「ドコモ口座」を使った預金の不正出金 ドコモだけでは解決できない？（2/2 ページ）

[井上翔，ITmedia]

ドコモは「2要素認証」を導入して対策

　このようにして、ドコモ回線にひも付かないdアカウントが悪用されたことにより、今回の不正出金につながった。ドコモの本人確認の甘さが問題発生の一因となったのだ。

　再発防止策として、ドコモ回線にひも付かないdアカウントでドコモ口座を開設する際に、ドコモは以下の方法で本人確認を実施するように改める。

• eKYC（電子的方法による本人確認）の導入（9月下旬予定）
• SMSによる2段階認証の導入（できる限り速やかに）

　eKYCについては、8月から別のサービスで導入したソリューションを流用するという。eKYCとSMSの「2要素認証」を行うことで問題がないことが確認でき次第、新規の口座登録を再開したいという。

eKYCとSMSで本人確認を強化する

eKYCは別サービスで導入したシステムを流用することで迅速に対応する

銀行側の「Web口座振替受付」にも問題あり

　一義的にはドコモにおける本人確認の甘さが原因である今回の事案だが、状況を総合すると不正（未遂）のあった金融機関側にも見過ごせない問題があった。

　ドコモ口座の（オート）チャージは口座振替で行われるため、初めて利用する際に「口座振替依頼」をしなければならない。さまざまな業種にWebサービスが広がったこともあり、近年では多くの金融機関がWebを介した口座振替依頼に対応している。

　Webでの口座振替手続きは通常、各金融機関が用意したシステムを使って行われる。この点でドコモ口座もご多分に漏れない。ユーザーの申し込みを受けてドコモが各金融機関に対してWebで口座振替依頼を出すと、各金融機関の受付システムに遷移するようになっている。

ドコモ口座で三井住友銀行の預金口座とひも付けようとした場合の画面。このUI（ユーザーインタフェース）は三井住友銀行側が用意したものを表示している

　立て付け上、Webで口座振替の依頼があった場合は金融機関で本人確認を実施する。ここで問題となるのが、本人確認の方法が金融機関によって異なることだ。

　セキュリティの高い金融機関では、口座情報以外に専用デバイスまたはスマホアプリが生成する「ワンタイムパスワード」、届け出ている電話番号宛てに架電する「電話認証」、通帳の指定箇所に記載されている残高を入力する「残高認証」など、口座の最低限の情報“以外”の要素を使った認証も行う。

スルガ銀行の口座でWebを使って口座振替を申し込んだ場合、届け出電話番号を入力する必要がある。その番号が正しい場合には電話が掛かってくる。その音声が知らせるワンタイムパスワード（認証番号）を入力しない限り、先に進めない

　しかし、今回不正出金（未遂）が発生した銀行は、口座振替時の本人確認が“甘め”に設定されていたという指摘がある。ドコモが不正の手順の説明の中で挙げた「口座番号」「名義人」「生年月日」「キャッシュカードの暗証番号」の4つさえあれば申し込みが成立する銀行もあったという。

　Webでの口座振替申し込み時の本人確認が甘いと、ドコモ口座以外でも預金者の意図せぬ口座振替契約が締結される事案が発生しうる。

　ドコモだけではなく、金融機関側もWebにおける本人確認の手法について再検討が必要だろう。

Web口座振替の申し込みは、金融機関によって必要な情報が異なる。この画像は「Kyash」における銀行チャージに対応する一部の銀行を抜粋したものだが、必要な情報がまるで違う（イオン銀行とゆうちょ銀行では、表記の情報に加えて氏名と生年月日の情報も必要）