NTTドコモが提供する「ドコモ口座」を通じ、不正に預金が引き出される被害が起きていることが分かった。ドコモ口座は、対応する銀行の口座などからチャージすることで利用できる電子決済サービス。犯人は被害者の銀行口座を自分のドコモ口座と勝手に紐付けることで預金を移し、ドコモの決済サービス「d払い」を使って買い物を行い、その後換金することで現金化したとみられる。9月15日午前0時時点で被害件数は143件、銀行数は11行、被害金額は2676万円となっている。被害者に対しては全額補償する方針(
写真は10日の記者会見で謝罪するNTTドコモの幹部=オンライン配信よりキャプチャー)。
ドコモ口座はドコモが提供する共通IDサービス「dアカウント」を作ることで開設できる。dアカウントはドコモの携帯電話回線契約者以外でも利用できるほか、1人で複数のIDを保持することができる。ドコモ契約者がドコモ口座を開設する場合は回線認証などが必要となるが、非契約者の場合は登録したメールアドレスを使って認証を行うことで口座開設が可能となっていた。そのため、犯人は他人になりすましてドコモ口座を開設し、勝手に銀行口座を紐付けていた。同社では「本人確認が不十分だった」(丸山誠治副社長)と謝罪した。
9月10日から、ドコモ口座における銀行口座(35行)の新規登録を当面停止。22行に関しては、銀行からの要請に基づき、ドコモ口座へのチャージも停止している。ドコモでは本人確認を「オンライン本人確認システム(eKYC)」で行うようにするほか、SMS認証も導入する方針。
ドコモでは10日と14日に記者会見を実施。認証をメールアドレスのみとした理由について、10日の会見で丸山副社長は「当社はサービスを回線契約者以外にも開放していく戦略で取り組んでいる。決済サービスについても、提供する顧客の範囲を広げるために、簡易な手段を採用した」と説明した。また14日の会見で、ドコモ口座のサービス停止に関して「ドコモ回線利用者を中心に正常に使われ続けているので、現時点では考えていない」(前田義晃常務執行役員)としている。
今回の事件では、犯人が何らかの手段で集めた銀行口座番号やキャッシュカードの暗証番号が使われている。その手口は分かっていないが、EGセキュアソリューションズの徳丸浩代表取締役によれば「暗証番号以外の情報がどこかから漏洩し、暗証番号は試行により求めた」「可能性は薄いが、暗証番号を含むフルの情報がどこかから漏洩した」「暗証番号を含むフルの情報がフィッシングにより取得された」「暗証番号を含めて試行により求めた」などが考えられるという。
オンラインバンキングの場合、振り込み時に口座番号を入力すると登録氏名が表示されることから、有効な口座番号と名義を収集することは可能だ。徳丸氏は「暗証番号が漏れていないケースの場合、リバースブルートフォース(RBF)攻撃が用いられた可能性がある」と指摘する。
RBF攻撃は、パスワードを固定した上でIDの文字列を変化させてログインを試行するというもの。パスワードは数回入力に失敗するとロックされるが、IPアドレスを変えながら別のユーザーを装ってログインを試行すれば攻撃は通りやすい。キャッシュカードの暗証番号は「1234」など覚えやすい数字を使っている利用者が多いため、一定数の口座番号と紐付けできる可能性がある。徳丸氏はさらに「テレフォンバンキングの残高照会機能により暗証番号を割り出した可能性もあるだろう」とする。
ドコモ口座では、料金支払い時の預金口座振替契約をネットから申し込めるようにする「Web口振受付サービス」を使い、地方銀行と連携させている。徳丸氏は「Web口振は、利用企業側で本人確認をとることが前提なので、一義的にはドコモ側の責任の方が重いだろう。ただ、Web口振の仕組み自体が、口座の所有者であることの認証がなかったわけで、独立した問題として今後改善が求められる」と話す。さらに、今後の対策については「本人確認としてeKYCは有力だが、これは法律の要件を満たしマネーロンダリング等に悪用されないためという目的のものだ。口座の所有者であることの認証は銀行側でないとできないので、銀行側の認証強化もあわせて実施するべきだろう」と提案する。
ドコモ口座はドコモが提供する共通IDサービス「dアカウント」を作ることで開設できる。dアカウントはドコモの携帯電話回線契約者以外でも利用できるほか、1人で複数のIDを保持することができる。ドコモ契約者がドコモ口座を開設する場合は回線認証などが必要となるが、非契約者の場合は登録したメールアドレスを使って認証を行うことで口座開設が可能となっていた。そのため、犯人は他人になりすましてドコモ口座を開設し、勝手に銀行口座を紐付けていた。同社では「本人確認が不十分だった」(丸山誠治副社長)と謝罪した。
9月10日から、ドコモ口座における銀行口座(35行)の新規登録を当面停止。22行に関しては、銀行からの要請に基づき、ドコモ口座へのチャージも停止している。ドコモでは本人確認を「オンライン本人確認システム(eKYC)」で行うようにするほか、SMS認証も導入する方針。
ドコモでは10日と14日に記者会見を実施。認証をメールアドレスのみとした理由について、10日の会見で丸山副社長は「当社はサービスを回線契約者以外にも開放していく戦略で取り組んでいる。決済サービスについても、提供する顧客の範囲を広げるために、簡易な手段を採用した」と説明した。また14日の会見で、ドコモ口座のサービス停止に関して「ドコモ回線利用者を中心に正常に使われ続けているので、現時点では考えていない」(前田義晃常務執行役員)としている。
今回の事件では、犯人が何らかの手段で集めた銀行口座番号やキャッシュカードの暗証番号が使われている。その手口は分かっていないが、EGセキュアソリューションズの徳丸浩代表取締役によれば「暗証番号以外の情報がどこかから漏洩し、暗証番号は試行により求めた」「可能性は薄いが、暗証番号を含むフルの情報がどこかから漏洩した」「暗証番号を含むフルの情報がフィッシングにより取得された」「暗証番号を含めて試行により求めた」などが考えられるという。
オンラインバンキングの場合、振り込み時に口座番号を入力すると登録氏名が表示されることから、有効な口座番号と名義を収集することは可能だ。徳丸氏は「暗証番号が漏れていないケースの場合、リバースブルートフォース(RBF)攻撃が用いられた可能性がある」と指摘する。
RBF攻撃は、パスワードを固定した上でIDの文字列を変化させてログインを試行するというもの。パスワードは数回入力に失敗するとロックされるが、IPアドレスを変えながら別のユーザーを装ってログインを試行すれば攻撃は通りやすい。キャッシュカードの暗証番号は「1234」など覚えやすい数字を使っている利用者が多いため、一定数の口座番号と紐付けできる可能性がある。徳丸氏はさらに「テレフォンバンキングの残高照会機能により暗証番号を割り出した可能性もあるだろう」とする。
ドコモ口座では、料金支払い時の預金口座振替契約をネットから申し込めるようにする「Web口振受付サービス」を使い、地方銀行と連携させている。徳丸氏は「Web口振は、利用企業側で本人確認をとることが前提なので、一義的にはドコモ側の責任の方が重いだろう。ただ、Web口振の仕組み自体が、口座の所有者であることの認証がなかったわけで、独立した問題として今後改善が求められる」と話す。さらに、今後の対策については「本人確認としてeKYCは有力だが、これは法律の要件を満たしマネーロンダリング等に悪用されないためという目的のものだ。口座の所有者であることの認証は銀行側でないとできないので、銀行側の認証強化もあわせて実施するべきだろう」と提案する。