週刊大阪日日新聞

大阪市(北・西・中央・都島・城東・旭・鶴見区)・守口市・門真市
(社)日本ABC協会加盟紙 251,012部

2020/9/26

そうやったんや! 畑山博史のわかるニュース

「ドコモ口座」不正出金問題 ネットでヒモ付け≠フ危険性

手軽さ≠フ落とし穴 もはやドコモ口座≠フ問題ではない

 ドコモ口座詐欺に端を発し、スマホなどの電子決済サービスで銀行預金が何者かに勝手に抜き取られる事件が相次いでいる。資金移動業者と呼ばれる「なんとかペイ」側だけでなく、ヒモ付けされる銀行側もゆうちょ銀行などでも不正出金が明るみになった。さらに、ネット営業中心のSBI証券で顧客資金1億円近くが抜き取られる事態も起きている。「自分はドコモ口座を持っていないから大丈夫」という単純な話ではない。誰かが勝手にあなたのドコモ口座を作り、あなたの銀行口座にヒモ付けして預金を抜き取る可能性があるのだ。キャッシュレス時代は大丈夫なのか? その手口から防衛策について考えてみたい。

 銀行のATMでお金を引き出すにはキャッシュカードと4桁の暗証番号が必要だ。一方、ネットバンキングはカードが不要だが、本人確認のために使い捨てパスワードが送られてきて、それを入力することでなりすまし*hいでいる。

 ところが誰かが勝手にあなたの「ドコモ口座」を作って、あなたの本物の銀行口座の住所、名前、口座番号と暗証番号が入手されれば、その銀行口座がドコモ口座にヒモ付けされる。キャッシュカードと暗証番号を同時に奪われたのと同じ状態だ。

 「ドコモ口座どころかドコモ携帯自体を使っていない」と安心してもダメ。銀行口座を持っていて誰かに勝手にどこかにヒモ付けされたら最後、預金流出は防げない。

本人確認を簡単にした結果…

 電子決済サービスは激しい競争社会。NTTドコモの「ドコモ口座」に匹敵するのが、ソフトバンクの「PayPay」やauの「auPAY」だ。さらに銀行が独自に行う「BankPay」などなんとかペイ≠ェ次々に登場している。

 こうしたシェア争いの真っただ中だから、ユーザーに自社のペイ≠使ってもらうには、面倒な本人確認作業を回避し、「簡単」をウリにしなければ、という発想になる。つまり、ドコモ口座で指摘されたように@携帯がなくてもメールアドレスだけで開設可能A口座のある銀行側も本人確認が緩やか、という甘い認証基準が生まれてしまったのだ。

 「悪意で踏み台にされるとは思わなかった」(NTTドコモ幹部)の釈明は言い訳。なぜなら、ドコモ口座は昨夏すでに、同じような手口でりそな銀行から資金が流出していたからだ。しかも、ドコモはその情報をすべての提携銀行に提供せず、預金口座からのチャージ(入金)額の上限を引き下げただけで済ませており、抜本的な対策を取らなかった。りそな銀は今も提携再開をしておらず今回の対象35行にも入っていない。

銀行側も責任認める

 地銀やメガバンクは銀行法という規制を受け、顧客の資金管理に厳しい。だが、最近は貸し付けによる金利収入がが減収続き。その一方、電子決済の手数料が大きな収入になっており、ヒモ付けへのハードルは下がり気味。支店を減らしてネットバンキング化を急いだことで、窓口での本人確認が省略され、紙の通帳も廃止されつつある。その結果、預金者はこまめに通帳記入をしなくなり、今回の預金が抜き取られても気づきにくくなった。銀行協会の三毛兼承会長(三菱UFJ銀行頭取)は混乱をわびた上で「銀行側と資金移動業者(なんとかペイ)側、双方の枠組み機能が重要」と責任の一端を認めている。

携帯同士でシェア合戦

 ペイ≠主導する携帯電話各社にも重圧がのしかかる。菅政権が誕生し、通信料の引き下げ要求が強まるからだ。引き下げられる通信料収入に代わって、電子決済サービス収入を増強するため、利用者の囲い込みに懸命。「認証の手間を少なくして、誰でも簡単に登録してほしい」の姿勢で拡大を目指している。

 利用者が仮にトラブルに巻き込まれた場合、最初に頼るのはペイが関係する携帯電話会社の街角ショップのはず。ところが、各社とも機種変更や新規契約だと笑顔対応だが、解約やトラブル系での対応には非常に態度が悪い。ドコモ口座の一件では、当初ドコモショップで「問題の口座は確かにあなた名義だが、暗証番号が言えない人に個人情報は開示できない」と門前払いに。

犯人はデジタル犯罪のプロ

 金融のデジタル化は常に手軽さ≠ニ安全性≠ェ相反する。手軽にし過ぎれば預金が抜き取られ、安全を重視すれば面倒臭くなって利用が減る。守る側の技術革新(イノベーション)と、隙(すき)を突いてシステムを破る側の知恵比べの日々だ。

 悪者はまず、金融機関の偽サイトによるフィッシング詐欺やネットショップから情報を流出させ、口座情報を大量に集める。口座情報を得ると、次に暗証番号を調べる。入力を何度か間違うとロックされるため、彼らは1つのパスワードに固定し、大量に集めた口座に当てる「リバースブルートフォース攻撃」で割り出していく。暗証番号を1日に3回間違えるとロックされるシステムなら、毎日2回ずつ試せば短時間に割り出せる。

 仮に、携帯番号入力や顔認証が取り入れられても安心できない。SBI証券で顧客口座から約1億円が抜き取られた事件では、何重もの複雑な本人認証が突破された形跡がある。悪人は捜査の手が届かない海外のサーバーを経由し痕跡を調べられないようにするなど簡単に捕まらない。

どうやっても防げない

 今回の事件で、「もう、ペイは怖いので止めます」という人もいる。しかし、金融を含めたデジタル化の推進は国の一大事業。消費税を10%に引き上げた際に、キャッシュレス払いで5%還元を国のお金で実施したのは記憶に新しい。国は今も「マイナポイントで5千円分還元」でデジタル化をさらに進める。

 こうなったら、多少面倒でもしっかり通帳をチェックし、被害に遭ったらすばやく管理者補償でお金を取り戻すしかない。

自主防衛策

@こまめな通帳チェック。ネットバンキングでも閲覧できる。「残高がないから大丈夫」と思っている人は危険。自動貸し付け制度では、知らない間に借り越しさせられるケースもある。

Aなんとかペイに入る時、「本人確認はしっかりやっているか?」のチェックを。面倒臭いくらいがちょうどいい。

Bパスワードは強固に。誕生日や電話番号など類推しやすいものはダメ。設定後も定期的に変更し、他人にバレぬよう注意。

C2次被害に遭わない。すでに新潟県で警察を装い「ドコモ口座被害に遭っている」とニセ電話が入り、高齢者がキャッシュカードと暗証番号を巻き上げられる古典的詐欺が次々発生している。

■大型施設が「平日営業」再開 USJ、海遊館でにぎわい

■新阪急、梅田OSなど閉館へ コロナ直撃°鼡ォのホテル業界

■本紙記者のコロナワクチン接種ルポ 手際よい会場運営。 接種も「あっという間」

■私のコロナ体験記 万全な医療体制でなくても治療が受けられれば救える命も

■人新世の「資本論」がベストセラー 大阪市立大准教授 斎藤幸平さんにインタビュー

■ワクチン予約、電話受付も 大阪市の大規模接種会場

■テナントは1日2万円支給 大規模施設への休業協力金 17日から受付

■矢田のまちづくりで協定 大阪市×日本GLP

■酒類事業支援金引き上げ 吉村知事「国と同額に」

■職域接種「柔軟、迅速に」 吉村知事、国へ要望

■スカイオでeスポーツ体験 南海電鉄、今夏開設

■大阪信愛中高、来年4月共学化 137年の女子教育転換

■「ご祈祷クッキー」完成 四天王寺大生がデザイン

■「ゴジラコマユバチ」と命名 府立大チームが新種のハチ発見

■コロナ労災313人 大阪労働局20年、府内

■募金型の電子看板設置 SDGs寄付で支援

■「お金・投資」本 売上2倍 楽天ブックス

■日本株も1株から買える 新米投資家記者の勉強会


週刊大阪日日新聞
最新号
毎月第2・第4土曜発刊
「大阪日日新聞」
電子版
電子版の詳細はこちら
アップルストア グーグルプレイ
日日チャンネル【Gotoキャンペーン編】/「宿泊」「ステーキ食べ放題」「お酒飲み放題」で、なんと! 2,500円 だった
pagetop