全3309文字

 2020年9月に判明したNTTドコモの電子決済サービス「ドコモ口座」の不正送金問題で、新事実が明らかになった。

 被害総額が約2885万円とされるドコモ口座問題を巡っては、警視庁サイバー犯罪対策課などが2021年1月までにドコモ口座を使って他人の銀行口座から不正に現金を引き出したとして、中国籍の男女らを含む容疑者を相次いで逮捕した。「指示役がほかにいたのではないか」と、組織的な犯罪グループの関与も伝えられている。

 銀行口座からドコモ口座に送金(チャージ)する際に入力しなければならない情報は幾つかあり、ドコモは攻撃者がどのようにそれらを入手したかを明らかにしていない。情報の1つが銀行口座のキャッシュカードの暗証番号(4桁)で、これまで攻撃者がその暗証番号を入手した手法は0000から9999までの4桁の組み合わせを全て試す「ブルートフォース攻撃」だと推測されていた。

 これに対し、ドコモ口座問題に詳しいある金融関係者は「ブルートフォース攻撃はなかった」と明かす。暗証番号の入力エラーの履歴は多くなかったというのがその理由だ。

 ただ攻撃手法にとらわれていては問題の本質を見誤る。ドコモ口座問題が生じた大きな要因は、サービス提供形態を大幅に変更したにもかかわらず、身元確認といった認証レベルを見直さなかった点にある。ドコモ口座問題はオンラインでサービスを展開する企業にとって当人認証の在り方を見直す契機になるはずだ。なおドコモは2021年1月29日、ドコモ口座についてセキュリティーを強化して銀行口座の新規登録と銀行口座からのチャージを再開すると発表している。

当人認証レベルは銀行と決済サービス事業者の話し合いで決まる

 ドコモ口座をはじめ多くの決済サービスは銀行口座のお金を決済サービス側に振り込む際に、地銀ネットワークサービス(CNS)が運営するオンライン振り込みサービスである「Web口振受付サービス」を使っている。その前提として、銀行と決済サービス事業者はWeb口振受付サービスを導入するに当たり、両者で協議して「利用顧客が間違いなく銀行口座の名義人本人である」という当人認証をするための項目を決める。

 必須項目は「口座名義人名(カナ)」、銀行や支店のコード、「口座番号」「キャッシュカードの暗証番号」「生年月日」である。当人認証を強化したい場合は、口座残高の下4桁や銀行が設定する数字11桁の入力を求めることもできる。さらに利用顧客が口座開設時に登録した電話番号に対し、IVR(音声自動応答)と呼ばれるシステムがワンタイムパスワードを自動音声で通知して当人認証に使うという、より厳格な認証方法も選択できる。

 当初のWeb口振受付サービスは毎月の公共料金やクレジットカード利用料などを利用顧客の銀行口座から引き落とす(電力会社やカード会社の口座に送る)用途で使われていた。電力会社やカード会社は、利用顧客がWeb口振受付サービス申込時に申請した生年月日や暗証番号が銀行側の情報と合致していれば、本人の申し込みであるとしていた。

 仮に自分の口座から引き落とされたくない人が他の人の口座から引き落とそうとなりすまして申し込んでも、被害額は少ないものだった。クレジットカードの場合はカード会社が補償する仕組みもある。

 決済サービス事業者がWeb口振受付サービスを使うようになったのは2017年10月からだ。電力会社やカード会社など特定の顧客だけではなく、不特定多数の銀行顧客が使えるサービスに変わったのだ。そのためCNSはWeb口振受付サービスについて当人認証の機能を強化。前述の口座残高の下4桁やIVRによる当人認証も選択できるようにした。

 もともと銀行と決済サービス事業者は、顧客がチャージするたびに生じる手数料の水準と、当人認証の厳格さをどのレベルに設定するかを決済サービスを導入するたびに交渉して決めていた。互いの利害がぶつかるポイントになるためだ。

 銀行にとっては手数料を高くして当人認証レベルも厳しくしたい。一方、決済サービス事業者にとっては、当人認証レベルが厳しいと顧客が申し込み手続きを途中で断念してしまう懸念がある。顧客が思うように増えなければ決済サービスの収益もおぼつかない。

 当然、決済サービス事業者は手数料を安くしてもらうか、当人認証レベルを緩めてもらいたいと考える。そこで決済サービス事業者は「決済サービスに申し込んだ人の8割程度は登録を完了できるようにしたい」などと銀行と交渉し、それに沿って手数料と当人認証レベルを設定してきたという。