「ドコモ口座」を使った預金の不正出金 ドコモだけでは解決できない？（1/2 ページ）

[井上翔，ITmedia]

　既報の通り、NTTドコモの資金移動／決済サービス「ドコモ口座」を悪用した銀行預金の不正引き出しが発生した。それに伴い、同社は同サービスにおけるチャージ（入金）用口座の新規登録を一時的に見合わせている。

• →「ドコモ口座」を使った不正出金が発生　中国銀行、七十七銀行、東邦銀行で確認される
• →「ドコモ口座」「d払い」連携を一時中止する銀行が18に拡大　不正出金問題を受けて
• →「ドコモ口座」の銀行口座チャージ、新規登録を当面停止　セキュリティ強化策を導入した上で再開を検討へ

　9月10日、同社は今回の事象に関する記者説明会を開催した。同日正午現在における被害件数は66件、不正引き出しの総額は約1800万円となり、同社は銀行と連携して全額を補償する方針だ。

• →ドコモ口座の不正利用、被害総額は1800万円　銀行と連携して全額補償へ

　そもそも、今回の問題はなぜ発生したのだろうか。そして、ドコモ“だけ”が対応すれば万事解決なのだろうか。

説明会には、田原務ウォレットビジネス部長（左）、丸山誠司副社長（中央）、前田義晃常務執行役員（右）が出席した。概要の説明は丸山副社長が行った

狙われたのは「回線ひも付けなしdアカウント」

事象を説明する丸山副社長

　今回の不正出金の“踏み台”として使われたのはドコモ回線とひも付いていない「dアカウント」（旧：docomo ID）だ。

　ドコモ回線の契約とひも付くdアカウントでは、作成時に携帯電話番号とネットワーク暗証番号が必要となる。これにより、ドコモ側ではアカウントに対する本人確認を行える。

　一方で、ドコモ回線とひも付かないdアカウントは任意のメールアドレスさえあれば作成できる。一部のWebサービス（Yahoo! JAPAN、Google、Twitter、Facebook）のアカウントに登録されたを使うことはできるものの、厳密な本人確認をせずに作成できてしまう。

dアカウントの新規登録にはメールアドレスが必要だ。ドコモメールのアドレスを利用する場合は回線契約情報とのひも付けが必要だが、その他のアドレスを使う場合はひも付けは必須ではない

　ドコモ口座のルーツは2009年7月に始まった「ドコモケータイ送金」にある。これを2011年5月にリニューアルして、現在のドコモ口座の原形が出来上がった。

　ドコモ口座の利用にはドコモ回線が必須だった。しかし2019年9月下旬、「d払い」にウォレット（プリペイド残高）サービスを追加するタイミングに合わせてキャリアフリー化された（参考リンク）。

　その際、dアカウントを用いるサービスについて「便利に使っていただく観点から簡便な手続きで利用できるようにする」（丸山誠司副社長）という方針を同サービスにもそのまま適用した。結果的に、本人確認をしていないdアカウントでもドコモ口座を利用できるようになったのだ。

2019年9月26日付でドコモ口座の規約が変更され、キャリアフリー化が図られた

　今回の不正出金は、以下の手順で行われたと推察されている。

1. 何らかの方法で「口座番号」「名義人」「生年月日」「キャッシュカードの暗証番号」などを入手
2. メールアドレスを使ってdアカウントを作り、ドコモ口座を開設
3. 不正入手した口座情報を使い、Webで口座振替を申し込み
4. ドコモ口座にチャージ（＝不正出金）
5. ドコモ口座とd払いをひも付けて、コード決済で換金性の高いものを購入し現金化

　ここで「なぜ、わざわざ換金性の高い商品を買ったの？」という疑問が湧く。これは、ドコモ回線とひも付けていないドコモ口座はATM出金に対応しないという仕様によるものと思われる。

　ドコモ口座（d払い）ユーザー同士の送金機能を活用して、回線ひも付けのあるdアカウントのドコモ口座に「迂回（うかい）」して出金……と思っても、回線ひも付けがあるということは“足”が付く。

　現金として直接取り出せないため、わざわざ換金しないといけないということだ。

不正チャージのスキーム。メールアドレスでdアカウントを作り、それでドコモ口座を作ったと推定される

ドコモ口座を開設する際は2段階認証が必要だが、ドコモ回線とひも付いていないdアカウントでは登録メールアドレス宛に認証コードを送るため、なりすましをされると意味がない