ドコモと地銀、こんなにもセキュリティがずさんな連携は何のため？消費者に手痛いとばっちり

LIMO / 2020年9月16日 20時20分

NTTドコモの電子決済サービスである「ドコモ口座」。すでにご存知のように、連携している地銀から不正に預金を引き出す事件が発覚しました。報道されている経緯からすれば、さもありなんです。

巷では、地銀が悪いとかNTTドコモが悪いといった論調が幅を効かせています。もちろんそうなのです。ただ決して両社を擁護するわけではありませんが、一番悪いのは口座情報を盗んで現金化する犯罪者です。日進月歩の情報セキュリティが確保されていたとしても、犯罪者は狡猾な奴らばかり。この手の金融犯罪はなくなりません。

一方で、地銀もドコモも“現代のお金”を扱う覚悟がなっていません。銀行口座からドコモ口座への資金移動はその銀行の口座名義・口座番号・暗証番号を登録すれば可能でしたが、そんなもの、プロ犯罪者にとっては簡単に手が入るものでしょう。実際、簡単だったからこそ今回の事件が発生したわけです。二重三重のセキュリティがなかったのがまず欠陥です。

そもそも、なぜドコモが擬似銀行口座を持つ必要があるのか？

そもそも金融取引をするのに、なぜドコモ口座を使わなければならないのか。それは、銀行口座やクレジットカードを直接使うよりもメリットがあるからでしょう。

もちろん、AさんからBさんに送金したり、あるいはAさんがレストランCで支払いしたりする際に、必ずしもドコモ口座は必要ではありません。なぜなら、Bさんから銀行口座を教えてもらえれば送金できるわけですし、送金手数料がかかるのが嫌なら現金を渡せば済みます。それでもダメなら、ペイペイ等の大手決済代行システム（銀行口座・クレジットカード連携等）を利用してもいいですし、割り勘も可能です。

レストランCへの支払いが数万円と金額が張って既存の決済システムで支払えないのであれば、直接クレジットカードで払えば済む話です。クレジットカードがなければ、現金で払えばいいだけです。ただ、決済履歴によっては高額になるとペイペイ決済が使えないこともあります。ちなみに、筆者の1回あたりのペイペイ決済上限額は今のところ2万円です。

本来、決済代行のシステムは、それを利用する関係者それぞれにメリットがなければ拡大するはずはありません。では、ドコモ口座の場合はどうか。あえて、今回被害にあった地銀・ドコモ口座の拡販と犯罪者の立場で考えるとこうなります。

地銀はドコモ口座を利用するメリットがあった。つまり、ドコモ口座を展開しているNTTドコモから、いくばくかの手数料が地銀に入る。

ドコモにすれば、地銀顧客の囲い込みができる。地銀口座からのチャージや地銀クレジットカードを使いながら、さらにドコモ口座利用によるdポイント獲得もできるというプロモーションにもなる。

地銀口座はドコモ口座とのリンクが容易。

サービス拡大・口座獲得のため、セキュリティが甘い。

犯罪者は、このギャップを利用して、不正に入手した地銀口座情報をドコモ口座にリンクさせ、預金の引き出し（＝現金化）を図った。

このように思料しますが、大きな疑問はなぜNTTドコモが“決済口座”を持たなければならなかったのか？ということです。疑似預金口座であるドコモ口座をスルーして資金を右から左に流すだけでは儲かりませんし、システム構築費用やキックバック・宣伝費を考えただけでも、数億円の投資ではペイしないでしょう。ドコモ口座の存在理由は何だったのでしょう…。

目的はバーチャル銀行創設？

もしかしたら、ドコモによる銀行業務進出の取っ掛かりだったのかもしれません。ライバルのAUは三菱UFJフィナンシャル・グループと組んで、「じぶん銀行」を展開しています。ソフトバンクに銀行はありませんが、ペイペイで資金決済を押さえる戦略があります。

しかしながら、NTTは決済ネットワークは提供しても、独自の銀行も決済サービスもありません。そこでドコモ口座を地銀に展開したのではないでしょうか。メガバンクは各行ともにインフラを押えているので、わざわざドコモ口座と連携して自行のキャッシュフローを仲介させる必要はありません。

逆に地銀は、自行独自の決済仲介サービスを展開できる体力がないためにドコモ口座と組んだのかもしれません。そういう意味では、単独で決済ビジネスに金をかけられない地銀と、その脆弱性が露見していたドコモ口座が狙われたのは必然とも言えます。

ちなみに、巨大になったペイペイには、いまのところ三菱UFJ銀行からチャージはできません（2020年9月14日現在）。銀行によっては、めったやたらに決済サービスとリンクさせないところもあるというわけです。

それでも、まだ疑問は残る

さて、ドコモ口座をスルーしても、現金を引き出すにはATMまたは銀行窓口を利用することになります。それが無理なら、ドコモ口座でモノを購入し、それを売って換金するしかありません。

報道でも明らかなように、前者の場合資金の引き出し地銀預金口座は詐欺行為で不正入手しています。一方、その資金を現金で引き出す際は、他銀行口座にドコモ口座をワンクッション以上噛ませて送金して引き出すかしかありません。ATMなら覆面でやり過ごせるかもしれませんが、対面窓口で現金を引き出すのは自殺行為です。

いずれにせよ、銀行の利用はほぼ防犯カメラで捉えられていますので、銀行口座経由で現金を直接引き出す場合、①資金引き出し口座入手リスク（ウェブ利用履歴）と、②当該もしくは他行口座のATM利用画像履歴補足リスク、という二重のリスクにさらされます。

言い換えると、ウェブ上であれリアル窓口であれ、犯罪者は自らの犯罪痕跡を消せない限り、検挙リスクに晒されるわけです。この痕跡を消せるかもしれないと思われたのがドコモ口座なのでしょうね。

一方、後者の場合、資金送付先のドコモ口座が本人確認不十分なまま不正に開設されていれば、モノを買って資金を引き出した後に口座を閉鎖すれば、それ以上追及はできません（取引履歴はサーバー上に残っている可能性あり）。

もっとも、何百万円を一気に引き出すと引き出し元の預金者に気づかれやすいので、小口での換金を行っているところが今回の犯罪の特徴と言えるでしょう。

問題は、換金時に使うであろうフリマ業者や最終購入者が“善意の第三者”であることです。現金とモノを自由に交換できるプラットフォームがある限り、いつでも現金化は可能なのです。今回は被害額をNTTが被害額を補償すると表明しており、被害者が救済される方向であることは何よりです。