ドコモ口座事件から考える、決済サービスにおける"本人確認の重要性"|サイバーセキュリティ.com

  1. ホーム /
  2. コラム /
  3. ドコモ口座事件から考える、決済サービスにおける"本人確認の重要性"
             

ドコモ口座事件から考える、決済サービスにおける”本人確認の重要性”



先日から「ドコモ口座」を利用した事件が話題になっています。多数の銀行・個人をも巻き込んだ大事件です。

また金融システム上も、”なぜこんなことが起きたのか”、今までの感覚ではあり得ないと思うことも多々報じられています。まだ情報が錯綜している状態ではありますが、現状分かっていることから感じることを述べて行きたいと思います。

現実世界における”口座振替サービス”の流れ

まず、問題が起きた「web口座振替」を語る前に、現実世界での口座振替サービスの流れ押さえておきたいと思います。Webだろうが現実だろうが、取引の基本的なプロセスに違いはありません。現実世界ではこんな感じで流れます。

  1. 収納企業で取引発生(※今回の場合ドコモ)
  2. 収納企業が振替口座の所有者本人に、住所・氏名・口座番号・銀行印が入った申請書を記入してもらい銀行へ提出
  3. 本人に申請書の控えを渡す
  4. 銀行は住所・氏名・口座番号・銀行印を確認し、口座振替設定

現実世界では収納企業が本人確認をしています。さらに銀行側でも収納企業から提出された情報を鵜呑みにせず、自分たちで確認できる情報で本人の確認をしています。

こう見ると今回の事件では、収納企業(ドコモ)の”本人確認の欠如”、及び被害者が発生した銀行側の”本人確認の甘さ”を感じられます。

根本の問題は”本人確認の甘さ”

種々の情報を見ますと、「ドコモが悪い」と言う方と、「お金を抜かれた銀行が悪い」と言う方がいます。筆者個人的見解では「どちらも悪いが、ドコモの方がより悪い」という認識です。

“初期に本人確認を行っていた”とドコモが主張した「口座番号とキャッシュカード暗証番号の一致」は銀行側の確認行為であって、ドコモが果たすべき本人確認行為ではありません。さらに、記者会見でも発言がありましたが、決済口座作成の本人確認をあまりにも甘く見ていたと感じるからです。

筆者がこの事件の情報を聞いて最初に感じたのは、「銀行口座契約者の被害に留まらない問題なんじゃないか?」ということでした。

マネーロンダリングに使われる可能性も

事件発覚後、「ドコモ口座を使っていない人もお金を抜かれた可能性があるから残高を確認しよう」という呼びかけがありました。確認するのは良いことですが、筆者は「残高」だけでなく、「取引明細」も確認した方が良いと考えています。それは「マネーロンダリング」に使われる可能性があるからです。

お金が減っていれば、悪用されたことが分ります。しかし、マネーロンダリングに利用された場合は、犯罪で得た資金をその口座に振り込み、同額をさらにドコモ口座に移動するだけでしょう。悪用された方は残高だけ見たのでは気づきません。知らない間に犯罪者に口座を利用されている可能性が生じてしまうのです。

本人確認はマネーロンダリング対策に必須

そもそも、資金口座の本人確認要求は、マネーロンダリング対策から始まっています。Pay-pay事件の際のコラムでも紹介させていただいた、金融系が守るべき「FISC基準」にも実装117の項目で下記を明記しています。

不正取引防止のため、インターネット・モバイルサービスにおいて口座開設を行う場合は適切な方法により本人確認を行うこと。

本人確認は資金移動を扱う業務の基本です。これを疎かにしていては金融庁からお叱りを受けるのも当然でしょう。

2020年9月11日現在、ドコモ口座の新規登録は停止されているようですが、気づかないうちに犯罪に利用される可能性があることを鑑みれば、一時的な混乱は想定できるにしても、しっかりと理由を説明し謝罪・補償をした上で、ドコモ契約者以外の口座は本人確認が完了するまで一旦利用停止するべきではないか、と感じてしまいます。

PayPayクレジットカード悪用問題から考える、金融システムが守るべき安全対策基準とは
2018.12.18
PayPayで起きたクレジットカード悪用問題。まだ他人事と感じている方も多いようですが、キャッシュレス社会構築を目指す日本においては、根幹を揺るがしかねない事態です。今回はこの件について考察していきたいと思います。 PayPayで

銀行側の問題は?

一方、悪用された銀行側の問題もあります。報道では口座番号とキャッシュカードの4桁の暗証番号で本人確認と見做すシステムもあったとされています。個人的には信じがたいのですが、実際にあったとすれば大きな問題でしょう。

一部報道でフィッシング詐欺に結び付けた話もありましたが、口座番号と4桁の暗証番号で本人確認をしていたのであれば、わざわざフィッシング詐欺サイトを作る手間をかけるまでもありません。

高い確率でアクセス可能になってしまう

銀行のATMではキャッシュカードという物理的なものの所有確認があって、その上で暗証番号と組み合わせるため安全性があるのです。口座番号は採番の法則性もありますし、様々なところに提出をしているものです。それと4桁の暗証番号だけで本人確認と見做すのは、何万回だろうとアクセスを試すことが可能なネット取引ではあまりにも危険でしょう。

単純に考えても、1万回試してみれば1回は一発で成功しておかしくないことになります。実際には「1111」のような同番、「1234」のような連番の存在、生年月日で行くなら一桁目は0か1になる、のように暗証番号には偏りが出ますので、もう少し高い確率になります。

あまりにも杜撰なアクセス認証

第一、6年前には同じように数字の顧客番号と4桁の暗証番号だったJALとANAが不正に会員サイトにアクセスされた事件が起きています。地銀とは言え、最近参入したわけでもない歴史のある金融機関が、この事件発生後でも口座番号と4桁の暗証番号だけでアクセス認証していたとすれば、あまりにも杜撰すぎます。これも金融庁の調査が入って当然でしょうし、経営姿勢も問われて然るべきでしょう。

日本航空個人情報流出事件から考える<暗証番号で情報は守られない>
2016.5.16
2014年9月、日本航空(以下JAL)において、マイレージ会員の個人情報が、社内PCのウィルス感染により流出するという事件が起こりました。 当初情報流出の規模は最大75万件にも及ぶとの報道がなされましたが、その後約1ヶ月間行われた社内

ネット口座振替受付ゲートウェイの役割

ネット口座振替受付GWサービス/NTT DATA

もう一つ、あまり報道には出てきませんが、銀行がwebで口座振替を受け付ける場合は、一般にNTTdataの「ネット口座振替受付ゲートウェイサービス」を利用します。特に地銀ではこのサービス利用が前提です。

本当に「口座番号と4桁の暗証番号での本人確認」が事実だとすれば、このサービスでも安全性をチェックしていなかったということになります。金融機関だけでなく収納企業である一般企業も対象にしているのですから、パスワード桁数の下限ルール適用等、最低限のセキュリティチェックはここでもしておくべきではないのかと感じます。

ネットバンクで通常推奨されるような桁数未満のパスワードによるアクセスは拒否できるようにすべきではないでしょうか。

参照ネット口座受付GWサービス/NTT DATA

公的認証サービスは資金移動口座の本人確認に活用すべき

さて、最後に個人的希望ですが、この資金移動口座の本人確認こそ、公的認証サービス(マイナンバーカードとは言いません)を利用できれば良いのにと思っています。特定定額給付金は、マイナンバーカードに入っている公的認証サービスを無理に使わせることで混乱を引き起こしましたが、こういう民間で本人確認を必要とするものこそ、公的認証サービスが有効ではないかと感じます。

公的管理の個人情報キーであるマイナンバーと民間でも使える公的認証サービスを一緒に扱おうとするからマイナンバーカードは問題なのであって、それぞれ別のものにすれば有効に活用できるはずです。

公的認証サービスをスマホで使えるようにする動きもあるようですし、ネット上の本人確認の信頼性向上の議論がこれをきっかけに進んでいけば良いと思います。

マイナンバー”カード”利用で混乱、特別定額給付金のオンライン申請はなぜ失敗したのか
2020.5.18
コロナ騒動が続く中、ようやく10万円の「特別定額給付金」の申請が始まりました。遅きに失したとはいえ、一日でも早く必要な方が大勢いらっしゃいます。オンライン申請の体制は必須と考えていましたが、ここでマイナンバーカードを使うという話が出て困惑し

関連コラム(あわせて、以下の記事もよく読まれています)

製品・サービス(当該コラムの内容に関連する製品・サービスはこちら)


SNSでもご購読できます。