「ドコモ口座」不正被害に見たもたれ合いの唖然 ドコモと金融機関の両方に責任と甘さがある
実際、今回の被害者はすべてドコモ以外の通信会社を利用している人だったという。9月10日に記者会見したドコモの丸山誠治副社長は、「われわれのサービスをすべてのお客に開放し、会員基盤を広げるという趣旨の中で、(メールアドレスのみによる口座開設という)簡易な手段を取っていた。ただ本人確認が十分でなかったと反省している」と謝罪した。会社側はドコモ口座の数を開示していないが、直近のドコモ口座へのチャージ件数は1日当たり1万3000件あったという。
サイバーセキュリティに詳しいEGセキュアソリューションズの徳丸浩代表は、「サービス開始時にセキュリティ面を作り込んでも、仕様変更に合わせたセキュリティ面の修正をしないことが多く、それがリスクになる」と指摘する。
ドコモは再発防止策として、ドコモ口座に銀行口座を登録する際にこれまでのメールアドレスによる認証だけでなく、携帯番号宛に認証に必要な番号をSMS(ショートメッセージサービス)で送信する二要素認証を「可及的速やかに導入する」(ドコモ)。さらに「eKYC(Electronic Know Your Customer)」と呼ばれる、運転免許証など本人確認書類を撮影し提出するシステムを9月末までに導入する予定だ。
スマホ決済業者間の競争が激しくなる中、ドコモは回線契約者以外への決済サービスの拡大を急いだことが裏目に出た。通信会社系では、KDDIの「au PAY」やソフトバンク系の「PayPay」があるが、いずれもアカウント開設時にSMSによる二要素認証を実施している。さらに口座を連携する際に「自社の基準に照らし、(今回被害を出しているような)認証要素の少ない銀行に関しては、当社側の仕組みでeKYCを通さないと入金できないようにしている」(PayPay広報)という。
不正にチャージされたお金を使えないようにするには、スマホ決済業者がセキュリティ強化でせき止めなければならない。ドコモの場合、それが不十分だった。
二要素認証を”省いた”銀行
2つ目の問題は銀行側にある。銀行口座とドコモ口座をつなぐ際に、セキュリティの弱い方法を用いていた。
被害が確認された12の銀行は、「Web口座振替受付サービス(以下Web口振)」というシステムで口座接続をしていた。接続に必要なのは氏名、口座番号、生年月日、4桁の暗証番号。それらの情報を不正に入手すれば、第三者が勝手に口座接続ができる状態だった。
銀行口座と外部サービスを接続する際にセキュリティを高めるうえで、二要素認証は欠かせない。ドコモ口座との接続でも二要素認証を用いる銀行はあった。
現時点で被害の出ていないみずほ銀行は、自社のインターネットバンキングを経由して、ドコモ口座と接続しており、取引ごとに使い捨ての「ワンタイムパスワード」を発行していた。インターネットバンキングを契約していない顧客には認証の条件として物理的な通帳を求めており、通帳に記帳されている最終残高を入力しなければならない方式を取っている。
