【この記事はIT系ライター M氏 が書きました】
NTTドコモの電子決済サービスである「ドコモ口座」の不正利用による預金口座からの不正な引き出しが、全国の地方銀行を始めとした金融機関で相次いで明らかになっています。ドコモ口座の作成には厳密な本人確認の必要がなく、口座番号、暗証番号がなにかしらの手段で流出していた場合、第三者にドコモ口座と預金口座との紐づけが行えてしまえることが明らかになっています。被害の報告を受けてドコモが地方銀行など17の銀行とドコモ口座の連携中断を発表し、ゆうちょ銀行もドコモ口座との連携中断を表明するなど影響が広がっています。
ドコモ口座とは
ドコモ口座はNTTドコモが提供している電子決済サービスです。利用者がドコモ口座を開設し、自身の銀行口座と紐づけすると銀行口座からドコモ口座にチャージ(入金)が可能になり、スマートフォンを使用して友人や家族間で送金を行えたり、実店舗やネットショップでの会計時の支払いにキャッシュレス決済d払いを利用できるようになります。
キャッシュレスでのやり取りによる利便性に加え、ドコモ提供のサービスを利用するために必要なdアカウントを作成、ドコモ口座を開設、ドコモ口座に銀行口座を登録する、という手順で利用できるようになる手軽さもウリのひとつです。ドコモ口座を利用できる提携銀行は35行となり、みずほ銀行、三井住友、ゆうちょといった主要な銀行に加え、地方銀行が多く含まれているのが特徴です。
ドコモ口座不正利用の手口
ドコモ口座の不正利用の手口ですが、
- ①口座番号や口座名義人、暗証番号などの情報をなんらかの手段で不正に入手する
- ②入手した預金者の名義でドコモ口座を開設する
- ③入手した口座番号、暗証番号を用いて、銀行提携先のwebサイトを通じて口座振替の申し込み手続きが可能になる「web口振受付サービス」を利用する
- ④銀行口座とドコモ口座を紐づけし、預金口座からドコモ口座に不正にチャージ(入金)する
この流れで不正利用の手口が行われます。
口座番号や口座名義人、暗証番号といった情報の入手方法としてはフィッシングサイトやマルウェアといったものを利用が考えられますが、実はこういった不正なツールを用いなくても、銀行が提供している正規の振り込み機能からも氏名や有効な口座番号の見つけることが出来てしまいます。webから振り込みを行う際に任意の口座番号を入力し、存在しない口座である旨が表示されたら口座番号を1つずらして再度試みる、ということを繰り返します。複数回繰り返した場合は振込口座機能がロックされた状態になる場合がありますが、時間を置くことで解除されることがあります。この作業を繰り返し、あるいは複数のアカウントを用いて行い、有効な口座番号と口座名義人に行きつくことが可能になるため、フィッシングサイトやマルウェアに注意していても、口座の情報を入手されてしまう可能性があるということになります。
そうして何かしらの手段で入手した預金口座の名義でドコモ口座を開設します。ドコモ口座の開設に必要な「dアカウント」はメールアドレスが、あれば作成できてしまいます。dアカウントは元々ドコモユーザー専用であったため、ドコモと契約している携帯電話の所持そのものが本人確認の役割を担っていましたが、ドコモが提供する各種サービスを広く利用できるように他キャリアの利用者でもdアカウントを作成できるように変更になったという経緯があります。フリーメールでも他人になりすまして口座を開設することが出来てしまいます。
この際に、免許証など書類による本人確認や携帯電話の番号を用いたSMSによる認証といった本人確認がありませんでした。
預金口座とドコモ口座の名義人が同じなので正規にサービスを利用しているのと同じように預金の流れとしては見えるため、不正利用かどうかを見分けることが困難です。
また、不正利用する側からは別の名義人への出金という形で「足が付きやすい」という状況を回避する意図もあると考えられます。
金融機関ごとに預金口座との紐づけ時に必要な情報に違いがあり、暗証番号の他にパスワードカードやスマホアプリによるワンタイムパスワードといった2段階認証を導入している場合は現状では、不正出金を防ぐことができているようです。反面、数字4桁の暗証番号のみで紐づけが出来てしまう場合も多く、今回被害が報告されているのはそういったセキュリティレベルの低い仕組みを導入していた地方銀行などの金融機関が主になっています。ドコモ口座へのチャージ受付を停止を表明している金融機関も出てきています。
暗証番号は意味なし?リバースブルートフォース攻撃
今回、ドコモ口座に第三者に紐づけされてしまった預金口座ですが、4桁の暗証番号のみで登録が可能なセキュリティレベルの低い金融機関が標的となりました。通常、誤った暗証番号を複数回入力した場合はアカウントにロックがかかるといった対策がなされていることが多いですが、「リバースブルートフォース」といわれる手法が突破に用いられたのではと指摘されています。
リバースブルートフォース攻撃とは暗証番号(パスワード)を固定して口座番号(ユーザーID)を変更しながら総当たりで試していく方法です。暗証番号(パスワード)ではなく口座番号自体を変えていくことで、ログイン試行は口座番号ごとに1度となります。そのためログインを試みたアカウントはロックされることなく、「当たり」が出るまでログインを試みることができます。
不正ログインがされßようとしたという履歴も残りにくいためユーザーに気づかれにくいという点も併せもっています。
リバースブルートフォース攻撃を防止するには英数字を組み合わせた複雑なパスワードを用いるのが有効ではありますが、銀行口座の場合は4桁の数字のみで構成されているため、対策は難しくなります。暗証番号以外の認証方法を併用する仕組みのない金融機関の場合、口座番号が入手されたいる時点で不正利用のリスクに晒されることになります。
ドコモ口座提携銀行の利用者は誰でも被害にあう可能性あり
「ドコモ口座」という名称が先行しているため、ドコモ利用者でなければ被害には合わないと考えてしまいがちですが、ドコモ口座の利用にはドコモユーザーである必要はなく、ドコモ口座との紐づけに対応した金融機関に口座をもっているユーザーであればドコモ口座やドコモの携帯電話を利用していない場合でも被害を受ける可能性があります。ただし、預金口座に紐づけ可能な口座はひとつのみになりますので過去に自信でドコモ口座との紐づけを行っている場合は今回の不正出金の手口に遭うことはありません。
今回の不正出金への対応としてドコモ口座に預金口座を新たに登録する機能を停止する金融機関が増えています。
ただし、登録のみが停止されており金融機関によってはチャージ機能がそのまま利用可能です。ドコモ口座は利用者数も多く、コード決済サービスである「d払い」の残高と同一になるため、一般ユーザーの利用に影響が出る可能性を鑑みるとチャージ機能自体の停止には踏み切れない実情があるようです。
ドコモ口座不正利用の被害に遭わないために。
ドコモでは今後の対策としてSMS認証やeKYC (electronic Know Your Customer の略。オンラインでの本人確認手続きの総称を指します。)といった仕組みを導入し、口座登録を再開を目指すとのことですが、すぐに対応を完了させるのは難しい状態です。各金融機関との連係で被害にあった口座に関しては全額補償する方向性とはいえ、出来うる限りの自衛策を心掛ける必要があります。
被害が確認された金融機関を利用している場合はすぐに預金口座の入出金の履歴を確認するようにしましょう。
マルウェアやスパイウェアといった手口に関してはウイルス対策ソフトの使用と最新版へのアップデート、身に覚えのないSMSやメールを安易に開かないようにする、といった点を徹底しましょう。前述の通り、今回発覚した手口は該当の金融機関を利用している場合は常に被害にあう可能性にさらされることになります。各金融機関ではドコモ口座への新規の紐づけは停止され始めていますが、一度紐づけされている場合は時間をおいて不意打ちのように不正出金が行われる可能性があります。暗証番号のみで紐づけがされてしまう、専用のアプリやSMS併用といった2段階認証が出来るか否かといった、利用中の金融機関のセキュリティセキュリティレベルを確認し、ご自身の口座に身に覚えのない出金がないかを確認する習慣をつけましょう。
キャッシュレス決済は便利ではありますが、サービスそのものは普及が始まったばかりですので、予想もしていなかった不正に巻き込まれる可能性があるということを常に意識しながら利用して頂ければと思います。ドコモでは相談窓口の設置されていますので、心配な方は一度、問い合わせしてみることをお勧めします。
関連リンク
◆NTTドコモ:ドコモ口座を利用した不正利用についてのお問い合わせ窓口設置について
https://www.nttdocomo.co.jp/info/notice/page/200911_00.html
◆総務省:ウェブサービスに関するID・パスワードの管理・運用実態調査結果
https://www.soumu.go.jp/menu_news/s-news/01ryutsu03_02000099.html