2020年9月10日に、ドコモがドコモ口座の不正出金についての会見を行い、被害者への補償や今後の対策などについても発表しました。
果たして、これだけで十分なのか?問題が解決されたのか?と筆者は、疑問に思っています。
「ドコモ口座」不正出金の類似事件の発生の可能性あり!
筆者は、以下のことを、まだ大きな課題が残っていて、解決されていなくて、更なる危険性を感じています。
ドコモ口座と同様に「『口座番号』『名義』『4桁の暗証番号』の3点がわかれば、あなたの実在の口座と接続・連携できてしまうサービス」が、PayPay、LINE Pay、Pringなど他にもまだ存在すると言うことです(詳細は、こちらのページ「「ドコモ口座」で不正出金の問題点と被害防止対策」に記載)。
そして、セキュリティが甘すぎると問題となった「『口座番号』『名義』『4桁の暗証番号』の3点がわかれば、あなたの実在の口座と接続・連携できてしまう」という仕様は、ドコモ口座の仕様でなく地銀ネットワークサービスの「Web口振受付サービス」であり、未だ変更されず、そのままです。
今回の犯人は、ドコモ口座を利用して、PCからも操作できると言うことで「口座番号」「名義」「4桁の暗証番号」の一致をさがし収集するための不正プログラムを稼働させる踏み台に利用し、「口座番号」「名義」「4桁の暗証番号」の一致を確認しストックした可能性があります。
そして、今回のドコモ口座不正出金では、そのストックの一部のみを利用して、不正出金に成功した可能性があります。全部でなく一部しか利用しなかった理由は、犯行が公になることを少しでも遅らせて、ドコモ口座や銀行側に対策されるのを少しでも遅らせるためと考えられます。
そして、犯人は、ドコモ口座不正出金事件を世間が騒がなくなった頃に、ドコモ口座を踏み台にして得た「口座番号」「名義」「4桁の暗証番号」の一致の未使用のストックを利用して、ドコモ口座と同様に「『口座番号』『名義』『4桁の暗証番号』の3点がわかれば、あなたの実在の口座と接続・連携できてしまうサービス」のPayPay、LINE Pay、Pringなどの他のサービスを利用して、不正出金の犯行を試みる可能性があります。PayPay、LINE Pay、Pringなどは、スマートフォンやタブレットからしか、銀行との接続・連携の操作ができません。しかし、犯人が、ドコモ口座を利用して、正しい「口座番号」「名義」「4桁の暗証番号」の一致を大量に取得していたとしたら、スマホやタブレットからしか操作し接続・連携できないと言うことも問題でなくなってしまいます。
「ドコモ口座」不正出金の類似事件に巻き込まれないように利用者が簡単にできること
もし、犯人が、今回のドコモ口座不正出金で使用しなかった、まだ未使用の「口座番号」「名義」「4桁の暗証番号」の一致をストックし、PayPay、LINE Pay、Pringなどの他のサービスを利用して、再び不正出金が出来る機会を企んでいたとしたら、本当に怖いことです。
問題となった地銀ネットワークサービスの「Web口振受付サービス」の「『口座番号』『名義』『4桁の暗証番号』の3点がわかれば、あなたの実在の口座と接続・連携できてしまう」という危険な仕様がすぐに変更になると考えられない、システム変更は容易でないでしょう。
しかし、これに対して、我々銀行利用者が、簡単に対策することができます。「4桁の暗証番号」を変更し、犯人が持っている「口座番号」「名義」「4桁の暗証番号」の一致を壊してしまうことです。「口座番号」や「名義」の変更は簡単にできませんが、「4桁の暗証番号」の変更は簡単にできます。
ドコモ口座で問題となった銀行(対象銀行は、以下の通り)の利用者の全てが、一度、4桁の暗証番号を変更すべきです。なぜならば、先程から書いていますが、あなたの銀行口座の情報は、犯人によって、次の犯行用にストックされてしまっているかもしれないからです。
「4桁の暗証番号」は、銀行のATMで変更ができます。暗証番号の変更は、これを機会に、より安全な暗証番号を設定するようにしましょう。(安全な暗証番号の詳細は、後で記述予定)
この「口座番号」「名義」「4桁の暗証番号」の一致を壊してしまえば、犯人が、あなたの銀行口座について一致した状態の新たな新たな情報を得ることは難しくなります。
ドコモ口座不正出金事件の類似事件の発生可能性のある対象銀行は以下の通り
- 七十七銀行(ドコモ口座不正出金の被害報告あり)
- 中国銀行(ドコモ口座不正出金の被害報告あり)
- 大垣共立銀行(ドコモ口座不正出金の被害報告あり)
- イオン銀行(ドコモ口座不正出金の被害報告あり)
- 池田泉州銀行
- 大分銀行
- 紀陽銀行(ドコモ口座不正出金の被害報告あり)
- 滋賀銀行(ドコモ口座不正出金の被害報告あり)
- 仙台銀行
- 第三銀行(ドコモ口座不正出金の被害報告あり)
- 但馬銀行
- 鳥取銀行(ドコモ口座不正出金の被害報告あり)
- 北洋銀行
- みちのく銀行(ドコモ口座不正出金の被害報告あり)
- 伊予銀行
- 東邦銀行(ドコモ口座不正出金の被害報告あり)
- 琉球銀行
- ゆうちょ銀行(ドコモ口座不正出金の被害報告あり)
「ドコモ口座」不正出金の類似事件防止のために銀行が簡単にできる対策
ドコモ口座不正出金事件で被害者を出してしまった銀行は、地銀ネットワークサービスの「Web口振受付サービス」を利用し「『口座番号』『名義』『4桁の暗証番号』の3点がわかれば、実在の口座と接続・連携できてしまう」という仕様をそのまま利用していました。
しかし、「Web口振受付サービス」を利用しドコモ口座と接続・連携を可能にする地方銀行の中でも、京都銀行と広島銀行は、「口座番号」「名義」「4桁の暗証番号」以外に、「銀行に登録されたお電話(登録手続き中に、銀行より電話番号にお電話があります)」の登録及び確認の電話を実施し、セキュリティを高めていました。
以下は、PayPayへの京都銀行の口座の登録案内
他行においても、手間は増えるけれど、この方法ならセキュリティー向上として、早期に導入できる方法であり、すぐにでも取り入れるべきだと考えます。
また、何かのサービスが口座と接続・連携された場合、後日でも口座名義人への連絡を必須とすべきと考えます。
今回のドコモ口座不正出金事件で誰もが不安に思ったことは、偽者によって勝手に作られてしまったドコモ口座と自分の実在の銀行口座と接続・連携が完了しても、銀行から通知等の連絡は一切無しということ!被害者の中には、「ドコモ口座」の名前さえ聞いたことなくて、口座から不正に出金され通帳記帳して不正な記録を見つけて初めて、何か変、銀行に問合せをして、ドコモ口座と接続・連携されていたという事実を知った方もいました。こんな大事なことが知らされないなんて、本当に怖いことです。
ドコモ口座問題は、銀行や他サービスにとっては他人事?!
ドコモ口座不正出金事件の渦中の2020年9月7日より、送金・決済アプリ「Kyash(キャッシュ)」が銀行口座からの入出金に対応しました。
Kyashの会員登録が偽名でも可能な状態、そして、本人確認の方法に銀行口座の登録が加わり、対象銀行にはドコモ口座で問題となった「口座番号」「名義」「4桁の暗証番号」の3点だけで登録可能な銀行も存在します(2020/9/14現在、ゆうちょ銀行、イオン銀行が対象)。
ドコモ口座不正出金事件が全く活かされてない、他サービスも銀行も他人事のような状態、そして、ドコモ口座不正出金類似事件化を心配します。
ドコモ口座不正出金事件の渦中の2020年9月7日より、送金・決済アプリ「Kyash(キャッシュ)」が銀行口座からの入出金に対応しました。結果、本人確認の方法に銀行口座の登録が加わり、対象銀行にはドコモ口座で問題となった「口座番号」「名義[…]