元銀行員が解説！ドコモの口座問題はなぜ起こったのか？

NTTドコモのサービスを使ったことがない人こそ、今すぐ銀行口座の取引明細を確認してほしい。このたび社会問題となっているドコモ口座への不正入金事件は、ドコモのスマホ契約がない人でも、以下にまとめたリストの銀行口座を持っているならば誰でも被害に遭う可能性がある。

今回の事件の原因の詳細を解説しよう。

ドコモ側と銀行側のそれぞれのセキュリティ的な甘さが相まって今回の事件が起きてしまった。9月10日正午時点で判明している被害件数と金額は、66件、約1800万円で、被害が発生している銀行は11行。さらに被害が発覚する恐れは十分にある。

解説のまとめも付けてあるので、見比べながら読み進めてほしい。

引用元：ドコモ口座／　https://docomokouza.jp/detail/bank_list.html

順不同。すべての銀行がセキュリティ的な甘さがあるというわけではなく、ドコモ口座と連携できる口座の一覧として列挙した。ドコモ口座と連携することを「ひも付け」という。

ドコモ口座不正入金事件の原因まとめ

(1) ドコモ口座はドコモユーザー以外でもメールアドレスさえあればいくらでも作れてしまう。

(2) ドコモ口座とひも付ける銀行口座の手続きは、口座番号と暗証番号があればできる銀行がある

(3) 銀行口座番号や名義は誰でも調べることができるし、ECサイトから不正に流出することもある

(4) 犯人は口座番号と暗証番号のパターンを何度も繰り返してドコモ口座と銀行口座の紐付けを試みた

メールアドレスだけでドコモ口座が作れる簡単さがNTTドコモ側の事件の原因

ドコモ口座とは、NTTドコモが提供している決済サービスのこと。

同社が提供しているd払いやVISAプリペイドといった支払いサービスに使うためのお金を貯めておけるサービスで、誰でも無料で口座を作れる。dアカウントというドコモのサービスを利用するためのアカウントを作れば利用できる。

dアカウントはメールアドレスさえあれば簡単に作れる（下図）

お金を扱うサービスなのに利用者の本人確認をきちんと行なわずに、ドコモ口座の開設が出来てしまう手軽さが、今回の事件の第一の原因である。

NTTドコモが9月10日に行った記者会見によれば、ドコモの回線を持っている人は回線の認証を行っているが、そうでない場合にはメールを使った二段階認証だったので本人確認が不十分であったと述べている。

口座番号と数字4桁の暗証番号で「口座振替」の手続きができる銀行側の甘さも

ドコモ口座は、通常の銀行間の送金とは異なり、ATMやネットバンキングを使って行なう銀行振込での入金はできない。

代わりにドコモ口座から銀行に対して「口座振替」の依頼を行なう形式で行なう。この手続はスマホを使ってネット上でできる。

だが、銀行振込と口座振替は似て非なるもの。

銀行振込は「送金元」の口座を操作して送金を行なうが、口座振替の場合には「送金先」からお金を引き出してもらう依頼を行なう。電気やガスの料金、クレジットカードの利用料金の引き落としの仕組みをイメージするとわかりやすい。

このとき銀行によっては口座番号と数字4桁のキャッシュカードの暗証番号さえあれば、口座振替の手続きが出来てしまう。銀行によってはインターネットバンキングへのログインを求めているが、その場合には、ログインIDとパスワードがなければ登録できない。

セキュリティ性を強化するのであればインターネットバンキングへのログインを必須とするだけでだいぶ変わるはずだが、インターネットバンキングの契約をしていない人の利便性も考えなければならない銀行の事情もある。

そのためキャッシュカードと暗証番号に加えて通著の最終残高を入力させて少しでもセキュリティ性を確保している銀行もある。

また口座振替の手続を一度行ってしまえば、ドコモ口座からはワンタッチで入金出来てしまう。

ここに今回の事件の犯人が目をつけた。特に口座番号と暗証番号で口座振替の手続きができる銀行が狙い目。ちなみ銀行口座番号は個人情報として厳格に管理されているとは言えない。知ろうと思えばいくらでも調べられるものだし、ECサイトなどから不正に流出している可能性も否定できない。

■口座番号がわかれば名義を調べられる

銀行によっては口座番号から振込先の名義を照会できるサービスを提供している。振込間違いを防ぐためのサービスではあるが、悪意のある人からすれば、口座番号から名義が調べられる道具として悪用できる。

■みずほ銀行のネットでの口座振替手続き

みずほ銀行で口座振替の手続きをする場合はインターネットバンキングのアカウントを使う方法と、キャッシュカードの暗証番号・通帳の残高を使う方法の２種類がある。通帳の残高もしらみつぶしで入力する対象とはなりうるわけだが、項目が多い分だけ守りが固い。

■地方銀行（伊予銀行・仙台銀行）のネットでの口座振替手続き

地方銀行の口座振替の手続きページを見てみるとキャッシュカードまたは通帳を持っていれば手続きが可能な旨が書かれている。9月10日現在で新規受付が停止されているため、手続き時に何を入力するかまで確認出来なかった。尚、ここで紹介した銀行のセキュリティ性能が甘いというわけではないことを申し添えておく。

犯人の手口は「リバースブルートフォース攻撃」か？

口座振替の手続が甘いといえど、キャッシュカードの暗証番号は0000～9999の1万通りある。読者の皆さんも一度は経験があるだろうが、キャッシュカードの暗証番号は数回間違えると、ロックがかかってしまい取引ができなくなってしまう。

犯人はロックがかかるまで暗証番号を入力する手続きを繰り返したのかといえばそうではない。

暗証番号の方を固定して、手続きに使う口座番号を変えながらロボットを使ってしらみつぶしをするように、認証が通るパターンを探した可能性が高い。この場合は１つの口座番号に対して試す暗証番号は１回だけなので、ロックがかかることはない。攻撃をされた口座保有者にばれる可能性も少なくなる。

この手法を「リバースブルートフォース攻撃」という。

新規のひも付けは停止中だが、手続き済口座への入金は一部銀行を除き継続中

9月10日の時点で対象となる銀行とドコモ口座との新規のひも付けは停止中だが、手続き済の口座に対して、ドコモ口座への入金操作は、一部の銀行を除いて今もなお行える状態。全面停止をしない時点で、被害が拡大する可能性が残っているため、自身の銀行口座の取引明細をチェックする頻度を増やして、見に覚えが無い出金があった場合には直ちに銀行へ連絡する。自衛するのが一番だ。

取材・文／久我吉史
現役の金融ビジネスパーソンでもある金融ライター。ネット証券やネット銀行などを渡り歩き、ITから法人営業まで何でもこなす。最近は金融ビジネスをコーポレート（法務・会計）目線で作り上げるような毎日を送っている。