2020/9/26

「ドコモ口座」不正出金問題　ネットで��ヒモ付け�≠ﾌ危険性

��手軽さ�≠ﾌ落とし穴　もはや��ドコモ口座�≠ﾌ問題ではない

　ドコモ口座詐欺に端を発し、スマホなどの電子決済サービスで銀行預金が何者かに勝手に抜き取られる事件が相次いでいる。資金移動業者と呼ばれる｢なんとかペイ｣側だけでなく、ヒモ付けされる銀行側もゆうちょ銀行などでも不正出金が明るみになった。さらに、ネット営業中心のSBI証券で顧客資金1億円近くが抜き取られる事態も起きている。｢自分はドコモ口座を持っていないから大丈夫｣という単純な話ではない。誰かが勝手にあなたのドコモ口座を作り、あなたの銀行口座にヒモ付けして預金を抜き取る可能性があるのだ。キャッシュレス時代は大丈夫なのか？　その手口から防衛策について考えてみたい。

　銀行のATMでお金を引き出すにはキャッシュカードと4桁の暗証番号が必要だ。一方、ネットバンキングはカードが不要だが、本人確認のために使い捨てパスワードが送られてきて、それを入力することで��なりすまし�＊hいでいる。

　ところが誰かが勝手にあなたの｢ドコモ口座｣を作って、あなたの本物の銀行口座の住所、名前、口座番号と暗証番号が入手されれば、その銀行口座がドコモ口座にヒモ付けされる。キャッシュカードと暗証番号を同時に奪われたのと同じ状態だ。

　｢ドコモ口座どころかドコモ携帯自体を使っていない｣と安心してもダメ。銀行口座を持っていて誰かに勝手にどこかにヒモ付けされたら最後、預金流出は防げない。

本人確認を簡単にした結果…

　電子決済サービスは激しい競争社会。NTTドコモの｢ドコモ口座｣に匹敵するのが、ソフトバンクの｢PayPay｣やauの｢auPAY｣だ。さらに銀行が独自に行う｢BankPay｣など��なんとかペイ�≠ｪ次々に登場している。

　こうしたシェア争いの真っただ中だから、ユーザーに自社の��ペイ�≠�使ってもらうには、面倒な本人確認作業を回避し、｢簡単｣をウリにしなければ、という発想になる。つまり、ドコモ口座で指摘されたように�@携帯がなくてもメールアドレスだけで開設可能�A口座のある銀行側も本人確認が緩やか、という甘い認証基準が生まれてしまったのだ。

　｢悪意で踏み台にされるとは思わなかった｣（NTTドコモ幹部）の釈明は言い訳。なぜなら、ドコモ口座は昨夏すでに、同じような手口でりそな銀行から資金が流出していたからだ。しかも、ドコモはその情報をすべての提携銀行に提供せず、預金口座からのチャージ（入金）額の上限を引き下げただけで済ませており、抜本的な対策を取らなかった。りそな銀は今も提携再開をしておらず今回の対象35行にも入っていない。

銀行側も責任認める

　地銀やメガバンクは銀行法という規制を受け、顧客の資金管理に厳しい。だが、最近は貸し付けによる金利収入がが減収続き。その一方、電子決済の手数料が大きな収入になっており、ヒモ付けへのハードルは下がり気味。支店を減らしてネットバンキング化を急いだことで、窓口での本人確認が省略され、紙の通帳も廃止されつつある。その結果、預金者はこまめに通帳記入をしなくなり、今回の預金が抜き取られても気づきにくくなった。銀行協会の三毛兼承会長（三菱UFJ銀行頭取）は混乱をわびた上で「銀行側と資金移動業者（なんとかペイ）側、双方の枠組み機能が重要」と責任の一端を認めている。

携帯同士でシェア合戦

　��ペイ�≠�主導する携帯電話各社にも重圧がのしかかる。菅政権が誕生し、通信料の引き下げ要求が強まるからだ。引き下げられる通信料収入に代わって、電子決済サービス収入を増強するため、利用者の囲い込みに懸命。「認証の手間を少なくして、誰でも簡単に登録してほしい」の姿勢で拡大を目指している。

　利用者が仮にトラブルに巻き込まれた場合、最初に頼るのはペイが関係する携帯電話会社の街角ショップのはず。ところが、各社とも機種変更や新規契約だと笑顔対応だが、解約やトラブル系での対応には非常に態度が悪い。ドコモ口座の一件では、当初ドコモショップで｢問題の口座は確かにあなた名義だが、暗証番号が言えない人に個人情報は開示できない｣と門前払いに。

犯人はデジタル犯罪のプロ

　金融のデジタル化は常に��手軽さ�≠ﾆ��安全性�≠ｪ相反する。手軽にし過ぎれば預金が抜き取られ、安全を重視すれば面倒臭くなって利用が減る。守る側の技術革新（イノベーション）と、隙（すき）を突いてシステムを破る側の知恵比べの日々だ。

　悪者はまず、金融機関の偽サイトによるフィッシング詐欺やネットショップから情報を流出させ、口座情報を大量に集める。口座情報を得ると、次に暗証番号を調べる。入力を何度か間違うとロックされるため、彼らは1つのパスワードに固定し、大量に集めた口座に当てる｢リバースブルートフォース攻撃｣で割り出していく。暗証番号を1日に3回間違えるとロックされるシステムなら、毎日2回ずつ試せば短時間に割り出せる。

　仮に、携帯番号入力や顔認証が取り入れられても安心できない。SBI証券で顧客口座から約1億円が抜き取られた事件では、何重もの複雑な本人認証が突破された形跡がある。悪人は捜査の手が届かない海外のサーバーを経由し痕跡を調べられないようにするなど簡単に捕まらない。

どうやっても防げない

　今回の事件で、｢もう、ペイは怖いので止めます｣という人もいる。しかし、金融を含めたデジタル化の推進は国の一大事業。消費税を10％に引き上げた際に、キャッシュレス払いで5％還元を国のお金で実施したのは記憶に新しい。国は今も「マイナポイントで5千円分還元」でデジタル化をさらに進める。

　こうなったら、多少面倒でもしっかり通帳をチェックし、被害に遭ったらすばやく管理者補償でお金を取り戻すしかない。

自主防衛策