ドコモ口座が悪用された被害 あなたは大丈夫?

ひとこと

NTTドコモの電子決済サービス「ドコモ口座」による、銀行預金の不正引き出し被害が続発しています。

9月10日現在、少なくとも34件、およそ1,000万円分の被害が確認されており、連携する全ての銀行の新規登録を停止されてます。

ドコモ口座とは?

公式HPによれば、

ドコモ口座とは、ケータイでカンタンにお金を送ったり、安心してネットショッピングができるサービスです。面倒な手続きの必要がなく、利用規約等に同意していただくと、すぐに口座を開設して利用することができます。

ドコモ口座-よくある質問

となっています。

送金やネットでの買い物での利用がメインであり、利息もつかないただのオンライン口座ですが、セブンイレブンでnanacoチャージ→ATMで払い出しの永久機関や、ドットマネー→ドコモ口座の25%増量キャンペーンで、界隈には知られた、知る人ぞ知るサービスでした。

今回の問題点

今回のドコモ口座悪用の問題点は、対象の銀行口座を持っている人なら誰でも被害に遭いうることです。

あなたがドコモ口座持っていなくても、ドコモ利用者じゃなくても対象の銀行口座を持っていれば、被害に合う可能性があります。
ちなみに、対象銀行は以下の35行です。

なぜ不正利用が発生するのか?

今回の事件ては、「リバースブルートフォース攻撃」によるものではないかといわれています。

リバースブルートフォース攻撃とは、パスワードを固定し、口座番号やユーザーIDをツールなどを使って片端から試していく手法です。

通常は暗証番号を3回間違えるとロックされます。これは1つの口座に対してパスワードを片っ端から試していく「ブルートフォース攻撃」という手法を防ぐセキュリティです。

しかし、今回総当たりに使われている方法は逆で、パスワードを固定して「口座番号と名義」を片っ端から試していく反対の操作であるため、リバースブルートフォース攻撃と呼ばれています。

では、どうやって「口座番号と名義」を入手したのか。もちろんアンダーグラウンドからの不正流出も考えられますが、「口座番号と名義」は誰でも知り得ることができます。友達の銀行口座への送金や家賃の支払で銀行振込をしたことがあると思いますが、銀行名、支店名、口座番号を打てば、振込先の名義がわかります。

あとは0000~9999の1万通りしかない暗証番号を固定して「口座番号と名義」が合致するまで機械で施行するだけです。

また、通常、銀行口座開設には身分証や住所の証明など本人確認が必要なので、1銀行につき1人1つしか口座を持てませんが、ドコモ口座の場合は、メールアドレスだけで口座を開設出来てしまいます。メールアドレスはフリーメールでも良いので、簡単にそれこそ無限に作ることが出来ます。

そしてドコモ口座は対象銀行の口座番号と名義、暗証番号のみで本人確認とみなします。上述した通常の銀行口座開設に必要な身分証は必要ありません。


対象銀行の口座が開設で本人確認がされているから無駄なプロセスは必要ないでしょ!と、利用者の利便性という大義名分で、QR決済やオンライン決済などのサービス利用に必須であるSMS認証などの本人確認を省いて、誰でも入手出来る口座番号と名義、メールアドレスで開設できた結果、起こるべきして起きた事件でした。

今後の行方

今回の問題発生を受けて、ドコモはセキュリティ対策を強化した上で銀行口座チャージ新規登録を再開するとしています。

具体的には写真付き本人確認書類のアップロードや、SMS認証の導入を講じる予定としているようですが、ここまで大きな社会問題となっており、現段階ではサービスを停止していないため、更なる被害および社会的批判が発生しそうです。

その結果セブンペイと同様にサービス廃止となる気がします…

いずれにせよ、今後の対応方針に注視ですね。

コメント

タイトルとURLをコピーしました