【残念設計？】ドコモ口座を未所持でも不正出金のリスクがある理由

ドコモ口座 より

NTTドコモの「ドコモ口座」（通称：ドコモ銀行）を使った預金の不正引き出しが相次いでいる。

比較的新しいサービスなので多くの人は「自分は口座持っていないので関係ない」と思っているかもしれない。
しかしこの不正引き出しは「ドコモ口座を持っていなくても被害にあう」ことがわかっている。
つまりは誰でも被害者になる可能性があるのだ。

• 何故そのようなことになっているのか。
• 原因は何なのか。
• どう対策すればいいのか。

恐らくこのような悩みが出てくると思う。
今回は「ドコモ口座を未所持でも不正出金のリスクがある理由」と題して、現役ITエンジニアの立場からこの問題を解説する。

この記事を書いている人

システムエンジニア、AIエンジニアと、IT業界で10年以上働いている中堅。フロント、バック、インフラ、AI、BIなど深くはないが広めに経験している。あとIPAの高度資格もいくつか持っている。

ドコモ口座とは

ドコモ口座とはNTTドコモが提供する金融サービスで、以下のような使い方ができる。

• 実店舗やオンラインでの支払いに使える
• 友人や家族との送金や受け取りが可能
• ATMや銀行口座からチャージできる

パット見だとPayPay（ペイペイ）に対抗したサービスかと思うが、ドコモには既にd払いのサービスがあるので、PayPayに対抗したものではない。

どちらかと言うとさらにオンライン決済の機能を強化してPayPal(ペイパル)に寄ったサービスと言えるかもしれない。

ドコモ口座の不正出金問題

そんなドコモ口座のサービスだが、問題が発生した。
銀行口座との連携機能を悪用した不正出金である。

不正ユーザーが自分のドコモ口座と他人の銀行口座を紐付けて、他人の口座からお金を引き出して自分のドコモ口座に入金してしまう事件が多発している。

ドコモ口座を持っていない人が被害にあっている

この問題の大きな特徴として、、被害者はドコモ口座所持者ではないということが挙げられる。

ドコモ口座をもっていなくても、自分の銀行口座が勝手に誰かのドコモ口座に紐付けられて出金されてしまうのだ。

NTTドコモの電子決済サービス「ドコモ口座」を使った預金の不正引き出しが相次いだ問題で、ドコモ口座を利用していない人が被害に遭っていることがわかった。
（中略）
　被害が出た地方銀行の担当者は「確認した限り、お客様は『ドコモ口座なんか使ったことがないのに……』と話している」と説明する。他の銀行も同様の状況とみられる。

ドコモ口座の件、今朝の時点でわかってるのはこんな感じ。
・ドコモ口座持ってない→関係なく被害に合う
・携帯がドコモじゃない→関係なく被害に合う
・スマホや携帯持ってな→関係なく被害に合う
・対象銀行に口座はない→今回は関係ない
続く

— ぼに (@bonizo) September 9, 2020

サービスを利用することに問題があるのであれば、「安全が確認されるまでサービスに手を出さない」という事前対策が取れるが、サービスを利用していないのに被害にあうのであれば対策しようが無い。

NTTドコモの見解

NTTドコモより

この問題に対してNTTドコモは2020年09月08日に以下のような発表をしている。

一部の銀行において、ドコモ口座を利用した不正利用が発生しております。

本件は、不正に取得された銀行口座番号やキャッシュカードの暗証番号等を悪用したものであり、当社システムに不正アクセスされ情報を取得されたものではございません。

当社は、これまで不正アクセスに対する二段階認証やアカウントロック等、様々なセキュリティ対策を講じておりますが、お客さまにより安心・安全にご利用頂けるよう、更なる対策強化に努めてまいります。

よくわからないけど、どういうこと？

うーん、「ドコモのシステムは万全なので、口座と暗証番号が（ドコモ以外の）どこかから漏れたのが悪い」って言ってるのかな

自分ところのサービス経由で迷惑かけてるのに凄いこと言ってるな

問題点

ではドコモ口座不正利用問題の問題点は何なのか。
大きな問題点は１つ、他人の銀行口座を登録できてしまうという点に尽きる。

他人の銀行口座を登録できてしまうので、他人の口座から出金してドコモ口座にチャージできてしまう。

では他人の銀行口座を登録できてしまうことの原因は何なのか。
ネット上で主に見られるものとしては以下のようなものがある。

本人確認してない

銀行口座を開設する際は、免許証や戸籍謄本など本人を確認できる書類を提出して口座を開設する。

しかしドコモ口座を作成する際は、本人確認のプロセスが無い。

つまり成りすましでドコモ口座を作ることができてしまう。

つまりこんな感じ

七十七銀行のドコモ口座(ドコモコウザ)からの不正引き落としの件まとめてみた
若干違うところあるかもしれません
とりあえず七十七銀行預金者は記帳してみて pic.twitter.com/nFV2aHyT8Z

— もっちー (@mochiomochi14) September 7, 2020

流石にお金がモロに絡むサービスで他人名義でアカウント作れちゃうのはマズイでしょ。。。

アカウント作成についてはドコモ口座のサービス上での操作なので、ドコモに責任があるよね

まぁお互いこんなこと言ってるけど・・・

一番わかりやすいｗ

例のドコモ口座 pic.twitter.com/77pPJozGJH

— たおりー (@TowelieTynacorp) September 9, 2020

口座と暗証番号の情報が漏れている

ドコモの発表したページでは
「不正に取得された銀行口座番号やキャッシュカードの暗証番号」
による不正アクセスのように書かれている。

だが考えてみて欲しい。

もしシステム側が万全だったとして、銀行口座番号と暗証番号が漏れていた場合に不正アクセスできるものだろうか？

口座番号と暗証番号がわかってたらできるんじゃないの？

本当にそう？

え・・・、できないっけ？

普段銀行からお金引き出すときに、口座番号と暗証番号だけで引き出せる？

できそうな気が・・・

あ

キャッシュカードが必要だわ

そう、キャッシュカード。

そもそも口座番号と暗証番号がセットなのではなく、本来の使い方は、偽造防止のICタグが入ったキャッシュカードと暗証番号の組み合わせで使うものなのよ

そうか、口座番号と暗証番号だけでアクセスできるのがオカシイわけか・・・

そう、そこに今回の真の原因が潜んでいるわけ

ここからは真の問題点について説明していく。