ここ数日ニュースで取り上げられている「ドコモ口座」について、生徒さんから心配の声が…。授業の後、念のため口座を確認いただいたところ、全員不正な取引は発見されなかったのでほっとしているところです。
ドコモ口座の引き出し被害ってどういうことなの?
この「ドコモ口座」を通じて銀行の預金が不正に引き出されている問題、何が一番の問題かというと「dアカウント」や「ドコモ口座」を開設した覚えがないのに、紐づけられた銀行(35銀行)からドコモ口座に出金、そこから引き出されているということです。
実は、以前から「ドコモ口座」という電子決済サービスはあったらしいのですが、docomoの携帯電話を契約していない人は使えないサービスだったんです。
ところが、2019年9月辺りからdocomoの携帯電話以外を使っている人でも「ドコモ口座」を開設し、電子決済に利用できるようになったんです。
そして、この「ドコモ口座」を開設するのに必要なものがまさかのメールアドレスと氏名だけという、聞いてびっくりな方法でした。
通常、口座開設に限らず、インターネットを通じて利用するサービスを契約する際、最低でもメール認証、SMS認証、ワンタイムパスワード認証が行われます。
当然、このSMS認証を行うには携帯電話番号を入力する必要があるのですが、ドコモ口座は携帯電話番号の入力を求められないものでした。
そのセキュリティの弱さを悪用された形が今回の「ドコモ口座」不正引き出しだったのです。
ここで疑問がわきますよね。
ドコモ口座と銀行を紐づけられてしまったら不正取引の被害にあう可能性が
ドコモ口座はメールアドレスだけで開設できるというのは分かったのですが、不正に開設したドコモ口座と銀行を紐づけることができたのかという点。
本人の知らないところで銀行口座番号や暗証番号が盗まれている、もしくは流出したため、不正に利用されたのではないか。
本人の知らないところといいながら、フィッシングサイト(偽物のサイトに誘導し、個人情報を入力させる詐欺)から情報が漏れた可能性があります。
それと、「リバースブルートフォース攻撃」を仕掛けられたのではないかという可能性。
「リバースブルートフォース攻撃」とは、銀行を利用するときに使用するパスワード(インターネットバンキングを利用するときに使うもの)や暗証番号を固定したうえで、氏名や口座番号を総当たりして見つけ出すもの。
これらの方法で入手した銀行口座番号と暗証番号やパスワードを使って、他人になりすまし、銀行口座からドコモ口座に入金、それを引き出すという手口です。
ここまで書くと、ドコモ口座を簡単に作ることができるようにしたドコモが悪いんじゃないかという話になります。
確かに、甘い管理でこのようなサービスを展開した責任は重いと思いますが、銀行のほうにも落ち度があったと言わざるを得ない状況なのです。
預金が引き出されてしまった形となってしまった銀行とドコモ口座を紐づけるために利用していたのが「web口座振替受付サービス」というシステムを使って、ドコモ口座との紐づけを行っていた銀行が複数確認されています。
このweb口座振替受付サービスを使っている一部の銀行では、本人でなくても口座番号・生年月日・4桁の暗証番号が分かれば口座接続できてしまう状態にあったのです。
ドコモ口座と紐づけることができるのは大手銀行・地方銀行あわせて35行ありました。
それらすべてが必要な情報を持っていれば簡単にドコモ口座と銀行口座を紐づけることができるようになっていたわけではありません。
インターネットバンキングサービスを提供している銀行の中には、口座番号や生年月日、4桁の暗証番号以外に「ワンタイムパスワード」を発行しているところがありました。
二重三重の認証を設けることで本人かどうかをチェックする仕組みになっていたため、被害が発生していない銀行もあります。
このことから、確かにドコモ口座をメールアドレスだけで開設できるようにしていたドコモ側にも落ち度があるのは間違いないのですが、銀行側もワンタイムパスワードなどといった「二要素認証」を用いずに受け付けてしまったというのも落ち度であったと考えます。
ドコモ口座の引き出し被害にあっていないかを確認するには
ところで、話を元に戻すと、docomoのdアカウントやドコモ口座が自分の知らないところで開設されてはいないか、銀行口座からお金を引き落とされていないか。それをチェックするにはどうしたらいいのでしょうか。
「ドコモ口座っていうくらいだからdocomoと契約していなければ大丈夫よね」と生徒さんが口にされたように、docomoの携帯電話を使っていなければ大丈夫という人がいます。
しかし、詳細が分かってくるにつれ、この被害にあっているのはdocomoの携帯電話を使っていない人で、dアカウントもドコモ口座も解説していない人ばかりだとわかってきました。
そこで、まず早急に行ってもらいたいのが口座の入出金です。以下にあげた銀行に口座を持っている人は必ず通帳記帳をして「ドコモコウザ」という取引がないかを確認してください。
上記銀行名のリンク先は2020年9月12日(土)現在、今回のドコモ口座に関するニュースリリースのページです。これ以降、新しい情報が掲載されると思われますので、各銀行のホームページや担当窓口に確認ください。
「ドコモ口座」に関するニュースについて、生徒さんにお話ししたところ、やはりdocomoを使っていないから自分は大丈夫と思っていた人が多くいらっしゃいました。
docomoを使っているとかいないとか関係なく、上記の銀行に口座がある方は念のため、早急に通帳記入を行って不正な取引(ドコモコウザあるいはディーバライ)がないか確認してください。
万が一、ドコモ口座を開設した覚えがないのに取引があった場合はすぐに銀行窓口もしくはドコモの相談窓口に連絡するようにしてください。