ドコモ口座問題、PayPayやメルペイは大丈夫?
全国の地方銀行を中心に、ドコモの決済サービス「ドコモ口座」へ不正に入金される被害が相次いでいる。では、同様に銀行口座とひも付けて入金が可能な決済サービスでは、同様のことは起こらないのか。PayPayを運営するペイペイと、メルペイに聞いた。
全国の地方銀行を中心に、ドコモの決済サービス「ドコモ口座」へ不正に入金される被害が相次いでいる。ドコモは銀行の新規口座登録を停止する措置を取ったが、根本的な問題として甘い本人確認というセキュリティ面も指摘されている。
では、同様に銀行口座とひも付けて入金が可能な決済サービスでは、不正利用は起こらないのか。PayPayを運営するペイペイと、メルペイに聞いた。
なりすましてドコモ口座を開設可能
今回の問題点の1つとして、メールアドレスだけで作成できるdアカウントがあればドコモ口座が開設できてしまう点が指摘されている。
メルペイでは、「メルペイを利用するためのメルカリのアカウントは、SMSによる認証がないと作れない。さらに銀行口座登録時は、メルカリに登録した名前との照合も行っている」(広報)と話す。
またペイペイは、「電話番号をアカウント作成の認証キーにしている。SMS登録が必要なので、第三者がなりすまして作ることは困難だ」(広報)とした。
銀行口座登録によって本人確認とする
ドコモ口座の2つ目の課題は、銀行口座登録をもって本人確認完了とする仕組みだ。ペイペイとメルペイは、免許証などをスマホのカメラに写して本人確認を行うeKYCの仕組みを導入しているが、ドコモ口座同様に銀行口座登録でも本人確認を可能にしている。
「本人確認済みの銀行口座登録を利用する仕組みを取っている。ただし、比較的簡単に登録できてしまうと当社が判断した一部の銀行については、別途eKYCも必須としている」とペイペイ。一部の銀行の「Web口振受付サービス」では、口座番号と暗証番号など比較的入手しやすい情報で登録が可能になっており、そうした点に独自に対策を取っている。
メルペイは、銀行側のシステムに依存するとしつつも、「より強固にできる方法はないか考えていく必要がある。銀行に対応いただく部分もある」とした。
不正利用時の補償
ドコモ口座の場合、こうした悪用による被害に対する補償に明確な規定がなく、ドコモと銀行は預金者への補償を協議中だとされている。ペイペイやメルペイではどうか。
「不正な取引は、常に人の目やAIで異常な動きがないかチェックしている。検知されれば、もしチャージされてもその先には出ていかない。仮に出ていったとしても、全額を補償する規約にしている」(メルカリ)
「もし不正が起きてしまった際は、全額補償することを規約に明記している。PayPayを使っていない人が、誰かに勝手にアカウントを作られて、PayPayが踏み台にされた形でも補償する」(ペイペイ)
今回のドコモ口座問題では、ドコモ口座と全く関係ない人が被害にあった。いわばドコモ口座というサービスが踏み台にされた形だ。こうした場合でも、PayPayは被害者に全額補償するという。
なおドコモ口座問題では、銀行の口座番号と暗証番号がフィッシングなどで流出した可能性以外に、暗証番号を固定して、その暗証番号で登録できる口座番号をしらみつぶしに当たる「リバースブルートフォースアタック」の可能性も指摘されている。ペイペイは、「スマホだけから操作できるサービスなので、PayPayではリバースブルートフォースは難しいだろう」とした。
関連記事
- LINE Payでも ゆうちょ銀行から不正引き出し
LINE Payは9月16日、決済サービス「LINE Pay」において、ゆうちょ銀行から不正な引き出しを確認したと発表した。件数は2件、被害総額は49万8000円。併せて、16日の8時55分頃から、ゆうちょ銀行の新規口座登録とチャージを一時停止する。 - Kyashでも ゆうちょ銀行とイオン銀行から不正引き出し
決済サービスを運営するKyash(東京都港区)は9月15日、ゆうちょ銀行およびイオン銀行の口座から、Kyashアカウントへの不正な引き出しを確認したと発表した。確認されている被害総額は、ゆうちょ銀行からが3件、23万円、イオン銀行から1件、30万円。 - バンクペイも新規登録停止 ドコモ口座不正を受けて
大手銀行や地方銀行、信用金庫などが参加するスマホ決済サービス「バンクペイ」は、9月14日に新規口座登録を停止した。また、登録済み口座であっても、一部金融機関において決済サービスを停止した。運営元の日本電子決済推進機構が発表した。
Copyright © ITmedia, Inc. All Rights Reserved.