DIAMOND Online(百年コンサルティング代表 鈴木貴博)

2020.9.18

1

ドコモ口座事件のパニックが広がる。なぜこんなことに巻き込まれるのか Photo:Diamond

ドコモ口座不正引き出しが今までのサイバー犯罪と違う点

「ドコモ口座」不正引き出し事件のパニックが、静かに広がりつつあります。後述するように、事件の経済被害自体は銀行やドコモから見れば少額で、そのこともあって、被害者を全面的に保護し、被害を補償する方向で対応が進みつつあります。

 一方で、今回のドコモ口座事件には、これまでのサイバー金融犯罪と比較して大きく違う点があります。それは、基本的に被害者がドコモと無関係の消費者だったことです。

 これまで不正利用というと、被害者は心当たりがあるケースばかりでした。たとえばクレジットカード被害に遭う場合、自分が持っているクレジットカードを誰かが不正に使うという被害だったので、明細書を見て使った覚えがない請求があったらそれに気づき、調査をかけてもらうことができました。

 昨年はセブン-イレブンが導入したセブンペイで、今回とよく似た不正利用被害が起きました。ただ、この事件における被害者はあくまでセブンペイの口座を自分で開いた人で、その後犯人グループから勝手にパスワードの変更をかけられ、口座を乗っ取られたというケースでした。なので、被害者は被害に遭う「心当たり」があったわけです。

 一方で今回のドコモ口座事件が怖いのは、被害者の大半がドコモユーザーではなかった点です。

 あるとき銀行通帳に記帳してみたら、ドコモ口座という身に覚えのないサービスから数度にわたって合計30万円が引き落とされている。慌ててドコモに問い合わせると、「そのドコモ口座はあなたの口座ではないので、情報を開示できない」と門前払いを食らわされる。事件が大きな社会問題になるまで、こんなことが起きていたのです。

 突然、通帳から大金がドコモに支払われて消えてしまう。訴えて口座を止めようにも対応してくれない――。銀行ユーザーから見れば対策のしようがありません。いったい何が起きているのか、パニックになるのは当然です。

1つユーザーが安心できることは、94日にドコモの丸山副社長に報告が上がって大問題になったことで、現在はドコモも責任を認め、過去に遡って全額補償を表明していることです。昨年5月にりそな銀行で最初の事件が起きた際には、もみ消されたといいます。その点では、これから先、万一被害に遭っても心配はいらないと思います。

 一方で心配なのは、915日の高市早苗総務大臣の記者会見において、総務省管轄のゆうちょ銀行にヒアリングをした結果、ドコモ口座以外にもペイペイなど5社で、即時振替サービスに関連した被害が起きていたことが公表されたことです。

 ドコモ口座と違って被害は一桁小さいとはいえ、ペイペイでは今年1月以降、17141万円の被害が報告されました。ドコモ口座の上限が30万円なのと比較して、ペイペイの場合は上限が低いため、被害額は平均8万円と小規模ではありますが、被害者にとって甚大な損失であることには変わりありません。

銀行ユーザーにとっての「2つの不安」

 そうした状況下、一般の銀行ユーザーにとって心配なことは、以下の2点です。

1)なぜこのような被害に遭うのか。
2)このような被害がこれからドコモ以外で起きたときも、補償してもらえるのか。

 先に述べてしまうと、この事件の最大の問題点と思われるのは、必ずしも銀行口座に元通りにお金が戻るとは限らないだろう、ということです。

 これから先も、おそらく違う形で似たようなサイバー犯罪が起きることは、まず間違いありません。組織的な犯罪集団は常にイノベーションを図っていて、警察どころか銀行やドコモなどの決済サービス事業者を常に出し抜く努力(?)を重ねています。彼らがセキュリティの穴を発見するたびに、何らかの不正事件がこれからも必ず起きます。

 そして、今回の事件でも実はそうなのですが、ユーザーに対して犯罪が実行される条件としては、大半のケースにおいて、銀行やサービス事業者のセキュリティが甘いだけでなく、自分でも何らかのミスをしなければ、犯人グループはお金を盗むことができません(細かく言うと違うのですが、大半の場合についてはその通りのはずです)。

 ここがポイントで、今回の事件も犯人グループがドコモ口座を開設してお金を吸い上げるために用いたログイン情報の大半は、被害者のミスで盗まれたと警察は見ています。

他人事ではない教訓「なぜこんな目に遭うのか」

 さて、今回の事件において「なぜこのような被害に遭うのか?」について、解説したいと思います。

 今回のドコモ口座事件では、第三者が自分の銀行口座のインターネットバンキングのログイン情報を不正に入手して、本人に成りすまして勝手にドコモ口座を開設し、銀行口座からドコモ口座に上限である30万円をチャージして使ってしまうという手口で、犯罪が行われました。

 その際に狙われたのは、ウェブ口座振替というサービスでの確認強度が弱い銀行でした。具体的に言えば、口座番号、ログインパスワード、キャッシュカードの暗証番号4ケタ、この3つの情報さえあればドコモ口座に資金を移動できる仕組みになっている銀行が狙われたことになります。

 逆に確認強度が強い銀行の場合、たとえば本人しか持っていないワンタイムパスワードを発生させるトークンという機器を提供して本人認証を行っていたり、口座開設時に登録した携帯電話宛にSMSでメッセージを送り本人確認をしたりといった、二段認証をしなければならないようになっています。このような強度の強い銀行は、今回狙われなかったし、今後も狙われることは少ないと一旦は考えられます(今後、犯罪グループも技術が向上していくので、慢心はよくないとは思いますが)。

 では、犯人グループはどうやってユーザーの口座番号、ログインパスワード、キャッシュカードの暗証番号を盗んだのでしょうか。警察の話では、今回の事件の大半のケースでは、フィッシング詐欺が用いられたと見ているようです。

 ご存じでない、ないしはお気づきでない方もいるかもしれませんが、プライベートでこんなメールが届くことはありませんか。

「あなたの○○アカウントは一時的に停止しました」

 この「○○」は、アマゾンでも楽天でもLINEでも銀行でも、何でもいいのですが、とにかくあなたの何らかの口座に不正なアクセスと見られる動きがあったので、一時的にアカウントを停止しているという、一見親切なメールです。しかしこのメール、送り付けるのは大半の場合、犯罪グループです。

 メールの中で「アカウント停止の解除はこちらから」と書かれてあるリンクをクリックすると、そこが不正の入り口で、銀行の場合なら、本物の銀行のホームページそっくりの画面が表示されます。

 そして、本人確認に必要な情報だとして口座番号、ログインパスワード、キャッシュカードの暗証番号を順番に入力していくと、「本人確認が完了しました。口座の停止を解除しました」といった、ユーザーを安心させるメッセージが表示されます。しかしそのときにはすでに、銀行口座の口座番号、ログインパスワード、キャッシュカードの暗証番号は、犯罪グループに盗まれているわけです。

 ちなみに、このような罠を仕掛けなくても、リバースブルートフォースという手口のように、手当たり次第にログインIDと暗証番号を試す攻撃もあります。フィッシング詐欺に引っかかった経験がなくても、暗証番号やパスワードに簡単なものを設定している人は、このような攻撃に対して脆弱だと言えます。

第二段認証の壁がない「緩い銀行」が狙われた

 さて、口座情報を盗んだ犯人にとって難しいのは、ここからです。大半の場合、個人の銀行口座にインターネットバンキングでログインしても、普通はお金を送金できない。第二段認証の壁があるからです。しかしときどき、そういった壁を越える必要のない新サービスが登場します。ドコモ口座もその1つで、上限30万円までなら低いセキュリティで資金を移動できる銀行が何行もありました。だから、その銀行の預金者が狙われたわけです。

 ドコモ口座事件の被害者がある意味でラッキーだったのは、事件が大きな社会問題になった一方で、被害額が915日時点で143件、2676万円というレベルにとどまっている点です。被害者にとっては平均17万円と大きな被害でも、ドコモのような大企業にとっては役員決裁で補償できるくらいの少ない金額です。だから、補償が決まるのもスムースだったわけです。

さらに高額な不正事件が起きたら誰も被害を補填してくれなくなる?

 しかし、もし将来別の事件が起きて、被害件数14万件、被害額267億円などと高額になったら、話は変わってきます。ドコモのミスや銀行のミスに加えて、被害者のミスも重ならないと事件は起きないため、関係者間で「被害額をどう分担するか」という話し合いが持たれるでしょう。

 その場合、「そもそもパスワードを盗まれたユーザーの責任が一番重い」などと、大企業や銀行が主張することだってあるかもしれません。それが裁判で争わなければいけない事態にまで発展すれば、弁護士を雇うお金もない被害者が一方的に不利になります。そんなケースも、これからは出てくるかもしれないのです。

 今回の事件で私が一番気になったのは、銀行の当事者意識が低かったことです。事件に関係した銀行幹部は、ドコモの会見に出席すらしません。背景を推察するに、私たちが銀行のサービスを利用する際には、銀行側からの確認事項に対して全て「同意」しているため、その後どのような事件が起きても、法的には自分たちに何の責任もないということが、わかっているからでしょう。

 しかし、だからこそこうした事件は、銀行にとっても危険なのです。消費者が「ITが進化すればするほど、銀行にお金を預けておくと危なくなるんだ」と気づき始めるからです。ドコモ口座事件は、ユーザーがそんなことを肝に銘じる最初の事件だったかもしれません。