「ドコモ口座」被害、なぜパスワードだけで情報流出を防げないか

bizSPA!フレッシュ / 2020年10月8日 8時46分

写真

NTTドコモ本社 NTT Docomo Japan. © Tktktk

 2020年9月上旬に発覚した電子決済サービスを行う「ドコモ口座」の不正出金事件は、多くの人に不安感を与えました。それは、誰の身にも起こりうることだったからです。

クレカ詐欺

画像はイメージです(以下同じ)

 本来、銀行口座は厳格な身元確認がなされて開設されるもの。銀行で口座を開設しようとすれば、身分証での本人確認が必要です。それは口座がマネーロンダリングや振り込め詐欺などで犯罪者に悪用されないようにするためです。

◆不正出金が行われた経緯は…

 しかしドコモ口座においては、いくらでも他人になりすませるメールアドレスだけで開設ができるようになっており、そこが狙われました。犯罪者は実在する人物になりすましてドコモ口座の開設したうえで、不正に入手したその人の銀行口座番号と暗証番号を登録して不正出金を行ったのです。

 本人確認をしっかりと行わなかったことが、今回の事態を招きました。NTTドコモの発表によれば、10月1日時点の不正出金の件数は238件、被害額は2904万円です。

 もしかすると、この被害金額を聞いて、「騒がれたわりに、被害金額が少ない?」と感じた方も多いのではないでしょうか。その通りです。ここに一連の事件の真相のカギが見えてきます。

◆事件が起こってから対策を行うドコモ

NTTドコモ本社

NTTドコモ本社 NTT Docomo Japan. © Tktktk

 理由のひとつに、NTTドコモ側が1か月に出金できる金額を30万円に制限していたことがあります。2019年5月りそな銀行からの不正出金がありました。この時の口座開設はNTTドコモ回線の契約者に限られていましたから、不正発覚後に回線の契約者と口座の名義が一致しているかを確認するように改めて、さらに引き出し額の制限をしました。

 2重の対策を施したまでは良かったのですが、その後、NTTドコモユーザー以外にもサービスを拡大した際、メールアドレスだけで口座が開設できるようにしたのが失敗でした。今後は、口座開設時の本人確認をオンライン上で行い、SMS認証も導入していくとのことです。

 それにしても、不正事件が起こってから対策を行うという、ドコモ側の後手後手ぶりが目につきますが、ここには犯罪への危機意識の甘さがあります。その点は、9月10日の会見でも「悪意で口座を開く人を排除できるかという観点が抜けていた」(丸山誠治NTTドコモ副社長)と言っていました。

◆事業者に求められる「犯罪者がくる」視点

パスワード

 決済事業を行う業者はもちろんのこと、最近は、ゆうちょ銀行の発行するデビットカード「mijica(ミヂカ)」からの不正出金も多数あり、銀行を含めた業界全体が「犯罪者がこない」ではなく、「犯罪者がくる」ことを踏まえたうえで、しっかりとした対策を施さなくてはなりません

 今回のようなケースで、私たちが気をつけることはあるのでしょうか? 一時期、ドコモ口座からの不正出金の方法に「リバースブルートフォース」という、暗証番号を固定しておき、口座番号を何度も入力する方法が使われたのではないかと騒がれました。暗証番号を間違えるとロックがかかりますが、これならいくら間違えてもアクセスが可能です

 もしこれが本当ならば、私たちは推測されやすい暗証番号を使わないこと以外に、身を守る術はありません。それこそ、大パニックです。が、私は当初から懐疑的でした。これまでに地方銀行から大量の不正なアクセスがあったという話や、この手法が行われたという報告はありませんし、詐欺師たちが普段行う効率性を考える観点からも疑問符がつくからです。

◆フィシング詐欺の可能性が

 ドコモ口座へのチャージは1か月30万円です。これだけの攻撃をしかけて暗証番号を手に入れても、1人の客からこの金額しか取れません。数百、数千万円を詐取するために行うならわかりますが、この程度の金額のために、地方銀行へ手間のかかる繰り返しの攻撃を仕掛けるでしょうか。あまりにも割に合わない手段ではないか。本当にこの手法が銀行側の気づかないところで行われていたら、被害金額はもっと高額になってもいいのではと思うのです。

 このあたりの真相ははっきりとしていませんが、私としては、メールなどで個人情報を抜き取るフィシング詐欺をしてから、不正出金を行った可能性が高いと考えています。

 相手が差し出した情報からアクセスした方が効率もよいですし、思ったほど多くない被害金額、件数の状況からみても、うまく情報がはまった人からだけ不正な引き出しを行った結果だと思われるからです。実際に昨年末、地方銀行を騙ったフィシング詐欺メールが大量に出回っていたという報道もあります。

◆怪しいメールのURLはタップしないこと

不正出金

 銀行を騙って送られたメールから、偽サイトに誘導されると、利用者のIDやパスワードなどの個人情報が盗まれます。それを使って、銀行サイト内に入られると、名義や銀行口座番号が知られます。もしかすると、パスワードに暗証番号を組み入れている人もいるのではないでしょうか。さらに生年月日も知られてしまえば、手慣れた犯罪者なら暗証番号を推測するのは容易でしょう。もしかするとポップアップで、暗証番号を入力させる偽画面を出すことも考えられます。

 そこで私たちが気をつけるべきことは、送信されてきたメールやメッセージに載るURLはタップせず、事前にブックマークしておいたところからアクセスするか、検索サイトから出てきた正規のサイトでログインすることです。たとえ送信先に大手の銀行名が書いてあっても信じてはいけません。偽造されて送られてきているからです。

 怖いのは、ネット歴が長い人ほど、過去に知らぬ間に偽サイトにログインして、IDやパスワード情報が悪意ある第三者に知られている可能性があることです。それに普段の生活でも、絶対に暗証番号が洩れないとはいえません。

◆面倒でもパスワードと残高には注意を

 私も過去に、毎月の支払を口座引き落としにするために、店側が差し出した端末に銀行の暗証番号を入れたこともありますし、テレホンバンキングで残高照会をする時、暗証番号を電話のボタンで押したこともあります。もし「あれが偽物だったら」と思うと、ぞっとします。こうなると、どこで情報が流出しているかわかりませんし、裏の世界で私たちの個人情報が売り買いされている可能性もあります

 そこで注意したいのは、パスワード使い回さず、容易に推測されないように、自分の電話番号や誕生日を暗証番号に組み入れないことです。日頃、面倒臭さから、残高確認をしていない人も多いかもしれませんが、これも危険です。今後も、キャッシュレス決済を利用する機会は増えていくと思いますが、常にドコモ口座のような事案が起きることも考えて、口座の不正な出金状況を確認してください。

 これは今、多発しているクレジットカードの不正利用にもいち早く気づけるという一石二鳥の対策にもなります。

<TEXT/悪徳商法評論家 多田文明>

【多田文明】

詐欺・悪徳商法に詳しいジャーナリスト。これまでの勧誘先への潜入数は100か所以上。あらゆる詐欺・悪徳商法に精通している。多数のテレビ・ラジオに出演し、著書に『ついていったらこうなった』(彩図社)『だまされた!だましのプロの心理戦術を見抜く本』(方丈社) Twitter:@tadabunmei

この記事に関連するニュース

トピックスRSS

ランキング