｢ドコモ口座｣不正被害に見たもたれ合いの唖然 ドコモと金融機関の両方に責任と甘さ

登録をしたこともない電子決済サービスに、いつの間にか自分の銀行預金で万単位の金額がチャージされていた――。

9月初め、NTTドコモの電子決済サービス「ドコモ口座」を使った預金の不正な引き出しが明らかになった。9月11日午前0時時点で被害件数は73件、被害総額は約1990万円に上る。被害が確認されているのは七十七銀行や中国銀行、大垣共立銀行など地方銀行を中心とする計12行だ。

(略)

ドコモは再発防止策として、ドコモ口座に銀行口座を登録する際にこれまでのメールアドレスによる認証だけでなく、携帯番号宛に認証に必要な番号をSMS（ショートメッセージサービス）で送信する二要素認証を「可及的速やかに導入する」（ドコモ）。さらに「eKYC（Electronic Know Your Customer）」と呼ばれる、運転免許証など本人確認書類を撮影し提出するシステムを9月末までに導入する予定だ。

スマホ決済業者間の競争が激しくなる中、ドコモは回線契約者以外への決済サービスの拡大を急いだことが裏目に出た。通信会社系では、KDDIの「au PAY」やソフトバンク系の「PayPay」があるが、いずれもアカウント開設時にSMSによる二要素認証を実施している。さらに口座を連携する際に「自社の基準に照らし、（今回被害を出しているような）認証要素の少ない銀行に関しては、当社側の仕組みでeKYCを通さないと入金できないようにしている」（PayPay広報）という。

不正にチャージされたお金を使えないようにするには、スマホ決済業者がセキュリティ強化でせき止めなければならない。ドコモの場合、それが不十分だった。

二要素認証を”省いた”銀行
2つ目の問題は銀行側にある。銀行口座とドコモ口座をつなぐ際に、セキュリティの弱い方法を用いていた。

被害が確認された12の銀行は、「Web口座振替受付サービス（以下Web口振）」というシステムで口座接続をしていた。接続に必要なのは氏名、口座番号、生年月日、4桁の暗証番号。それらの情報を不正に入手すれば、第三者が勝手に口座接続ができる状態だった。

銀行口座と外部サービスを接続する際にセキュリティを高めるうえで、二要素認証は欠かせない。ドコモ口座との接続でも二要素認証を用いる銀行はあった。

現時点で被害の出ていないみずほ銀行は、自社のインターネットバンキングを経由して、ドコモ口座と接続しており、取引ごとに使い捨ての「ワンタイムパスワード」を発行していた。インターネットバンキングを契約していない顧客には認証の条件として物理的な通帳を求めており、通帳に記帳されている最終残高を入力しなければならない方式を取っている。

(略)

　つまり、今回の事件はドコモ側、銀行側それぞれのセキュリティに対する甘さが招いたものだ。前出の徳丸氏は「お互いに、相手が(本人確認を)やってくれるだろうという意識が確実にあった」と指摘する。
　事件発覚後、両者が危機意識を高めて協力しあう状況にはなっていない。ドコモはWeb口振の利用について「各銀行がそれぞれの事情で決める話」(丸山副社長)としている。銀行側は「われわれは(Web口振の)システムに乗っかっているだけ。セキュリティはある程度(ドコモなどの)決済事業者に依存してしまう」(中堅地銀行員)と言ってのける。

　セキュリティ強化を相手に委ねる形でサービスを続けていては、同様の問題が発生しかねない。ひとまずドコモは対応策を示し、ほかの決済事業者の水準に合わせた形だ。今後は地銀を中心とする銀行側の対応姿勢が問われそうだ。
https://news.yahoo.co.jp/articles/aed47980cdccb25bde6b0cbffbee1b61f910d496

どっちも悪い

移動決済サービス業て怪しすぎ

役所も人のこと言えないよね

ドコモ潰れたらええねん
記帳めんどくさかったわ

ドコモがなんとかしてればー
銀行がなんとかしてればー

アホか
どちらかが対策するべきじゃなくてどちらも対策するべき

電話屋が金融やりたがるから

しかも殿様商売

ドコモ「銀行がチェックしてくれてるだろうからヨシ！」
銀行「ドコモがチェックしてくれてるだろうからヨシ！」

日本の一番優秀な人材を集めてもこの体たらく
企業が人材をダメにしているることが一番わかる事例

地銀、責任逃れようとドコモ叩きしてるだろ

どっちもどっち詭弁だな。ドコモがまず悪いのに

盗まれたのは銀行の金という本質
銀行口座を管理しているのはどこか？

だから銀行もドコモも免許取り消せって
こんな映画みたいな盗まれ方して、
これからも商売続けようとか図々しいにもほどがある
資格ねえよ

二段階認証してた銀行は被害受けてないからな

さすが大勢で違反してれば責任がウヤムヤになる国
赤信号みんなで渡れば怖くないの精神

システム更新ではボロボロだったみずほだが、汚名挽回したな

被害額も大したことないし、どうせ保険で賄えるしっていうのが本音？

去年コンビニがしくじったことを学んでいない
想定外とか冗談ではないぞ
NTTの犯罪だろ
今だに知らん顔ｗ
危機管理がない

銀行が対策しない限りドコモ以外でも起こる

　

ドコモ口座だけじゃない！
こんなにある収納代行サービスアプリ！
これら全てが悪用されあなたの銀行口座にこっそり紐づけされ乗っ取られたら最期、
引き落とし被害総額300万円超え！！

もうこんなの解約しよう！！
支払いツールはSUICAやクレカで十分間に合ってます！

ドコモ口座
PayPay
LINE Pay
楽天ペイ
FamiPay
Kyash
PayPal
メルペイ
PayB
pring
ゆめか
支払秘書
　
17

バックドアみたいなのを仕掛けたドコモが全責任取れよ

SMS認証も本人確認にはならないらしい
データ通信用のSIMだと本人確認の義務無いんだってさ
ドコモ後手後手
業務停止にしろ

欲を出したんだな。

水道料金や電気料金や家賃の引き落としも
実はものすごく危ないのか？
それらも手続きに本人確認などなかったような・・・
今回のドコモ口座と何が違うのだ？

ネット通販でアカウントにクレカを登録するのも同じじゃないか？
なんでそっちは危険じゃないの？

先週記帳をして来たが
来月も記帳継続か・・・

JAって意外としっかりしてんだな

地銀のガバガバも問題だが
今回はドコモは開きっぱなしだったからな

既に紐付け終わってるから毎月の給料日感覚で薄く長く引き落としていくだけだろ
そこそこ銭ある高齢者は絶対気づかん

ドコモは去年同じ事件起きた時、公にして提携銀行に二段階認証徹底するよう呼びかければ良かったのに
被害者の弁護士に「フィッシング詐欺に引っかかったお前の雇い主も悪い」と盗まれた１５万のうち１０万をドコモと銀行で出す三本一両損解決法をとり公にせず隠してた
だから今回も「また情報抜かれた間抜けが騒いでるんだろ」と軽視してたら被害が予想以上にデカくてお上が動いてしまった

何か対策されてんの？いまだにドコモ回線が使えるんだけど

昨年、問題ばれた時にサービス停止して改善してればなあｗ

提携銀行がドコモコウザへ送金履歴のある口座の預金者全てに連絡すればいいのに何でしないの？

ドコモの契約者じゃないのにドコモ口座を作れるのを止めればいい

わかったからさっさと停めてメンテをやれよ。こんな危ないサービスを放置とか有り得んだろ

どれだけ批判されてもサービス停止しないドコモｗ

届出印を押印するのは多要素認証になっているからね
印鑑をなくすのはいいけど、代わりの多要素認証の認証方式を構築するか銀行は真剣に考えてね

本人確認はまた別の話