国内携帯電話キャリア最大手のＮＴＴドコモが提供する電子決済サービス「ドコモ口座」を介して、複数の地方銀行で預金の不正引き出しが見つかった事件では、日本企業のリスクマネジメントの甘さが露呈した。

　さらに、ドコモ事件が発端となって、他の決済サービスでも不正が次々と発覚。９月17日時点で、ヤフーの「ＰａｙＰａｙ」、ＬＩＮＥの「ＬＩＮＥペイ」、メルカリの「メルペイ」、Kyashの「Kyash」などでも被害が確認されており、収束の兆しが見えない。

過去にも同様の事件

　ドコモ口座は、利用者が口座開設時に登録した銀行口座からチャージ（入金）しておくと、スマートフォンなどから買い物や送金に使える。この決済方法は通称「ｄ払い」と呼ばれる。ドコモ口座は、ドコモの顧客ＩＤ「ｄアカウント」と銀行の口座情報があれば開設できる。ドコモ口座とひも付けることが可能な銀行は地銀を中心に35行ある。

　今回の事件は、預金者の銀行口座番号や暗証番号などを不正に入手した犯人が、預金者本人になりすましてドコモ口座を開設し、そこへ入金する形で銀行口座から預金を引き出した。七十七銀行（仙台市）、中国銀行（岡山市）など11行で被害が確認されたことを受け、35行全てでドコモ口座との取引が停止された。一部の銀行では、銀行の口座番号と名義、４桁の暗証番号があればドコモ口座を利用できる状態で、セキュリティーが脆弱(ぜいじゃく)だったことも明らかになった。

　今回の事件では、犯人がｄ払いで高額な家電製品やタバコを購入した形跡も確認されているという。ドコモのｄ払いにまつわる犯罪は、今回が初めてではない。同様の犯行で今年５月には中国人男女５人がｄ払いを使って、家電量販店でノートパソコン5台、販売価格で82万７２００円をだまし取った疑いで逮捕されている。犯人はショートメッセージサービス（ＳＭＳ）を送り、偽サイトに誘導しＩＤとパスワードを盗み出す、いわゆる「フィッシング」の手口を使ったと見られている。ただ、このケースでは、ｄアカウントの“利用者の不注意”とみなされたため、今回のように連日マスコミを騒がすようなことはなかった。

　ただ、それがあったために、ＮＴＴドコモは今回の事件も「利用者の責任」と考えた可能性があるのではないか。そうした“利用者軽視”が今回の初動対応のまずさに表れていると筆者は考える。

　昨年、多くの地銀で預金者がフィッシング詐欺に遭うケースが発生した。「セキュリティー機能のアップデート」という偽メールで偽サイトに誘導し、口座番号、氏名、暗証番号、生年月日や電話番号といった情報を入力させる手口で、イオン銀行、ゆうちょ銀行など今回の被害が確認された銀行と同じ銀行が狙われた。これらのケースで、ドコモ口座をはじめ、ＰａｙＰａｙ、ＬＩＮＥペイ、メルペイなどの利用者が被害を受けていたかどうか検証が必要であろう。

　今回の事件は、過去にフィッシング詐欺に遭った口座の情報が、再び犯罪に利用された可能性が高い。自己責任ということにもなりかねないが、今回は被害金額の全額を銀行とＮＴＴドコモが補償する方向で話が進んでいるようだ。

　フィッシング対策協議会によると、フィッシング詐欺の報告件数は、昨年は１年間で５万５７８７件、今年はすでに10万４２３６件に達している（８月末現在）という。被害に気づいた人からの報告だけで、これだけの詐欺被害が出ているということは、それなりの銀行口座情報が出回っているということを意味する。したがってドコモ口座不正の被害者は今後も続出する可能性が高い。

　高市早苗総務相（当時）は９月15日、ゆうちょ銀行と提携する即時振替サービス業者12社のうち6社でも同様の被害が出ており、ドコモ口座だけの問題ではないことを公表した。今回の事件は金融庁が定めるところの「資金移動業者」としてのドコモ口座であり、金融庁が定める「事務ガイドライン（資金移動業者関係）システムリスク管理」に従う必要がある。

　ガイドラインには、インターネットなどの通信手段を利用した非対面の取引を行う場合には、「可変式パスワード、生体認証、電子証明書を用いた多要素認証や多段階認証などの、固定式のＩＤ・パスワードのみに頼らない認証方式」とある。ＮＴＴドコモだけでなく、資金移動業者の大半がこのガイドラインに沿った運用ができていないということになる。ＮＴＴドコモは、会見で本人確認の不十分さを認めたものの、違法性はなかったとしているが、少なくともガイドラインには従っていなかった可能性がある。

自己防御の意識と技術

　セキュリティーの専門家である筆者から見ると、ドコモ口座が簡単に開設できてしまうことに驚くが、本質はフィッシングの撲滅だろう。フィッシングに遭わないためには、メールの送信者アドレスをよく確認することが第一に挙げられる。

　フィッシングメールの場合、メール本文に記載されたメールアドレスは、本物のメールアドレスを偽ったもので、メール本文で判断することは不可能だ。そのメールがどこから送られてきたかを確認するには、「メールヘッダー」と呼ばれるメール送信に関する情報を見ることが重要だ。一度、「本当の差出人メールアドレス」などの言葉で検索してメールヘッダーの見方を学習しておく必要がある。

　もう一つ重要なことは「ＤＭＡＲＣ(ディマーク)」というフィッシングメールが届かなくする技術の普及である。ＤＭＡＲＣに対応したメールシステムを使用している場合、メールヘッダーとメール本文の照合や送信元の正規のＩＰアドレスと送られてきたメールが本当にそのＩＰアドレスから送られてきたのかなど自動的にフィッシングメールかどうかの判定をしてくれる。一般のメールユーザーは何もしなくてよいのだ。

　米国のセキュリティー会社が今年９月に日経平均株価の採用銘柄２２５社を対象に行った調査では23％（51社）が既にＤＭＡＲＣに対応済みであったが、米国とカナダが67％、フランス59％、英国50％と比べ出遅れている。今回のような事件を予防するためにもＤＭＡＲＣの普及が望まれる。

（山崎文明・情報安全保障研究所首席研究員）

（本誌初出　「ドコモ口座不正」は氷山の一角　フィッシング詐欺が温床に＝山崎文明　20201006）