経済・企業

危ないのはドコモ口座にとどまらない……あなたの電子マネーを狙う「フィッシング詐欺」とその対策について

決済サービスの脆弱性が露呈した
決済サービスの脆弱性が露呈した

 国内携帯電話キャリア最大手のNTTドコモが提供する電子決済サービス「ドコモ口座」を介して、複数の地方銀行で預金の不正引き出しが見つかった事件では、日本企業のリスクマネジメントの甘さが露呈した。

 さらに、ドコモ事件が発端となって、他の決済サービスでも不正が次々と発覚。9月17日時点で、ヤフーの「PayPay」、LINEの「LINEペイ」、メルカリの「メルペイ」、Kyashの「Kyash」などでも被害が確認されており、収束の兆しが見えない。

過去にも同様の事件

 ドコモ口座は、利用者が口座開設時に登録した銀行口座からチャージ(入金)しておくと、スマートフォンなどから買い物や送金に使える。この決済方法は通称「d払い」と呼ばれる。ドコモ口座は、ドコモの顧客ID「dアカウント」と銀行の口座情報があれば開設できる。ドコモ口座とひも付けることが可能な銀行は地銀を中心に35行ある。

 今回の事件は、預金者の銀行口座番号や暗証番号などを不正に入手した犯人が、預金者本人になりすましてドコモ口座を開設し、そこへ入金する形で銀行口座から預金を引き出した。七十七銀行(仙台市)、中国銀行(岡山市)など11行で被害が確認されたことを受け、35行全てでドコモ口座との取引が停止された。一部の銀行では、銀行の口座番号と名義、4桁の暗証番号があればドコモ口座を利用できる状態で、セキュリティーが脆弱(ぜいじゃく)だったことも明らかになった。

 今回の事件では、犯人がd払いで高額な家電製品やタバコを購入した形跡も確認されているという。ドコモのd払いにまつわる犯罪は、今回が初めてではない。同様の犯行で今年5月には中国人男女5人がd払いを使って、家電量販店でノートパソコン5台、販売価格で82万7200円をだまし取った疑いで逮捕されている。犯人はショートメッセージサービス(SMS)を送り、偽サイトに誘導しIDとパスワードを盗み出す、いわゆる「フィッシング」の手口を使ったと見られている。ただ、このケースでは、dアカウントの“利用者の不注意”とみなされたため、今回のように連日マスコミを騒がすようなことはなかった。

 ただ、それがあったために、NTTドコモは今回の事件も「利用者の責任」と考えた可能性があるのではないか。そうした“利用者軽視”が今回の初動対応のまずさに表れていると筆者は考える。

 昨年、多くの地銀で預金者がフィッシング詐欺に遭うケースが発生した。「セキュリティー機能のアップデート」という偽メールで偽サイトに誘導し、口座番号、氏名、暗証番号、生年月日や電話番号といった情報を入力させる手口で、イオン銀行、ゆうちょ銀行など今回の被害が確認された銀行と同じ銀行が狙われた。これらのケースで、ドコモ口座をはじめ、PayPay、LINEペイ、メルペイなどの利用者が被害を受けていたかどうか検証が必要であろう。

 今回の事件は、過去にフィッシング詐欺に遭った口座の情報が、再び犯罪に利用された可能性が高い。自己責任ということにもなりかねないが、今回は被害金額の全額を銀行とNTTドコモが補償する方向で話が進んでいるようだ。

 フィッシング対策協議会によると、フィッシング詐欺の報告件数は、昨年は1年間で5万5787件、今年はすでに10万4236件に達している(8月末現在)という。被害に気づいた人からの報告だけで、これだけの詐欺被害が出ているということは、それなりの銀行口座情報が出回っているということを意味する。したがってドコモ口座不正の被害者は今後も続出する可能性が高い。

 高市早苗総務相(当時)は9月15日、ゆうちょ銀行と提携する即時振替サービス業者12社のうち6社でも同様の被害が出ており、ドコモ口座だけの問題ではないことを公表した。今回の事件は金融庁が定めるところの「資金移動業者」としてのドコモ口座であり、金融庁が定める「事務ガイドライン(資金移動業者関係)システムリスク管理」に従う必要がある。

 ガイドラインには、インターネットなどの通信手段を利用した非対面の取引を行う場合には、「可変式パスワード、生体認証、電子証明書を用いた多要素認証や多段階認証などの、固定式のID・パスワードのみに頼らない認証方式」とある。NTTドコモだけでなく、資金移動業者の大半がこのガイドラインに沿った運用ができていないということになる。NTTドコモは、会見で本人確認の不十分さを認めたものの、違法性はなかったとしているが、少なくともガイドラインには従っていなかった可能性がある。

自己防御の意識と技術

 セキュリティーの専門家である筆者から見ると、ドコモ口座が簡単に開設できてしまうことに驚くが、本質はフィッシングの撲滅だろう。フィッシングに遭わないためには、メールの送信者アドレスをよく確認することが第一に挙げられる。

 フィッシングメールの場合、メール本文に記載されたメールアドレスは、本物のメールアドレスを偽ったもので、メール本文で判断することは不可能だ。そのメールがどこから送られてきたかを確認するには、「メールヘッダー」と呼ばれるメール送信に関する情報を見ることが重要だ。一度、「本当の差出人メールアドレス」などの言葉で検索してメールヘッダーの見方を学習しておく必要がある。

 もう一つ重要なことは「DMARC(ディマーク)」というフィッシングメールが届かなくする技術の普及である。DMARCに対応したメールシステムを使用している場合、メールヘッダーとメール本文の照合や送信元の正規のIPアドレスと送られてきたメールが本当にそのIPアドレスから送られてきたのかなど自動的にフィッシングメールかどうかの判定をしてくれる。一般のメールユーザーは何もしなくてよいのだ。

 米国のセキュリティー会社が今年9月に日経平均株価の採用銘柄225社を対象に行った調査では23%(51社)が既にDMARCに対応済みであったが、米国とカナダが67%、フランス59%、英国50%と比べ出遅れている。今回のような事件を予防するためにもDMARCの普及が望まれる。

(山崎文明・情報安全保障研究所首席研究員)

(本誌初出 「ドコモ口座不正」は氷山の一角 フィッシング詐欺が温床に=山崎文明 20201006)

インタビュー

週刊エコノミスト最新号のご案内

週刊エコノミスト最新号

4月9日号

EV失速の真相16 EV販売は企業ごとに明暗 利益を出せるのは3社程度■野辺継男20 高成長テスラに変調 HV好調のトヨタ株 5年ぶり時価総額逆転が視野に■遠藤功治22 最高益の真実 トヨタ、長期的に避けられない構造転換■中西孝樹25 中国市場 航続距離、コスト、充電性能 止まらない中国車の進化■湯 [目次を見る]

デジタル紙面ビューアーで読む

おすすめ情報

編集部からのおすすめ

最新の注目記事