天牛(紙切り虫)

私が関心のある、気に入った、「新聞」・「メルマガ」等のニュースをまとめて紹介します。「コメント」は歓迎ですが、「公開」の前に、判断をさせていただきます。

カテゴリ: NTTグループ関係

クレカ事業のドル箱に目がくらみ…

現代ビジネス(岩田 昭男 消費生活ジャーナリスト)

2020.9.21


「ついにやってしまったな」

NTTドコモの電子決済サービス「ドコモ口座」は、連携する銀行全35行の銀行口座と紐づけて「d払い」にチャージし、買い物ができるようになっている。

ところが、すでに報道のある通り、銀行口座を持っている本人が預かり知らないところで勝手にd払いで支払いが行われる事件が多発。11行で計120件の不正が行われ、被害総額は2500万円を超えている(914日時点)。

今回の手口は、口座番号や暗証番号を入手した何者かが預金者になりすましてドコモ口座を設け、銀行口座からお金を引き出し、d払いで買い物をして換金するというもの。

そのため、ドコモ口座を開くときにいわゆる「二段階認証」を行っていれば事件は防げたはずだ。その意味で、ドコモのセキュリティ対策が厳しく問われる事件と言える。

31

oto by iStock

しかしその後、ドコモ口座以外でも同様の不正が発覚し、キャッシュレス決済事業者だけではなく、犯罪を許す銀行のセキュリティシステムそのものが問題視されている。

さて、ここからが本題だが、筆者はこの事件の一報を聞いたとき「ああ、ドコモはやってしまったな」と率直に感じた。ユーザーの拡大、つまりは業績アップを焦りすぎるあまり、安全性をおろそかにして犯罪を誘発するという“落とし穴”にはまってしまったのだ。

携帯キャリアを主役とするQRコード決済競争は激しさを増す一方だ。ソフトバンクは「PayPay」、auは「au PAY」、今年携帯事業に参入したばかりの楽天は「楽天ペイ」、そしてドコモは「d払い」――それぞれ特徴のあるQRコード決済を掲げて、しのぎを削っている。

この4社のなかでは当然、最大手のドコモが先頭を走っていると思いきや、そうではない。それどころか最後尾に置いてかれているのではないかと、筆者は思っている。

他社はすでに“実を取る”戦略へ

というのも、QRコード決済はポイント還元競争が一段落した今、それぞれのグループとしての総合力を競う「第二ステージ」に入っていると考えられるからだ。つまり、グループ内の“団結力”の強化が求められる時代が来ている。

携帯キャリア4社の動きを簡単に整理してみると、最初に仕掛けたのが楽天ペイだ。

楽天ペイは昨年6月に「Suica」との提携を発表、今年の5月から楽天ペイでSuicaとのコラボが実現した。それまで、いわゆる楽天経済圏には交通系の電子マネーがなかったが、楽天ペイのアプリでSuicaの発行やチャージが可能になったのである。

32

hoto by GettyImages

たとえば楽天カードに紐づけした楽天ペイを使ってSuicaにチャージすると楽天スーパーポイントが貯まる。この導線は、特にポイントを重視するユーザーには評判がいいと聞く。

Suicaは毎日使うもので稼働率が高く、総じて楽天カード全体の稼働率を引き上げにつながる。楽天はSuicaの強みをフルに生かし、QRコード決済競争で一歩抜きんでようとしているのだ。

続いて動いたのがPayPayだ。ソフトバンクのPayPayといえば、「100億円あげちゃうキャンペーン」などポイントの大盤振る舞いを続け、一躍QRコード決済のトップに躍り出た。ところが、ここにきて軌道修正を行い、“実を取る”戦略に変わってきている。

昨年11月にソフトバンクは「LINE Pay」を傘下に入れ、2つのQRコード決済を手中に収めることに成功。当時こそ「両者は共存できるのか」と危ぶむ見方もあったが、PayPayが主に男性ユーザー、LINE Payが女性ユーザーと、顧客のすみ分けが上手くいき、ユーザー数は広がりを見せている。

ポイント一本槍の時代は終わった

他にもソフトバンクは、予約から支払いまで一気通貫で可能なデリバリーサービスやタクシーの配車サービスのスーパーアプリにも注力するなど、モバイル決済の総仕上げを目論んでいる。さながら、“脱・ポイント”を進めているように筆者の目には映る。

auもこの2社に遅れを取るまいと必死だ。まず、グループの共通ポイントを「Ponta」に変更。加えて、バラバラだった金融子会社に統一感をもたせるために、たとえばau PAYカード(クレジットカード)というように、各々の事業の頭に“au”を付けた。

文字通りコーポレート・アイデンティティ戦略の一環だが、auは名前を変えることでグループ内の団結力を高めようとしている。

33

hoto by GettyImages

同様の動きでは、ソフトバンクも系列のジャパンネット銀行を「PayPay銀行」に社名変更すると今月15日に発表。来年4月からPayPay銀行として新たなスタートを切る予定だ。また今後、他の金融子会社にもすべて“PayPay”と付けるという。

このように、各社共これまでポイント一本槍だった戦略から、QRコード決済、電子マネー、クレジットカード、ネット通販、銀行、それにポイントなどの総合力を強化する戦略にシフトしつつある。逆にいえば、そうした「総合力」で各社の力が判断される時代になっているわけだ。

その中にあってドコモは、この流れから明らかに乗り遅れ気味と言わざるをえない。

楽天がSuicaを、ソフトバンクがLINE Payと提携したように、新たに強力なパートナーを作り出すわけでもない。auPayPayのようにコーポレート・アイデンティティのための施策を推し進めているようにも見えない。完全に他社の後手を踏んでいる。

それどころかドコモは、今頃になってポイント還元率にこだわる始末だ。

まるで昔のペイペイのよう

それを端的に示すのが、9月より開始した「マイナポイント」の還元率だ。マイナポイントの還元額の上限は5000円だが、ドコモのd払いではそれに2500円を上乗せしている。他社が1000円とか多くても2000円としてることから、ドコモの還元率が最も高いというわけだ。

他にも、ドコモのd払いはメルカリと組んで20%のポイント還元率のキャンペーンを実施するなど、ここぞとばかりに攻勢をかけている。かつてのPayPayを彷彿とさせるような大盤振る舞いだが、本当に大丈夫なのかと心配になってくるほどだ。

それでいて筆者には、ドコモの提携相手がイマイチ弱いような気がしてならない。

34

hoto by GettyImages

ネットではアマゾンと組んでいるが、たとえばAmazon Payは使える店舗が数百店と言われており、ほとんど名前を聞かない状況。もう一つのパートナーであるメルカリも、双方のユーザー層がかなり異なることから、やはりミスマッチ感は否めない。

パートナーづくり以上に問題なのは、ドコモにはクレジットカードを推進する事業部はあっても、自前の銀行、つまりドコモ銀行がないことだ。前述したように、ソフトバンクにはジャパンネット銀行がある。

ジャパンネット銀行がPayPay銀行に変わることはすでに述べたが、auには「じぶん銀行」があり、これも「auじぶん銀行」に変わる予定だ。楽天にはあらためて言うまでもなく楽天銀行がある。

これらの銀行は、いずれも既存の金融機関としての銀行とは経営目的も形態も大きく異なるネット銀行だ。当然、ネット取引に特化しており、セキュリティ機能も充実している。その意味では、各グループの“門番”的役割を果たしていると言えるかもしれない。

一方、ドコモにはその門番として頼りになる自前の銀行が存在しない。では、なぜドコモは自前の銀行を持たなかったのだろうか。

「自前の銀行は不要」という油断

ドコモの金融事業は1999年に登場した「iモード」までさかのぼる。インターネット機能を搭載し、携帯電話を通話だけでなく決済などの日常生活のさまざまなサービスに係わるメディアへと変えたiモードは、スマホがまだ無かった当時、まさに画期的なモバイル通信サービスだった。

iモードの開発者として松永真理、夏野剛の両氏がよく知られているが、夏野氏はドコモのクレジットカード事業部に招かれ、2005年に携帯利用者向けのクレジットカード「DCMX」をつくった。残念ながら同カードは不発に終わったものの、ドコモはいずれ銀行を買収して本格的な金融事業に乗り出すと期待されていた。

それくらいドコモの事業は順調で大きな利益を上げていた。その利益をさまざまな投資に振り向けたが、そのなかに金融事業はほとんど入っていなかった。

35

Photo by GettyImages

銀行をつくるとなれば国の認可を得なくてはならず、様々な制限を受ける。「そんな窮屈な思いをしたくない」というドコモの経営首脳部には、カード事業の延長でカバーできるという思惑があったのかもしれない。

さらに2015年、DCMXdカードに名称変更し、富裕層向けのdカード・ゴールドの発行を開始したところ大当たりし、年間の発行枚数が100万枚を超えた。年会費が1万円なら、毎年黙っていても100億円が懐に入ってくるのである。

今回の事件の背景には、そうした“ドル箱”を抱えるドコモの油断があったのかもしれない。

2015年頃から、決済の主流がクレジットカードから電子マネーやQRコード決済に徐々に変わっていき、現在はスマホを使った金融取引が出来るまでに至った。それに伴い、セキュリティ管理の重要性も高まっていった。

浮かれ、錯覚し、落とし穴にはまった

ところが、ドコモはそれを疎かにした。少し酷な言い方かもしれないが、dカード・ゴールドの成功に浮かれすぎたのである。

その結果生まれたのが、フリーメールアドレスでも簡単に口座が開けてしまう「ドコモ口座」だった。2011年にサービスを開始したドコモ口座の最大の問題点はこのように本人確認が甘く、なりすましによる口座開設を簡単に許してしまったことだった。

元々、ドコモ口座はドコモの携帯ユーザーのためのサービスだった。だから本人確認は必要なかった。ところが、ドコモユーザー以外のauやソフトバンクのユーザーにも広げたために、本人確認がきかなくなって不審者(犯罪者)の利用を招いてしまったのだ。

もう一つ指摘したいのは、地銀をはじめ多くの銀行とつながることで、ドコモは「銀行を持つことができた」という錯覚に陥ったのではないか、ということだ。

36

Photo by GettyImages

銀行口座からスマホ(ドコモ口座)にチャージしてd払いで買い物ができるだけではなく、友だちへの送金も簡単にでき、まるでATMのように便利に使える。つまり、ドコモからすれば、銀行を買収する手間もなく、銀行のネットワークを居抜きで活用できるのだ。

ドコモにとってはまさに良いことずくめだが、業務拡大に走るあまりに落とし穴にはまったというのが妥当な見方であろう。

日本政府は、2025年までにキャッシュレス決済比率を40%まで引き上げるという大きな目標に掲げている。昨年7月に起きたスマホ決済サービス「7pay」の不正アクセス事件に続いてこうした不祥事が起きたことは、決済のキャッシュレス化に大きな冷や水を浴びせかけた。マイナスの影響は計り知れないといえるだろう。

ドコモの騒ぎはキャッシュレス時代のセキュリティの重要性を多くの人に知らしめる機会になったのではないだろうか。

 

 

DIAMOND Online(百年コンサルティング代表 鈴木貴博)

2020.9.18

1

ドコモ口座事件のパニックが広がる。なぜこんなことに巻き込まれるのか Photo:Diamond

ドコモ口座不正引き出しが今までのサイバー犯罪と違う点

「ドコモ口座」不正引き出し事件のパニックが、静かに広がりつつあります。後述するように、事件の経済被害自体は銀行やドコモから見れば少額で、そのこともあって、被害者を全面的に保護し、被害を補償する方向で対応が進みつつあります。

 一方で、今回のドコモ口座事件には、これまでのサイバー金融犯罪と比較して大きく違う点があります。それは、基本的に被害者がドコモと無関係の消費者だったことです。

 これまで不正利用というと、被害者は心当たりがあるケースばかりでした。たとえばクレジットカード被害に遭う場合、自分が持っているクレジットカードを誰かが不正に使うという被害だったので、明細書を見て使った覚えがない請求があったらそれに気づき、調査をかけてもらうことができました。

 昨年はセブン-イレブンが導入したセブンペイで、今回とよく似た不正利用被害が起きました。ただ、この事件における被害者はあくまでセブンペイの口座を自分で開いた人で、その後犯人グループから勝手にパスワードの変更をかけられ、口座を乗っ取られたというケースでした。なので、被害者は被害に遭う「心当たり」があったわけです。

 一方で今回のドコモ口座事件が怖いのは、被害者の大半がドコモユーザーではなかった点です。

 あるとき銀行通帳に記帳してみたら、ドコモ口座という身に覚えのないサービスから数度にわたって合計30万円が引き落とされている。慌ててドコモに問い合わせると、「そのドコモ口座はあなたの口座ではないので、情報を開示できない」と門前払いを食らわされる。事件が大きな社会問題になるまで、こんなことが起きていたのです。

 突然、通帳から大金がドコモに支払われて消えてしまう。訴えて口座を止めようにも対応してくれない――。銀行ユーザーから見れば対策のしようがありません。いったい何が起きているのか、パニックになるのは当然です。

1つユーザーが安心できることは、94日にドコモの丸山副社長に報告が上がって大問題になったことで、現在はドコモも責任を認め、過去に遡って全額補償を表明していることです。昨年5月にりそな銀行で最初の事件が起きた際には、もみ消されたといいます。その点では、これから先、万一被害に遭っても心配はいらないと思います。

 一方で心配なのは、915日の高市早苗総務大臣の記者会見において、総務省管轄のゆうちょ銀行にヒアリングをした結果、ドコモ口座以外にもペイペイなど5社で、即時振替サービスに関連した被害が起きていたことが公表されたことです。

 ドコモ口座と違って被害は一桁小さいとはいえ、ペイペイでは今年1月以降、17141万円の被害が報告されました。ドコモ口座の上限が30万円なのと比較して、ペイペイの場合は上限が低いため、被害額は平均8万円と小規模ではありますが、被害者にとって甚大な損失であることには変わりありません。

銀行ユーザーにとっての「2つの不安」

 そうした状況下、一般の銀行ユーザーにとって心配なことは、以下の2点です。

1)なぜこのような被害に遭うのか。
2)このような被害がこれからドコモ以外で起きたときも、補償してもらえるのか。

 先に述べてしまうと、この事件の最大の問題点と思われるのは、必ずしも銀行口座に元通りにお金が戻るとは限らないだろう、ということです。

 これから先も、おそらく違う形で似たようなサイバー犯罪が起きることは、まず間違いありません。組織的な犯罪集団は常にイノベーションを図っていて、警察どころか銀行やドコモなどの決済サービス事業者を常に出し抜く努力(?)を重ねています。彼らがセキュリティの穴を発見するたびに、何らかの不正事件がこれからも必ず起きます。

 そして、今回の事件でも実はそうなのですが、ユーザーに対して犯罪が実行される条件としては、大半のケースにおいて、銀行やサービス事業者のセキュリティが甘いだけでなく、自分でも何らかのミスをしなければ、犯人グループはお金を盗むことができません(細かく言うと違うのですが、大半の場合についてはその通りのはずです)。

 ここがポイントで、今回の事件も犯人グループがドコモ口座を開設してお金を吸い上げるために用いたログイン情報の大半は、被害者のミスで盗まれたと警察は見ています。

他人事ではない教訓「なぜこんな目に遭うのか」

 さて、今回の事件において「なぜこのような被害に遭うのか?」について、解説したいと思います。

 今回のドコモ口座事件では、第三者が自分の銀行口座のインターネットバンキングのログイン情報を不正に入手して、本人に成りすまして勝手にドコモ口座を開設し、銀行口座からドコモ口座に上限である30万円をチャージして使ってしまうという手口で、犯罪が行われました。

 その際に狙われたのは、ウェブ口座振替というサービスでの確認強度が弱い銀行でした。具体的に言えば、口座番号、ログインパスワード、キャッシュカードの暗証番号4ケタ、この3つの情報さえあればドコモ口座に資金を移動できる仕組みになっている銀行が狙われたことになります。

 逆に確認強度が強い銀行の場合、たとえば本人しか持っていないワンタイムパスワードを発生させるトークンという機器を提供して本人認証を行っていたり、口座開設時に登録した携帯電話宛にSMSでメッセージを送り本人確認をしたりといった、二段認証をしなければならないようになっています。このような強度の強い銀行は、今回狙われなかったし、今後も狙われることは少ないと一旦は考えられます(今後、犯罪グループも技術が向上していくので、慢心はよくないとは思いますが)。

 では、犯人グループはどうやってユーザーの口座番号、ログインパスワード、キャッシュカードの暗証番号を盗んだのでしょうか。警察の話では、今回の事件の大半のケースでは、フィッシング詐欺が用いられたと見ているようです。

 ご存じでない、ないしはお気づきでない方もいるかもしれませんが、プライベートでこんなメールが届くことはありませんか。

「あなたの○○アカウントは一時的に停止しました」

 この「○○」は、アマゾンでも楽天でもLINEでも銀行でも、何でもいいのですが、とにかくあなたの何らかの口座に不正なアクセスと見られる動きがあったので、一時的にアカウントを停止しているという、一見親切なメールです。しかしこのメール、送り付けるのは大半の場合、犯罪グループです。

 メールの中で「アカウント停止の解除はこちらから」と書かれてあるリンクをクリックすると、そこが不正の入り口で、銀行の場合なら、本物の銀行のホームページそっくりの画面が表示されます。

 そして、本人確認に必要な情報だとして口座番号、ログインパスワード、キャッシュカードの暗証番号を順番に入力していくと、「本人確認が完了しました。口座の停止を解除しました」といった、ユーザーを安心させるメッセージが表示されます。しかしそのときにはすでに、銀行口座の口座番号、ログインパスワード、キャッシュカードの暗証番号は、犯罪グループに盗まれているわけです。

 ちなみに、このような罠を仕掛けなくても、リバースブルートフォースという手口のように、手当たり次第にログインIDと暗証番号を試す攻撃もあります。フィッシング詐欺に引っかかった経験がなくても、暗証番号やパスワードに簡単なものを設定している人は、このような攻撃に対して脆弱だと言えます。

第二段認証の壁がない「緩い銀行」が狙われた

 さて、口座情報を盗んだ犯人にとって難しいのは、ここからです。大半の場合、個人の銀行口座にインターネットバンキングでログインしても、普通はお金を送金できない。第二段認証の壁があるからです。しかしときどき、そういった壁を越える必要のない新サービスが登場します。ドコモ口座もその1つで、上限30万円までなら低いセキュリティで資金を移動できる銀行が何行もありました。だから、その銀行の預金者が狙われたわけです。

 ドコモ口座事件の被害者がある意味でラッキーだったのは、事件が大きな社会問題になった一方で、被害額が915日時点で143件、2676万円というレベルにとどまっている点です。被害者にとっては平均17万円と大きな被害でも、ドコモのような大企業にとっては役員決裁で補償できるくらいの少ない金額です。だから、補償が決まるのもスムースだったわけです。

さらに高額な不正事件が起きたら誰も被害を補填してくれなくなる?

 しかし、もし将来別の事件が起きて、被害件数14万件、被害額267億円などと高額になったら、話は変わってきます。ドコモのミスや銀行のミスに加えて、被害者のミスも重ならないと事件は起きないため、関係者間で「被害額をどう分担するか」という話し合いが持たれるでしょう。

 その場合、「そもそもパスワードを盗まれたユーザーの責任が一番重い」などと、大企業や銀行が主張することだってあるかもしれません。それが裁判で争わなければいけない事態にまで発展すれば、弁護士を雇うお金もない被害者が一方的に不利になります。そんなケースも、これからは出てくるかもしれないのです。

 今回の事件で私が一番気になったのは、銀行の当事者意識が低かったことです。事件に関係した銀行幹部は、ドコモの会見に出席すらしません。背景を推察するに、私たちが銀行のサービスを利用する際には、銀行側からの確認事項に対して全て「同意」しているため、その後どのような事件が起きても、法的には自分たちに何の責任もないということが、わかっているからでしょう。

 しかし、だからこそこうした事件は、銀行にとっても危険なのです。消費者が「ITが進化すればするほど、銀行にお金を預けておくと危なくなるんだ」と気づき始めるからです。ドコモ口座事件は、ユーザーがそんなことを肝に銘じる最初の事件だったかもしれません。

日本経済新聞 電子版証券部 井沢ひとみ

2020/9/18

31

富士通(上)やNECなど旧「電電ファミリー」が東京株式市場で買われた

 
世論調査で菅内閣の高支持率が明らかになった18日、東京株式市場では「菅トレード」が広がった。2021年秋までに新設されると報じられたデジタル庁をめぐり、NTTデータ富士通NECといった旧「電電ファミリー」がそろって買われた。一方、携帯料金の値下げ圧力がかかるNTTドコモが年初来安値を更新。外国人投資家の一角は菅内閣が長期政権になる可能性を意識しているようだ。

【関連記事】


日本経済新聞社とテレビ東京の緊急世論調査では菅内閣の支持率は74%と、記録のある1987年以降では3番目の高さだった。この日は現物の寄り付き前から日経平均先物が買い優勢で、T&Dアセットマネジメントの酒井祐輔シニア・トレーダーは「これまで『ワンポイント・リリーフ』という印象もあった菅首相に対する見方が変わり始めている」とみる。

前日の米ハイテク株安の流れでソフトバンクグループエムスリーなどが売られ、日経平均株価の午前の終値は前日比6円(0.03%)高の23326円と伸び悩んだ。一方で、NTTデータは5%高、富士通とNECはそれぞれ2%高と、かつて日本電信電話公社(現NTT)とのつながりで「電電ファミリー」と呼ばれた銘柄に買いが集まった。デジタル庁をめぐって官公庁向けシステム需要が高まる可能性があるからだ。

これまで中小型株が中心だった「菅トレード」が大型株を巻き込んで加速するかどうかは、外国人投資家の動向が左右しそうだ。外国人は7月まで日本株を売り越していたが、8月には米株高と46月期に景気が底入れしたとの見方から買い越しに転じた。市場では「菅内閣になったことを契機に買い姿勢が明確になるか見極めたい」(東海東京調査センターの仙石誠シニアエクイティマーケットアナリスト)との声が聞かれる。

ただし、「政権発足時の内閣支持率の高さは必ずしもその後の株高につながらない」(岡三証券の松本史雄チーフストラテジスト)との指摘がある。たとえば「聖域なき構造改革」を掲げた小泉首相が就任した01年、日経平均は年間で24%下落した。松本氏は「海外勢にとっては、内閣支持率よりも経済環境や景気循環のタイミングがより重要だ」とみている。

市場では衆院解散・総選挙の時期を材料視する向きもあるが、三菱UFJ国際投信の石金淳チーフファンドマネジャーは「政治イベントとしては11月の米大統領選挙のほうが株価への影響は圧倒的に大きい」と指摘。菅内閣の高支持率は「5月以降の利益確定売りで持ち高を4分の1に引き下げた」という日本株に見直し買いを入れるほどの材料ではないという。

日経平均株価がコロナショックの安値16552円を付けた319日から半年。コロナ前の水準を取り戻した相場は膠着感を強めており、スガノミクス相場の行方はまだ見えない。

 

DIAMOND Online(野口悠紀 早稲田大学ビジネス・ファイナンス研究センター顧問)

2020.9.17

11

写真はイメージです Photo:PIXTA

ドコモも銀行もセキュリティが甘かった

 犯人が不正に入手した銀行口座情報をもとにして、銀行の預金を不正に引き出し、「ドコモ口座」に入金されるという事件が発生した。

 ドコモの責任はもちろん重大だが、銀行側にも責任がある。口座番号と暗証番号だけで出金できる、セキュリティが弱い銀行が狙われたと思われる。

 政府は、ドコモだけの問題に限定化せず、デジタル決済全般の問題として捉え、徹底的な対策を講じてほしい。これは、デジタル庁の設置より緊急の課題だ。 

 ここには、2つのセキュリティの甘さがある。

 第1は、銀行預金が不正に引き出されたことだ。

 第2は、それを受け入れるドコモ口座を、不十分な本人確認で作れることだ。

 この問題が深刻なのは、ドコモの口座を持っていなくとも被害にあう点だ。

 ドコモと契約を結んでいる銀行の口座を持っている人なら、誰でも潜在的に危険がある。

 では、この問題が起こった責任は、どこにあるのか?

口座開設手続きの簡略化 ドコモの本人確認が不十分

「ドコモ口座」とは、NTTドコモが提供している決済サービスで、「d払い」や「VISAプリペイド」などの支払いサービスに使う。

dアカウント」というアカウントを作れば、誰でも利用でき、「dアカウント」は、メールアドレスさえあれば簡単に作れる。

 NTTドコモの丸山副社長は、会見で「NTTドコモ回線契約者でない人がドコモ口座を開設する際、メールアドレスの認証だけで本人確認を完了できてしまう点が事件の1つの原因になった」と説明した。

 ドコモ契約者については、契約時に免許証等で本人認証を行なっている。

 しかし、「ドコモ回線を持っていないが、ドコモ口座を作る」ことは簡単にでき、それが今回の事件で不正送金の受け皿となった。

 メールを使った二段階認証を行なっていたというのだが、この手続きが本人確認のために役立つのかどうかは、疑問に思う。

 同種サービスが多数誕生して競争が激しくなっているので、顧客獲得のために口座開設手続きを簡略化した。それによって本人確認が不十分となったため、不正行為に利用されたのだ。

セキュリティの弱い銀行の責任 簡単な口座振替手続きが狙われる

 今回の問題は、ドコモの問題だと捉えられている。

 ドコモ側に重大な責任があるのは、間違いない。

 しかし、それだけでない。銀行の側にも問題がある。

 この側面が十分に議論されていないと思う。

 ドコモ口座では、銀行に対して「口座振替」の依頼を行なう。

 この際のセキュリティは、銀行によって異なる。

 銀行によっては、口座番号と数字4桁のキャッシュカードの暗証番号、名義人、生年月日などさえあれば、口座振替の手続きができてしまう。

もっと強いセキュリティ措置を講じている銀行もある。

 例えば、インターネットバンキングへのログインを求める銀行もある。その場合には、ログインIDとインターネットバンキングのパスワードがなければ出金できない。

 また、キャッシュカードと暗証番号に加えて、指定された時点の通帳残高を入力させる銀行もある。

 今回の事件では、口座番号と暗証番号などだけで口座振替の手続きができる銀行が狙われたようだ。

 銀行とNTTドコモが、このようにセキュリティの緩い状態で連携していたのだ。

 このような出金ルートができてしまったために、潜在的な被害者の範囲が極めて広くなってしまった。

「ドコモ口座のような仕組みやインターネットバンキングなどは、よく分からなくて怖いから近づかない」と考えている人も多いだろう。

 しかし、そうした人であっても、ドコモ口座と連携している銀行に預金を持っているというだけの理由で、(もしパスワード等が盗まれれば)被害にあう可能性がある。

 これは、極めて重大な問題だ。

「リバースブルートフォース攻撃」暗証番号から口座番号探し出す

 では、犯人はどのようにして銀行から出金したのだろうか?

 口座番号と暗証番号の組み合わせを何度も繰り返して試み、正しい組み合わせを見いだしたと考えられる。

 この際、口座番号を固定して暗証番号を変える方法は機能しない。なぜなら、暗証番号は数回間違えると、ロックがかかってしまうからだ。

 しかし、暗証番号を固定して口座番号を変えて総当たり攻撃をすると、1つの口座番号に対して試す暗証番号は1つだけなので、ロックがかかることはない。

 こうして、正しい口座番号を探し当てられる可能性が高い。

 この手法を「リバースブルートフォース攻撃」という。今回はこの手口が使われた可能性が強い。

 口座番号と暗証番号などだけで送金できてしまう仕組みは、セキュリティが甘すぎるのではないだろうか?

 実際、今回の事件がその脆弱性を証明している。

潜在的な被害者の範囲広い対策は十分か

 ドコモ口座のチャージ金額には「1カ月30万円」という上限値が設定されているため、1件当たりの被害額は巨額なものではない。

 しかし、上述のように潜在的な被害者の範囲は極めて広いので、徹底的な対策が必要だ。

910日から、ドコモ口座への銀行口座の新規登録は当面停止された。

 しかし、新規登録を停止するだけで十分だろうか?

 手続き済みの口座では、ドコモ口座への出金は、一部の銀行を除いていまでも行なえる。だから、被害が拡大する可能性がある。実際、事件が明るみに出たあとも、被害額は拡大している。

「自分の銀行口座の取引明細を頻繁にチェックし、不審な出金があった場合には直ちに銀行へ連絡せよ」とされているのだが、これでは何の対策にもならない。

 パスワードは知らないうちに盗まれているかもしれない。だから、ドコモ口座への出金は、全面停止すべきではないのだろうか?

 また、被害のあった銀行は出金手続きを再検討すべきだろう。

 今回はドコモ口座の開設の容易さが問題になったのだが、これはドコモだけの問題か? 他にも、同じような問題を抱えたスマートフォン決済の仕組みはないだろうか?

 もう1つ、今回の事件では、銀行口座のパスワードが盗まれた可能性が高いのだが、その手口はどのようなものなのだろうか?

 フィッシング詐欺の手口が用いられたのか? あるいは、新しい手口なのか?

 預金者が何に注意したらよいかを知るため、ぜひこのような情報提供と啓蒙活動を行なってほしい。

「デジタル庁」設置より先に、デジタル決済の安全確保を

 今回の問題は、インターネットバンキング(オンラインバンキング)そのものの問題ではない。

 インターネットバンキングではワンタイムパスワードなどを用いているので、安全だといわれる。しかし、ワンタイムパスワードであっても、盗まれると出金される場合はあるそうだ。つまり、絶対に安全という保障はない。

 実は、私自身は、インターネットバンキングを信用できないでいる。

 インターネットバンキングの設定をしたことがあるのだが、手続きをすませたあと、銀行勤務の経験がある友人2人に話したところ、2人ともインターネットバンキングをやっていないというのだ。

 にわかに心配になって、銀行に「パスワードを盗まれたら、預金全額を引き出されることがありうるか?」と聞いたら、「そうしたことはありうる」との答えだった。慌てて、設定したばかりのインターネットバンキングを取り消したことがある。

「インターネットバンキングは恐ろしくて使えない状態」というのは、決して杞憂ではないようだ。

しかし、インターネットバンキングを使いたいのは山々だ。とくにコロナの時代にはそうだ。

 安心してインターネットバンキングを使えるよう、ぜひとも、その安全性を保証してほしい。

 金融庁と政府は、今回の事件をドコモ口座だけの問題に限定化せず、デジタル決済全般の問題として捉え、徹底的な対策を講じてほしい。

 新首相になる菅氏はデジタル庁の設置を掲げるが、それよりこちらが緊急課題だ。

 それにしても、もっと進んだ仕組みが早く導入されないかと思う。

 第1に、これまでのようなパスワード方式では、それがいったん盗まれると、今回のように被害を止められなくなる。顔認証のような生体認証がすでに導入されている場合もあるが、そうした方法をもっと活用すべきだ。

 第2に、現在のように電子マネーが乱立していると、どうしてもセキュリティが弱いものが出てくる。国全体のマネーをデジタル化できるCBDC(中央銀行デジタル通貨)があれば、こうした問題は起きないだろう。

 中国では、デジタル人民元の実現が間近ではないかとされている。デジタル円の見通しはどうなのだろうか?

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
不正引き出し、地銀の甘さ露呈 最も重んじる信頼感に傷

SankeiBiz

2020.9.17

 
電子決済サービスを利用した不正な預金引き出しの被害が拡大している。地方銀行でも9行で被害が確認され、銀行のセキュリティー意識の甘さも露呈した。銀行が最も重んじる信頼感にも傷が付いた格好だ。

41

                             ※画像はイメージです(Getty Images


 全国地方銀行協会の大矢恭好会長(横浜銀行頭取)は16日、定例記者会見を開き、不正引き出しの原因について「顧客の利便性確保とセキュリティーのバランスを欠いていた」と述べ、一部の地銀で本人確認が甘かったとの認識を示した。

 これまでに被害が確認された地銀は、みちのく銀行、七十七銀行、東邦銀行、大垣共立銀行、第三銀行、紀陽銀行、滋賀銀行、中国銀行、鳥取銀行の9行。

 いずれもNTTドコモの電子決済サービス「ドコモ口座」と銀行口座をひも付ける際、本人確認を徹底する「2段階認証」を怠っていた。

 これに対し、被害の出ていない多くの銀行では、通常の本人確認に加え、利用者の携帯電話に1回限り使えるパスワードを通知して入力させるなど、複数の認証手段を組み合わせることで、なりすましを防いでいる。

 不正引き出しが多発している現状について、大矢氏は「銀行にある信用や信頼感が部分的に傷ついた」と述べた。まずは銀行と決済サービス業者による被害顧客に対する保障を行った上で、被害の出ていない銀行も含め顧客からの問い合わせや相談に応じることで、信頼回復に努める考えを示した。

 地銀をめぐっては、菅義偉首相の就任を機に再編の機運が高まっている。地銀が持続可能な収益モデルを確立していくには、セキュリティー対策充実のための資本力や人材確保も重要なポイントとなりそうだ。(米沢文)

 

AERAdot.(ライター・平土令)

2020.9.17

71

10日夕に開かれたNTTドコモの会見では丸山誠治副社長(左から2人目)らが謝罪し、被害額を全て補償すると発表した/東京都千代田区 (c)朝日新聞社


72

 

             AERA 2020年9月21日号より

 

 送金や決済ができるサービス「ドコモ口座」への不正振り込みが明らかになった。浮かび上がったのは、私たちの口座情報が簡単に入手されるという恐怖だ。AERA 2020921日号から。

 
気になるのは、今回の犯人が被害者の「名義人・口座番号・暗証番号」をどうやって入手したのかだ。10日のドコモの会見では、一部の不正振り込みで「生年月日」まで使用されていたことも明らかになった。詳細な手段は警察の捜査を待つ必要があるが、複数の専門家が指摘するのが「リバースブルートフォース攻撃」という手法だ。

 ブルートフォースは「総当たり」の意味。一つのID(この場合は口座番号)に対してパスワードを総当たりで試していく手法で、スパイ映画やドラマ「半沢直樹」でもあったように古くから知られているが、近年は数回パスワードを間違うとIDがロックされるシステムになっており、有効とは限らない。

 一方、今回使われた可能性がある手法はその逆(リバース)。「1111」「1234」などと暗証番号を固定した上で、それに合う7桁の口座番号をコンピューターのツールなどを使って総当たりで探っていく。これだと一つの口座番号に対しては1度ずつしかパスワードを試さないので、ロックされずに済むというわけだ。

 暗証番号に合う口座番号さえわかれば、ネットバンキングで途中まで振り込み手続きを進めるなどして、名義人も簡単に割り出せる。暗証番号に生年月日を使っていたら、生年月日までも不正に入手される。4桁の暗証番号はわずか1万通り。犯人側に物量作戦に出る力があれば、私たちの誰もが口座情報を不正入手される危険性がある。

個人情報を盗むためのホームページに誘導する「フィッシング詐欺」の手口で暗証番号や口座番号を入手した可能性も考えられるが、「その場合はより被害の範囲が大きかったはず」との指摘も出ている。

■利用者側の意識も重要
 今回ドコモは謝罪会見で、銀行の問題点を指摘しなかった一方、逆総当たり攻撃を受けたかどうかなどの情報を銀行から「得ていない」と回答するなど、銀行との連携不足も目立った。

 今後はドコモなど決済業者側の対策に加え、銀行側の本人確認強化が急務だ。さらに、「総当たり攻撃」の懸念が消えない数字4桁の暗証番号のままでいいのかを含め、金融庁が金融システム全体について安全性を見直す必要もありそうだ。

 ただ、事業者が対策を進めても、犯罪者側は更に巧妙にすきを突いてくる「いたちごっこ」になる可能性も高い。消費者としてまず注意すべきなのは、銀行口座に関するサービスを利用する際には、口座からの不審な出金がないかをこまめに確認するなど「自分のお金は自分で守る」という意識だろう。

AERA 2020921日号より抜粋

↑このページのトップヘ