「ドコモ口座」を使った預金の不正出金 ドコモだけでは解決できない?(2/2 ページ)
「ドコモ口座」を使った預金不正出金を受けて、NTTドコモが報道関係者向けの説明会を開催した。「自分達が悪い」という姿勢を示したドコモだが、金融機関側にも対策が必要となる。
ドコモは「2要素認証」を導入して対策
このようにして、ドコモ回線にひも付かないdアカウントが悪用されたことにより、今回の不正出金につながった。ドコモの本人確認の甘さが問題発生の一因となったのだ。
再発防止策として、ドコモ回線にひも付かないdアカウントでドコモ口座を開設する際に、ドコモは以下の方法で本人確認を実施するように改める。
- eKYC(電子的方法による本人確認)の導入(9月下旬予定)
- SMSによる2段階認証の導入(できる限り速やかに)
eKYCについては、8月から別のサービスで導入したソリューションを流用するという。eKYCとSMSの「2要素認証」を行うことで問題がないことが確認でき次第、新規の口座登録を再開したいという。
銀行側の「Web口座振替受付」にも問題あり
一義的にはドコモにおける本人確認の甘さが原因である今回の事案だが、状況を総合すると不正(未遂)のあった金融機関側にも見過ごせない問題があった。
ドコモ口座の(オート)チャージは口座振替で行われるため、初めて利用する際に「口座振替依頼」をしなければならない。さまざまな業種にWebサービスが広がったこともあり、近年では多くの金融機関がWebを介した口座振替依頼に対応している。
Webでの口座振替手続きは通常、各金融機関が用意したシステムを使って行われる。この点でドコモ口座もご多分に漏れない。ユーザーの申し込みを受けてドコモが各金融機関に対してWebで口座振替依頼を出すと、各金融機関の受付システムに遷移するようになっている。
立て付け上、Webで口座振替の依頼があった場合は金融機関で本人確認を実施する。ここで問題となるのが、本人確認の方法が金融機関によって異なることだ。
セキュリティの高い金融機関では、口座情報以外に専用デバイスまたはスマホアプリが生成する「ワンタイムパスワード」、届け出ている電話番号宛てに架電する「電話認証」、通帳の指定箇所に記載されている残高を入力する「残高認証」など、口座の最低限の情報“以外”の要素を使った認証も行う。
スルガ銀行の口座でWebを使って口座振替を申し込んだ場合、届け出電話番号を入力する必要がある。その番号が正しい場合には電話が掛かってくる。その音声が知らせるワンタイムパスワード(認証番号)を入力しない限り、先に進めない
しかし、今回不正出金(未遂)が発生した銀行は、口座振替時の本人確認が“甘め”に設定されていたという指摘がある。ドコモが不正の手順の説明の中で挙げた「口座番号」「名義人」「生年月日」「キャッシュカードの暗証番号」の4つさえあれば申し込みが成立する銀行もあったという。
Webでの口座振替申し込み時の本人確認が甘いと、ドコモ口座以外でも預金者の意図せぬ口座振替契約が締結される事案が発生しうる。
ドコモだけではなく、金融機関側もWebにおける本人確認の手法について再検討が必要だろう。
Web口座振替の申し込みは、金融機関によって必要な情報が異なる。この画像は「Kyash」における銀行チャージに対応する一部の銀行を抜粋したものだが、必要な情報がまるで違う(イオン銀行とゆうちょ銀行では、表記の情報に加えて氏名と生年月日の情報も必要)
関連記事
ドコモ口座の不正利用、被害総額は1800万円 銀行と連携して全額補償へ
NTTドコモが9月10日、ドコモ口座の不正利用に関する記者会見を開き、被害状況や今後の対策について説明した。9月10日正午における被害件数は66件、被害総額は約1800万円。被害者に対しては、「銀行と連携の上、全額を補償する」とのこと。「ドコモ口座」の銀行口座チャージ、新規登録を当面停止 セキュリティ強化策を導入した上で再開を検討へ
「ドコモ口座」を使った預金の不正出金が発生したことを受けて、NTTドコモは同サービスにおける銀行口座チャージの新規登録を当面の間停止することになった。セキュリティ対策を講じた上で、再開時期を検討するとしている。「ドコモ口座」「d払い」連携を一時中止する銀行が18に拡大 不正出金問題を受けて
NTTドコモの「ドコモ払い」を悪用した預金の不正出金事案を受けて、ドコモ払いと「d払い」の口座登録を一時休止する銀行が18に拡大した。【追記】「ドコモ口座」を使った不正出金が発生 中国銀行、七十七銀行、東邦銀行で確認される
NTTドコモの資金移動サービスを悪用した不正出金が、少なくとも3つの金融機関で確認された。【追記】
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.