ドコモ口座事件とは?
2020年9月、NTTドコモの電子決済サービス「ドコモ口座」を使った不正利用がニュースになりました。ドコモ口座ユーザーに限定した話ではなく、ドコモ口座を使っていない無関係な方も被害に遭いました。他人の作ったドコモ口座に自分の銀行口座が勝手に登録され、預金を引き出されてしまうという事件です。 不正利用は2020年8月下旬~9月上旬に起きたそうで、10月15日の報道では被害金額が2850万円で件数は127件。うち2797万円、122件の補償が終わったそうです(2020年10月現在)。犯人グループは、埼玉県のコンビニでたばこを大量購入していたことが分かっています。また商品購入は関東各地で確認され、家電量販店で高額商品を購入したケースもあったようです。
どうやって127件もの銀行口座情報を入手したのか? 自分の口座情報が漏洩していないかとても心配ですが、犯人が捕まっていないため真相はやぶの中です。しかしながら、自己防衛策はあります。
今回は企業の情報システムに精通して20年以上、ウイルス駆除やWEBサイトの改ざん被害の復旧を行ってきたセキュリティエンジニアの齋藤 実が、ドコモ口座事件のポイントを押さえながら考えてみたいと思います。
キーワードは本人確認方法
この事件のキーワードは、本人確認方法です。「dアカウント」で「ドコモ口座(プリペイド)」を作ったケースに限り、その「ドコモ口座(プリペイド)」へ銀行口座を登録すると本人確認として認められたとのことです。そのため被害件数が圧倒的に多いのですが、実は、PayPayなど他のスマホ決済サービスでも同じ被害が起きており、銀行口座などの本人しか知らない情報の登録だけで本人確認するのは不十分ということが分かっています。この事件後、ドコモ口座もPayPayもアプリで運転免許証などの証明書類と顔写真を送信するという「eKYC(electronic Know Your Customer:オンライン本人確認)」を導入して本人確認を行っています。LINE PayではすでにeKYCを導入しており、今回の大規模事件での被害は確認されていません。
自己防衛方法あります
より安全なのは二要素認証です。銀行のATMでしたら、暗証番号という本人しか知らない情報とキャッシュカードという本人が持っているカード(物理的)の2つの要素で本人確認しています。これを二要素認証といいます。ワンタイムパスワードなどの二要素認証になっている銀行口座でしたら悪用は超ウルトラ難易度になります。例えば、ジャパンネット銀行でしたら口座申し込み時にワンタイムパスワードが表示されるカードが支給されます。そして暗証番号などの本人しか知らない情報と、本人が持っているカードに表示されるパスワードの2つの要素で本人確認しています。ちなみに、カードに表示されるパスワードは固定ではなく、毎回変更されるため推測はまずできません。
ワンタイムパスワードを使った二要素認証のイメージ
もし二要素認証ではなく、スマホ決済できる普通預金口座をお持ちの場合は、定期的に通帳の記帳をして不正がないかチェックしたほうが良いでしょう。クレジットカードの不正利用も明細のチェックが大切ですが、月1回クレジットカードの明細と銀行の通帳をチェックして見逃さないようにしたいですね。
いまコンビニなど生活の中でマイナポイントという文字をよく見かけます。マイナンバーカードのICチップを使うと、ネット上でも本人確認ができる仕組みになっています。マイナンバーカードが活用されるようになれば、マイナンバーカードのICチップをスマホでピッと読み込んでパッと本人確認が完了するような世の中になるのでは。銀行口座などのとくに重要なサービスの本人確認にはより安全な方法(マイナンバーカードでの本人確認)になることを期待します!
【関連記事】
・流出させない!プロが実践するパスワードの管理術