既報の通り、NTTドコモの資金移動/決済サービス「ドコモ口座」を悪用した銀行預金の不正引き出しが発生した。それに伴い、同社は同サービスにおけるチャージ(入金)用口座の新規登録を一時的に見合わせている。
9月10日、同社は今回の事象に関する記者説明会を開催した。同日正午現在における被害件数は66件、不正引き出しの総額は約1800万円となり、同社は銀行と連携して全額を補償する方針だ。
そもそも、今回の問題はなぜ発生したのだろうか。そして、ドコモ“だけ”が対応すれば万事解決なのだろうか。
今回の不正出金の“踏み台”として使われたのはドコモ回線とひも付いていない「dアカウント」(旧:docomo ID)だ。
ドコモ回線の契約とひも付くdアカウントでは、作成時に携帯電話番号とネットワーク暗証番号が必要となる。これにより、ドコモ側ではアカウントに対する本人確認を行える。
一方で、ドコモ回線とひも付かないdアカウントは任意のメールアドレスさえあれば作成できる。一部のWebサービス(Yahoo! JAPAN、Google、Twitter、Facebook)のアカウントに登録されたを使うことはできるものの、厳密な本人確認をせずに作成できてしまう。
ドコモ口座のルーツは2009年7月に始まった「ドコモケータイ送金」にある。これを2011年5月にリニューアルして、現在のドコモ口座の原形が出来上がった。
ドコモ口座の利用にはドコモ回線が必須だった。しかし2019年9月下旬、「d払い」にウォレット(プリペイド残高)サービスを追加するタイミングに合わせてキャリアフリー化された(参考リンク)。
その際、dアカウントを用いるサービスについて「便利に使っていただく観点から簡便な手続きで利用できるようにする」(丸山誠司副社長)という方針を同サービスにもそのまま適用した。結果的に、本人確認をしていないdアカウントでもドコモ口座を利用できるようになったのだ。
今回の不正出金は、以下の手順で行われたと推察されている。
ここで「なぜ、わざわざ換金性の高い商品を買ったの?」という疑問が湧く。これは、ドコモ回線とひも付けていないドコモ口座はATM出金に対応しないという仕様によるものと思われる。
ドコモ口座(d払い)ユーザー同士の送金機能を活用して、回線ひも付けのあるdアカウントのドコモ口座に「迂回(うかい)」して出金……と思っても、回線ひも付けがあるということは“足”が付く。
現金として直接取り出せないため、わざわざ換金しないといけないということだ。
Copyright © ITmedia, Inc. All Rights Reserved.