このようにして、ドコモ回線にひも付かないdアカウントが悪用されたことにより、今回の不正出金につながった。ドコモの本人確認の甘さが問題発生の一因となったのだ。
再発防止策として、ドコモ回線にひも付かないdアカウントでドコモ口座を開設する際に、ドコモは以下の方法で本人確認を実施するように改める。
eKYCについては、8月から別のサービスで導入したソリューションを流用するという。eKYCとSMSの「2要素認証」を行うことで問題がないことが確認でき次第、新規の口座登録を再開したいという。
一義的にはドコモにおける本人確認の甘さが原因である今回の事案だが、状況を総合すると不正(未遂)のあった金融機関側にも見過ごせない問題があった。
ドコモ口座の(オート)チャージは口座振替で行われるため、初めて利用する際に「口座振替依頼」をしなければならない。さまざまな業種にWebサービスが広がったこともあり、近年では多くの金融機関がWebを介した口座振替依頼に対応している。
Webでの口座振替手続きは通常、各金融機関が用意したシステムを使って行われる。この点でドコモ口座もご多分に漏れない。ユーザーの申し込みを受けてドコモが各金融機関に対してWebで口座振替依頼を出すと、各金融機関の受付システムに遷移するようになっている。
立て付け上、Webで口座振替の依頼があった場合は金融機関で本人確認を実施する。ここで問題となるのが、本人確認の方法が金融機関によって異なることだ。
セキュリティの高い金融機関では、口座情報以外に専用デバイスまたはスマホアプリが生成する「ワンタイムパスワード」、届け出ている電話番号宛てに架電する「電話認証」、通帳の指定箇所に記載されている残高を入力する「残高認証」など、口座の最低限の情報“以外”の要素を使った認証も行う。
しかし、今回不正出金(未遂)が発生した銀行は、口座振替時の本人確認が“甘め”に設定されていたという指摘がある。ドコモが不正の手順の説明の中で挙げた「口座番号」「名義人」「生年月日」「キャッシュカードの暗証番号」の4つさえあれば申し込みが成立する銀行もあったという。
Webでの口座振替申し込み時の本人確認が甘いと、ドコモ口座以外でも預金者の意図せぬ口座振替契約が締結される事案が発生しうる。
ドコモだけではなく、金融機関側もWebにおける本人確認の手法について再検討が必要だろう。
Copyright © ITmedia, Inc. All Rights Reserved.