ドコモ口座問題、PayPayやメルペイは大丈夫？

[斎藤健二，ITmedia]

　全国の地方銀行を中心に、ドコモの決済サービス「ドコモ口座」へ不正に入金される被害が相次いでいる。ドコモは銀行の新規口座登録を停止する措置を取ったが、根本的な問題として甘い本人確認というセキュリティ面も指摘されている。

　では、同様に銀行口座とひも付けて入金が可能な決済サービスでは、不正利用は起こらないのか。PayPayを運営するペイペイと、メルペイに聞いた。

ドコモ口座を経由して、銀行から預金を引き出される事件が起こった

なりすましてドコモ口座を開設可能

　今回の問題点の1つとして、メールアドレスだけで作成できるdアカウントがあればドコモ口座が開設できてしまう点が指摘されている。

　メルペイでは、「メルペイを利用するためのメルカリのアカウントは、SMSによる認証がないと作れない。さらに銀行口座登録時は、メルカリに登録した名前との照合も行っている」（広報）と話す。

　またペイペイは、「電話番号をアカウント作成の認証キーにしている。SMS登録が必要なので、第三者がなりすまして作ることは困難だ」（広報）とした。

銀行口座登録によって本人確認とする

　ドコモ口座の2つ目の課題は、銀行口座登録をもって本人確認完了とする仕組みだ。ペイペイとメルペイは、免許証などをスマホのカメラに写して本人確認を行うeKYCの仕組みを導入しているが、ドコモ口座同様に銀行口座登録でも本人確認を可能にしている。

　「本人確認済みの銀行口座登録を利用する仕組みを取っている。ただし、比較的簡単に登録できてしまうと当社が判断した一部の銀行については、別途eKYCも必須としている」とペイペイ。一部の銀行の「Web口振受付サービス」では、口座番号と暗証番号など比較的入手しやすい情報で登録が可能になっており、そうした点に独自に対策を取っている。

PayPayでは、eKYCだけでなく銀行口座の登録でも本人認証済みとみなす仕組みだが、一部銀行については併せてeKYCも必須としているという

　メルペイは、銀行側のシステムに依存するとしつつも、「より強固にできる方法はないか考えていく必要がある。銀行に対応いただく部分もある」とした。

不正利用時の補償

　ドコモ口座の場合、こうした悪用による被害に対する補償に明確な規定がなく、ドコモと銀行は預金者への補償を協議中だとされている。ペイペイやメルペイではどうか。

　「不正な取引は、常に人の目やAIで異常な動きがないかチェックしている。検知されれば、もしチャージされてもその先には出ていかない。仮に出ていったとしても、全額を補償する規約にしている」（メルカリ）

　「もし不正が起きてしまった際は、全額補償することを規約に明記している。PayPayを使っていない人が、誰かに勝手にアカウントを作られて、PayPayが踏み台にされた形でも補償する」（ペイペイ）

PayPayの利用規約における補償制度

　今回のドコモ口座問題では、ドコモ口座と全く関係ない人が被害にあった。いわばドコモ口座というサービスが踏み台にされた形だ。こうした場合でも、PayPayは被害者に全額補償するという。

　なおドコモ口座問題では、銀行の口座番号と暗証番号がフィッシングなどで流出した可能性以外に、暗証番号を固定して、その暗証番号で登録できる口座番号をしらみつぶしに当たる「リバースブルートフォースアタック」の可能性も指摘されている。ペイペイは、「スマホだけから操作できるサービスなので、PayPayではリバースブルートフォースは難しいだろう」とした。