「ドコモ口座」被害、なぜパスワードだけで情報流出を防げないか
2020年9月上旬に発覚した電子決済サービスを行う「ドコモ口座」の不正出金事件は、多くの人に不安感を与えました。それは、誰の身にも起こりうることだったからです。
本来、銀行口座は厳格な身元確認がなされて開設されるもの。銀行で口座を開設しようとすれば、身分証での本人確認が必要です。それは口座がマネーロンダリングや振り込め詐欺などで犯罪者に悪用されないようにするためです。
不正出金が行われた経緯は…
しかしドコモ口座においては、いくらでも他人になりすませるメールアドレスだけで開設ができるようになっており、そこが狙われました。犯罪者は実在する人物になりすましてドコモ口座の開設したうえで、不正に入手したその人の銀行口座番号と暗証番号を登録して不正出金を行ったのです。
本人確認をしっかりと行わなかったことが、今回の事態を招きました。NTTドコモの発表によれば、10月1日時点の不正出金の件数は238件、被害額は2904万円です。
もしかすると、この被害金額を聞いて、「騒がれたわりに、被害金額が少ない?」と感じた方も多いのではないでしょうか。その通りです。ここに一連の事件の真相のカギが見えてきます。
事件が起こってから対策を行うドコモ
理由のひとつに、NTTドコモ側が1か月に出金できる金額を30万円に制限していたことがあります。2019年5月りそな銀行からの不正出金がありました。この時の口座開設はNTTドコモ回線の契約者に限られていましたから、不正発覚後に回線の契約者と口座の名義が一致しているかを確認するように改めて、さらに引き出し額の制限をしました。
2重の対策を施したまでは良かったのですが、その後、NTTドコモユーザー以外にもサービスを拡大した際、メールアドレスだけで口座が開設できるようにしたのが失敗でした。今後は、口座開設時の本人確認をオンライン上で行い、SMS認証も導入していくとのことです。
それにしても、不正事件が起こってから対策を行うという、ドコモ側の後手後手ぶりが目につきますが、ここには犯罪への危機意識の甘さがあります。その点は、9月10日の会見でも「悪意で口座を開く人を排除できるかという観点が抜けていた」(丸山誠治NTTドコモ副社長)と言っていました。