました。子供の頃から物書きになりたかったため、書く感性を磨きながら、皆さんに様々な情報をお伝えしていければと思っています。
荒井 薫 ブログサイト
この執筆者の記事一覧
