「ドコモ口座」を悪用した預金不正引き出し事件
更新日:
先週9月3日に仙台市の七十七銀行が気付いて下さったことを契機に、NTTドコモの電子決済サービス「ドコモ口座」が悪用され、複数の地方銀行口座から預金が不正に引き出されていたという重大な事件が発覚しました。
「ドコモ口座」というのは、連携させた銀行口座やコンビニからチャージ(事前入金)を行い、様々な支払いを行うことができるNTTドコモが提供している電子決済サービスです。
金融庁が所管する『資金決済法』に基づく登録事業です。
この犯行の手口についてはかなり詳しく報道されているのですが、未だ「私は、ドコモ口座を持っていないから大丈夫」と思い込んでいる方も居られるようだと聞きましたので、この事件について、書かせていただきます。
犯人の手口は、次のようなものだと想定されています。
①犯人が、フィッシング詐欺など何らかの不正な手段で、被害者の氏名・生年月日・銀行口座番号・キャッシュカード暗証番号などの認証情報を入手する。
②犯人が、被害者名義で「ドコモ口座」を開設する。
③犯人が、不正に入手した情報を悪用し、銀行口座と「ドコモ口座」を連携登録する。
④犯人が、銀行口座から「ドコモ口座」に預金を移動して、窃取する。
つまり、自ら「ドコモ口座」を開設していない方でも、NTTドコモの提携先である35の金融機関に預金口座を持っておられる全ての方々が被害者になり得る犯行です。
9月9日時点で、NTTドコモは、悪用されたとみられる「ドコモ口座」を利用停止にするとともに、要請のあった一部銀行についてはチャージと出金を停止し、9月10日から提携先の35行全ての銀行口座と「ドコモ口座」との新規連携を停止することを発表しました。
被害に遭った銀行に共通する点としては、銀行口座と「ドコモ口座」との連携登録時に、銀行側システムで二段階認証を導入していなかったことが挙げられます。
NTTドコモでは、メールアドレスのみで「ドコモ口座」が開設可能でした。犯人が他人になりすまして口座を開設することが、簡単にできたのです。
「資金移動業者」として、本人確認手続をより厳格に行う必要がありました。
NTTドコモは、9月9日に、本人確認手続の厳格化に取り組む旨を発表しています。
「本人確認をオンライン本人確認システム(eKYC)で確実に行う対策を講じた上で、再開時期を検討する」ということ、「更なるセキュリティ強化に向けてSMS認証も導入する」ということでした。
eKYCというのは、「electronic Know Your Customer」の略称で、オンライン上での本人確認です。
d払いアプリで、顧客と運転免許証など写真付きの本人確認書類を撮影し、撮影画像のアップロードを行い、撮影画像の人物と本人確認書類上の人物の同一性を確認するということでした。
『資金決済法』に基づくサービスに係る事件ですので、金融庁の所管ではありますが、総務省としても、9月10日までの間に、NTTドコモとゆうちょ銀行からヒアリングを行い、実態と対応の方向性を確認しました。
今回の犯行については、各銀行が提携している「ドコモ以外の即時振替サービス事業者」についても同様の事案が発生している可能性が高いと考えられますので、未だ事件の全容解明には時間がかかると思います。
自らが被害に遭ったかどうかを預金者が確認する為には、銀行まで出かけて通帳の記帳をして不正引き出しの有無を確認したり、スマホで残高を確認したりしなければなりませんが、ご高齢の方や、障害をお持ちの方や、金融機関の支店が近隣に無い地域にお住まいの方にとっては、大変な作業です。
長期にわたって預金不正引き出し被害に遭ったことに気付かないままの方も居られるでしょう。
提携先の各銀行は大変な混乱の中にあるとは存じますが、顧客の口座から「ドコモ口座」へのチャージの有無を銀行側で確認した上で、顧客に郵便などで通知していただけると、多くの方が助かると思います。
銀行や即時振替サービス事業者など関連事業者におかれましては、利用者の方々が安心して電子決済サービスを利用できるよう、セキュリティを強化して再発防止に取り組んでいただくとともに、被害に遭われた方々への補償など誠意ある対応を行っていただきたいと希望します。
金融庁が実施している「Delta Wall」や総務省所管のNICTが実施している「CYDER」など各種サイバーセキュリティ演習に、地銀、信金、信組、農協などを含む金融機関やクレジット事業者などから、できるだけ多数の職員の方々に参加していただくことも、期待しています。
私たちサービス利用者も、気を付けなければなりません。
金融機関やクレジット事業者を騙るメールから偽サイトに誘導されて、自分の口座番号や暗証番号を入力してしまうことが無いよう、面倒であっても取引のある金融機関やクレジット事業者の公式サイトからアクセスすることです。
私も、ネット通販で買い物をすることがありますが、代金支払いに利用する銀行口座の残高は、必要最低限の金額にキープしています。
通販事業者がサイバー攻撃を受けて、自らの金融機関情報が流出する可能性もあるからです。
キャッシュレス決済については、皆様の利便性を向上させ、新型コロナウイルス感染症の感染を予防する「非接触」の取引を可能にするものとして、一層の普及が求められています。
利用される方々や店舗の皆様が安心して決済手段として利用できるよう、セキュリティが確保されることが何よりも重要です。
(一社)キャッシュレス推進協議会が事業者向けに作成している『コード決済に関する統一技術仕様ガイドライン』では、セキュリティ確保の観点から、登録時における厳格な本人確認や、銀行口座と紐付ける場合の権限の確認などを求めています。
金融庁、経済産業省、総務省など関係省庁や(一社)キャッシュレス推進協議会が連携し、キャッシュレス決済の安全性確保に努めていかなければならないと痛感しています。
