｢ドコモ口座｣不正被害に見たもたれ合いの唖然 ドコモと金融機関の両方に責任と甘さがある

つまり、被害のあった12行は簡易的な方法を選択したために狙われた形だが、現実的には「Web口振を使うしかなかった」（地方銀行幹部）という。「決済サービスが増え、すべてに自前で接続するのはコストがかかる」（同）からだ。 そうした地銀では、「メルペイや楽天Edyをはじめ、ほかの決済サービスもWeb口振でつないでいる」（中堅地銀行員）という。

対策として「Web口振を継続しつつ、最終残高の入力など二要素認証を加える検討をしている」（前出の地銀幹部）と言うが、別の地銀関係者からは「すぐに実装するのは難しいかもしれない」という本音も漏れる。その間、接続する決済事業者のセキュリティが甘ければ、同様の手口が使われる可能性も残っている。

3つ目は根本的な問題だ。そもそも「口座番号などの情報がどこから流出したのか」ということが現時点で明らかになっていない。被害のあった七十七銀行や大垣共立銀行は「自社のシステムからの情報漏洩は確認されなかった」と説明する。ドコモ側も「そうした情報は保有していないため、ドコモから流出していない」としている。

当事者意識はどこまであるのか

では、どこから漏れたのか。まず考えられるのが、犯罪者が「リバースブルートフォース攻撃」を仕掛けている可能性だ。これはパスワードや暗証番号を固定したうえで、氏名や口座番号を総当たり的に入力していくことで認証を潜り抜けるものだ。

最後の可能性はフィッシングサイトを通じた情報漏洩だ。メールなどで偽のサイトに誘導し、口座情報などを入力させ、個人情報を入手する。実は、2019年秋頃からインターネットバンキングでの不正送金の被害が急増している。警察庁によれば、被害の多くがフィッシングによるものだという。

つまり、今回の事件はドコモ側、銀行側それぞれのセキュリティに対する甘さが招いたものだ。前出の徳丸氏は「お互いに、相手が（本人確認を）やってくれるだろうという意識が確実にあった」と指摘する。

NTTドコモの丸山副社長は、銀行側のセキュリティ改善について自主性に委ねる考えを示した（記者撮影）

事件発覚後、両者が危機意識を高めて協力しあう状況にはなっていない。ドコモはWeb口振の利用について「各銀行がそれぞれの事情で決める話」（丸山副社長）としている。銀行側は「われわれは（Web口振の）システムに乗っかっているだけ。セキュリティはある程度（ドコモなどの）決済事業者に依存してしまう」（中堅地銀行員）と言ってのける。

セキュリティ強化を相手に委ねる形でサービスを続けていては、同様の問題が発生しかねない。ひとまずドコモは対応策を示し、ほかの決済事業者の水準に合わせた形だ。今後は地銀を中心とする銀行側の対応姿勢が問われそうだ。

著者フォローすると、中川 雅博さん・藤原 宏成さんの最新記事をメールでお知らせします。