“ドコモ口座×ゆうちょ銀行問題”が残した教訓 決済サービスの向かう先を考える：鈴木淳也のモバイル決済業界地図（2/3 ページ）

[鈴木淳也（Junya Suzuki），ITmedia]

狙われたキャリアフリー

　前述ドコモの10日の会見で、同社は必死に何度も「SMS認証導入の早期化」について説いていた。しかし記者の側では「全ての回線で本人確認が厳格に行われているわけではないし、確認の甘い（MVNOなどの）キャリアのSIMを流用したり、犯罪者であれば何らかの形で犯人逮捕に結び付かない回線を入手したりして犯行に臨むはず」という意見が大勢を占めていた。

　なぜドコモはSMS認証を急いでいるのか。ある情報源によれば、今回のドコモ口座での不正引き出しは全てキャリアフリーで作成されたdアカウントを通じて行われており、メールアドレスの存在確認のみで作成できる点を利用されている。犯人は犯行直前に作成したとみられるアカウントを使い、ドコモ口座の月あたりの上限引き出し額（30万円）を最大限利用できる月末と月初のタイミングを狙い、一気に犯行に及んだという流れのようだ。

　また、ドコモ口座以外でもキャリアフリーのdアカウントを使った別の金銭の不正利用事件が9月上旬に集中して発生しており、ドコモ口座の件と合わせて現在同社は被害者への対応に当たっている。

　もともとは飽和しつつあるドコモ回線ユーザーだけでなく、より広い層にサービスで接触機会を増やすために実施されたキャリアフリーの仕組みだが、結果としてそれを悪用されたというのが今回の一連の流れだ。

　dアカウントのキャリアフリー化は2013年に実施されており（当時の名称は「docomo ID」）、2015年にdポイント機能が合体する形で現在のdアカウントに改名された。2019年9月に、それまで回線ユーザー向けに提供されてきた「ドコモ口座」が全dアカウントに開放され、ドコモ口座を通じた不正利用はその翌月の10月からスタートしている。

　「なぜこのタイミングなのか」という点だが、恐らく犯罪者は不正利用が可能なことを少しずつ検証し、それが発覚して対策が行われる前に準備を重ね、一気に犯行に及んだのだろう。

　キャリアフリーの仕組みそのものを狙われた事件のため、少なくともSMS認証を組み合わせれば犯行の可能性は一気に下がる。これにeKYC導入を絡めて本人確認を強化することで、事後の追跡はだいぶ容易になる。これが10日の会見で感じていた違和感に対する、ドコモ内部での思惑だ。

ドコモ本社の入居する山王パークタワー

　前項の記事中でも触れているが、ドコモ口座自体がドコモ内部であまり認知されたサービスではなく、例えばd払いにおける利用でもごくわずかにすぎない（最も利用が多いのはキャリア決済）。こうした状況にもかかわらず、キャリアフリー化の影響を考えずにdアカウントのサービス適用範囲を広げていった脇の甘さがドコモの問題となる。

　実際、本人確認以外の部分での不審な取引の検知システムなど、セキュリティ対応がおざなりなっていた部分が大きい。こうした部分を全て含め、総点検とブラッシュアップを今後数カ月かけて行っていくことになる。

　情報源によれば、現在同社ではセキュリティ対応のロードマップとして、10月中にeKYCの導入、11月中でのSMS認証対応を全てのキャリアフリーdアカウントを対象に実施していく。eKYCはもともと9月中での早期導入を計画していたが、いったん見直しを行った上で10月中旬以降に検証を含めて徐々にロールアウトしていく形になった。

　2021年初頭にかけてのパスワードレス認証導入も計画しており、最終的にドコモ口座へのチャージ再開は全ての対応が完了した2021年初頭になる見込みだ。なお、本稿執筆時点でまだ銀行6行がチャージを継続しているが、この口座への安全対策を兼ねてeKYC導入を最優先で進めていたという事情がある。情報源によれば、ドコモ口座の維持とチャージ継続（再開）を複数の銀行がドコモに対して強く要望しており、現状のサービス形態となっているようだ。