事実を整える

Nathan(ねーさん) ほぼオープンソースをベースに法的観点を含む社会問題についても、事実に基づいて整理します。

ドコモ口座詐欺事件の原因まとめ:連携銀行口座があれば被害者になりうる

ドコモ口座事件

不審な引き落としが無いか確認しましょう。

ドコモ口座詐欺事件まとめ

ドコモ口座事件とは【身に覚えもないのにドコモ口座が自分の銀行口座番号で勝手に開設されて、口座から預金を引き落とされる(ドコモ口座に口座振替される)被害が発生した事件】と言えます。

  1. ドコモ口座と連携している銀行に口座を持っている
  2. その銀行が当該サービスの認証に際してオンラインバンクの認証方法を採っていない
  3. ユーザがSMSによる二段階認証を使っていない

まとめると、こうした条件が合わさった場合に被害者となりうると考えられます。

刑法上は詐欺罪や偽計業務妨害罪に該当し得ると思います(詳しく検討はしてませんが)

ドコモ口座事件については、「7Payおじさん」として解説に奔走した澤田翔 氏が書いた「ドコモ口座」不正利用、新たな犯罪を許す銀行のセキュリティの大問題 | News&Analysis | ダイヤモンド・オンラインが最も詳細です。

誰でも被害者になりうるドコモ口座事件

  1. ドコモ口座を開設していなくても(開設した覚えが無くても)被害にあう
  2. ドコモと契約していなくとも被害にあう
  3. 携帯電話を持っていなくとも被害にあう
  4. ドコモ口座と連携している銀行には口座を持っていない⇒大丈夫

このように、誰でも被害者になりうるドコモ口座事件ですが、連携銀行に口座を持っていなければ、今回の一連の被害にはあわないことになります。

また、銀行によっては連携の際の認証方法が厳格であるために被害が起こりにくい銀行もあります。

どの銀行が被害を受けたのか:主に地銀

ドコモ口座と連携している銀行といっても、口座開設の際の認証方法はそれぞれ異なるようです。

「ドコモ口座」不正利用、新たな犯罪を許す銀行のセキュリティの大問題 | News&Analysis | ダイヤモンド・オンライン

今回の七十七銀行、中国銀行ともに口座番号と暗証番号のみでネット口振の設定ができる金融機関であったことから、犯罪者に狙われてしまったものと思われる(三井住友銀行など一部の金融機関は今でもオンラインバンキングの認証方式のみを許可しており、安易な認証は導入されていない)。

今回、被害者は地方銀行に口座を持っている者が多いようで、大手銀行は比較的安全かとは思いますが、それでも被害が発生していないかの確認はしておいた方がいいでしょう。

現在は新規登録をすべて停止

現在は連携している35の銀行全てで当面、新規登録を停止しているようですが、被害を受けたことに気づいていない者もまだいると思われ、今後、被害者と金額は増えると思われます。

ドコモ口座事件を悪用した更なる詐欺が発生する予感

「あなたの銀行口座がドコモ口座から引き落とされてしまいました、つきましては…」

みたいな詐欺メールがくる可能性があります

(既に発生しているというツイートも散見される)

金融庁報告事案

「ドコモ口座」不正引き出し、昨年5月にも りそな銀で同じ手口 教訓生かされず? - 毎日新聞

NTTドコモの電子マネー決済サービス「ドコモ口座」で提携する銀行口座から不正に預金が引き出された問題で、2019年5月にも同様の不正被害があったことが9日、明らかになった。ドコモはその後も本人確認を厳格化する対応をとっていなかった。今回の問題では本人確認の甘さが指摘されており、過去の教訓が生かされなかった可能性がある。

中略

ドコモは、対策として銀行口座から1カ月の間に入金できる金額の上限を引き下げた。だが、本人確認を厳格化する対応はとらなかった。ドコモ口座を巡る問題では、口座を開設する際や銀行口座をひも付ける際の本人確認の甘さが指摘されており、当時もこうした不備を突かれた可能性がある。当時の対応についてドコモは、「銀行と協力をして改善を図った」(広報部)とコメントしている。

この事件ではりそな銀行から引き落としがなされたため、りそな銀行によるドコモ口座開設を停止したようですが、本人確認の強化はしてこなかったようです。

こんなもの、金融庁報告事案でしょう。

ドコモと銀行、どちらが悪いのか?

ドコモと銀行の契約関係で言ったら【圧倒的に銀行が悪い】でしょう。

ドコモは銀行が適切に認証する事を期待してるからこそ身分証明書不要のサービスにしたんでしょうから。また、口座番号と暗証番号の入力画面は、銀行側の画面に遷移していたはずです。

今回、同一の暗証番号に対して口座番号を総当たりで試すという「逆総当たり攻撃」によってセキュリティが破られたようですが、この仕組みについては澤田翔 氏が以下指摘しています。

一般に銀行では暗証番号を連続して数回間違えると動作がロックし総当たり攻撃を防ぐ仕組みが導入されている(FISCという金融機関向けのセキュリティルールで定められている)。銀行のATMで暗証番号を連続して間違えるとカードが使えなくなるのもこの仕組みが働いているからだ。
 これはキャッシュカードのように攻撃者がIDを指定できない場合はよいが、今回のネット口振のように口座番号が入力できるシステムである場合、同一の暗証番号に対して複数の口座を連続して試す「逆総当たり攻撃」が可能で、これに対する防御は難しい。もし逆総当たりで銀行口座を凍結させてしまうと、凍結の仕組み自体を悪用してオンラインバンキングを機能不全に陥れることができてしまうからだ。そこでGoogleなどのネット大手ではAIを活用した振る舞い検知で逆総当たり攻撃を防いでいるが、そうした仕組みを地方銀行が導入するのは時間がかかるだろう。

なので「逆総当たり攻撃」が実行されうる入力フォームであること自体は仕方がない。

(AIを利用した不審な操作の検知というのは、「ロボットではありませんか?」にチェックを入れる、「車の画像を選択してください」と画像をクリックさせるなどのアレ)

ドコモの法的責任もある

しかし、一般国民の目線からは『どっちも悪い』です。

ドコモは銀行側がどういう認証方法を採ってるのか確認せずに(或いは放置して)サービス作って連携させたってことですから。しかも昨年のりそな銀行の件があったにもかかわらず。

マネロンの温床を作っていることでもあり、社会的にも問題のある手続方法でしょう。

ドコモは銀行と協議したうえで全額補償するようですが、責任の振り分けかたをどうするべきかは難しいところだと思います。

テレビメディアはドコモ口座事件を報道するのか?

さて、テレビメディアはドコモ口座事件を報道するのでしょうか?

一部は朝のワイドショーで放送していたようですが、多くはスポンサーにドコモがいるでしょうから、どうなんですかね?

事件の構造の詳しい解説はとりあえずは不要で、まずは自分が被害にあっていないか確認させるよう、事件の存在そのものを周知させるべきだと思うのですが。

以上