ドコモの会見から数日、ドコモ口座問題の真相が少し見えてきた

自分の口座からお金をチャージして、スマホで買い物ができるサービス。それが『ドコモ口座』サービス。
口座とあるが、銀行ではない。
今あるものに例えるなら、PayPayサービス(QR決済アプリ)を利用していて、チャージ先に銀行口座(ジャパンネット銀行など)を紐づけて、口座からPayPayにチャージする仕組みと構成は一緒です。

ここ数日、当店のお客様との雑談の中で、お客様が勘違いされていた内容は大きく以下のふたつ。
✅ 『私はドコモ口座なんて使ってないし、関係ないよね？』
✅ 『私はドコモ携帯使っていないので、関係ないよね？』

と思っている方が意外に多かったので、警鐘の意味も兼ねて、現在判っている状況をまとめます。個々の専門的な情報は金融関連のサイトに任せるとして、ここでは概要をご説明します。

ドコモ口座、不正引き出し問題の原因は意外なところに？

ドコモの記者会見をもとにした記事は多く見られますが、だいたいのところドコモ口座の開設時に本人確認が甘かったことが原因。 という論調が多く、記者が銀行側の責任について質問しても、明確な回答はありませんでした。

このドコモ問題は、ドコモ口座開設時の本人確認の甘い仕組みが、匿名性を担保しつつ、他人の口座から金銭を引き出す犯罪を実現可能にさせる、最後の『ひとかけら』 だったのです。ドコモ口座の開設時の甘さが、全ての原因ではないぞ！ということ。ここが重要です。

じゃあ何が問題だったのか？

インパクトの大きい一番大事な問題は、そもそも各銀行の口座情報が、オンラインバンキング・システムに異常操作を検知されることなく、 何らかの手段で口座番号と暗唱番号がセットで突き止められて、盗まれていた事実。
オンラインバンキング・システムそのものの、セキュリティーに脆弱性があるんじゃないか？ という、かなり激しい問題がベースにあります。

今までは不正引き出しとかの犯罪はそんなに多くなかったのでは？

勝手な想像ですけど、この口座情報が何らかの方法を用いて盗まれているのは、かなり前からであった可能性もあります。でも犯罪はそれほど発生していなかった。
それは、盗んだ情報をもとに、そのまま口座から出金してしまうと、振り込んだ・引き出した時に証拠が残りやすく、完全犯罪になりにくいから。勝ち目がないのでこのタイミングでは犯罪が多くならなかった。

ここでドコモ口座サービスの登場。

匿名性のあるアカウント（＝登録・作成時の本人確認が甘いアカウント）が作成でき、これに不正に入手した銀行口座と暗唱番号を紐付けて、利用することで匿名性を担保しつつ、金銭(価値のある商品)を手に入れることが可能になる訳です。

各銀行からの情報提供や会見などが無い気がしますが

ドコモ口座問題で、『うちも被害者なんだ！』と各銀行が騒がないのは、
・そもそも銀行口座情報がどのようにして不正に盗まれたのか調査している段階であること。
・不正出金の被害者が多い銀行は、オンラインバンキングにおけるセキュリティーが甘いのではないか？
という問題に決着がつかず、報告するタイミングにない、というのが実情なのかもしれません。

皆様にぜひお知らせしておきたいこと

今回のドコモ口座サービスによる不正引き出し問題は、

✅ ドコモ口座サービスを利用しているか否かは関係ない。
✅ メインの口座以外で、こまめに記帳や確認していない口座を持っている。
✅ 理由はともかく、誰かに口座番号と暗唱番号を知られてしまった方。

この条件にあてはまる方が被害に遭う可能性があります。上記を要約すると、こういうことです。

✅ オンライン決済機能が備わっている銀行の口座を持っている人すべてに、被害に遭う可能性がある。ただし、銀行ごとにセキュリティー基準が異なるようなので、被害に遭いやすい銀行と、そうでない銀行とが、今後数字として明らかになっていくであろう。

被害の有無と現状の確認を！

先日の会見で、今回の問題で被害に遭われた方への補償はドコモが行うと話されていたので、被害の事実を確定する必要があります。ドコモ口座への新規入会は既に停止しており、同様の手口で被害が広がることはないと推察しています。ですので、お手許に銀行口座(通帳)を記帳して頂いて、『ドコモコウザ』なる引き出しがないことを確認してください。 これは銀行側が行うことではなく、口座を持つお客様が確認する内容です。

【参考情報】被害に遭わない方の条件

口座番号と暗証番号が不正取得されていたとしても、今回のドコモ口座のトラブルには見舞われない条件です。

・オンラインバンキングを利用中でも、二段階認証（ツーファクター認証、２要素）を用いて個人を認証している場合。この設定がされていると被害に遭いにくいと言われています。(今後、検証が必要な項目。)
・すでに『ドコモ口座』に紐づけている銀行口座。(他のアカウントには紐付けできませんので。)

オンラインバンキングの口座情報被害に遭わない条件ではないので、間違わないように注意。

余談。他行と差別化をはかるには？

安全な銀行、安全な口座は何なのか？ネットに接続できるようにするから被害に遭う訳なので、極端な話し、一切の相互接続をせず、今までどおり支店に行って手続きをするという口座なら（少し不便にはなりますが）安心です。銀行も生き残りの時代。ITに不慣れなシニア世代には好感を持たれる仕組みかもしれません。

この問題とは関係なく、オンラインバンキング事業から完全に撤退する銀行とか出てくると、意外に人気が出たりするかもしれません。他社のオンラインシステムとつながることが技術的になければ、安心するという方は一定割合いらっしゃると思いますし、オンライン上で口座情報や暗唱番号を不正に試されることも無くなりますしね。