ドコモ口座事件、真の原因は「認識の甘さ」ではない 露呈した「銀行との風通しの悪さ」：本田雅一の時事想々（2/3 ページ）

[本田雅一，ITmedia]

　ごく基本的な部分だが、日本の銀行キャッシュカードは、たった4桁の暗証番号で現金を引き出せる。この全銀フォーマットの仕様も、とっくの昔に見直されていて然るべきだ。各メディアがいくつもの指摘をしているので、ここであらためて紹介するまでもないが、現代のネットワークサービス、それも顧客の財産を扱う仕組みとしては脆弱（ぜいじゃく）すぎる。

　それでも辛うじて社会問題にならなかったのは、対人にしろ、対機械にしろ、キャッシュカードを用いた現金引き出しに物理的な手続きが必要だったからだ。こんなことは誰もが分かっているはずなのに、従来の仕組みを使い回してしまった。

　今回の不正引き出しの全貌が明らかになっているわけではないが、不正送金が明らかになっているケースでは、こうした銀行からの現金引き出しにかかわる基本的な部分での脆さが問題だったとみられる。

ドコモ口座のWebサイトより

　NHK NEWS WEBでは、ドコモ口座問題について「暗証番号を定期的に変えましょう」と注意喚起する記事を掲載していたが、全くもって無意味（14日時点では記事内容が修正されている）。暗証番号がバレたのなら変更は必要だが、ネットを通じての不正送金があったのなら、システム側の問題であり頻繁に変えたからと行って問題解決にはならない。

　暗証番号を変えて「もう大丈夫」と思って安心してる人たちに、正しい情報を伝えた上で謝ってほしいぐらいだ。

　ところで、銀行口座にネットからアクセス可能になるのだから慎重になるべき、なんてことは今さら指摘するまでもないことなのに、なぜ「そのまんまなの？」という、大きなクエスチョンマークがここで出てくる。

　物理的なキャッシュカードと比べ、はるかに便利になっているのに、個人認証の仕組みはスマホ時代非対応どころか、インターネットが発明される以前からのそのままなのだから「これで大丈夫って誰が判断したの？」という話になってくる。

当たり前のことを当たり前にできない理由

9月14日夕方時点で、チャージ（入金）を停止している銀行の一覧＝ドコモのWebサイトより

　さて、ドコモが問題発覚を受けて精査した結果、その対策としてドコモ口座が対応していた35行のうち13行は不正出金が容易には起きないと判断し、送金サービスを継続するというのだから、前述したように差し引き22行以外は大丈夫だとドコモと各銀行は判断したのだろう。

　ずさんな本人確認に脆弱な出金の仕組み。「両者ともに悪いね」というだけでは済まないのは、ドコモが昨年5月、既にりそな銀行、埼玉りそな銀行で同様の問題が起きていたことを、他の銀行に周知徹底していなかったことが、最終的に今回の問題へとつながっているからだ。

　当時の犯行グループと今回の犯行グループが同一なのかどうかは分からない（期間が空いていることを考えれば別と考える方が良さそうだが）。

　しかしこの時、ドコモは問題の発生を把握し、その原因についてもある程度は知っていたはず。少なくとも、電子メールの到達をもって本人確認されるという、いまでは信じられないような仕組みが問題だったことを、提携銀行各社とはいわないまでも、セキュリティ対策の甘い提携銀行に連絡していれば、今回の問題は起きなかったのではないだろうか。

　もちろん、金融機関のIT化はどこの業界よりも真っ先に行われてきたわけで、規模の大小による意識の違いこそあれ、「お前、それはないだろう」的な状態をさらしてきた銀行側にも問題はある。

　しかし主体的に利便性を提供し、なるべく簡易的な手続きで使って欲しいドコモ側に利用者を速やかに増やし、決済サービス分野での生き残り、ライバルとの競争に勝ちたいという意識がなかったとは思わない。

　そんな邪推も「邪推じゃないかもね？」と筆者が思ってしまうのは、ドコモと金融機関の風通しの悪さが理由だ。

　今回、不正送金があった11行は、ドコモ口座との連携にCNS（地銀ネットワークサービス）を利用。そこに脆弱性があったのでは？　という推測があるが、11日の記者会見でドコモの丸山副社長は「金融機関側の仕組みなので把握していない」と答えた。

　実はここに問題の根っこがある。