ITmedia NEWS > セキュリティ >
ニュース
» 2020年09月10日 19時57分 公開

「ドコモ口座」不正預金引き出し、記者会見の一問一答まとめ (1/3)

NTTドコモが提供する電子決済サービス「ドコモ口座」で発生した現金の不正引き出し事件について、同社が記者会見を開催した。質疑応答を一問一答でまとめた。

[山口恵祐,ITmedia]

 NTTドコモは9月10日、電子決済サービス「ドコモ口座」を通じて現金の不正引き出しが相次いでいることを受け、被害者やサービスの利用者に謝罪した。同社が同日に開催した記者会見の内容を一問一答でまとめた。

 記者会見には、ドコモの丸山誠治副社長、前田義晃本部長(常務執行役員 マーケティングプラットフォーム本部)、田原努部長(ウォレットビジネス部)が登壇した。

photo 左からドコモの田原努部長(ウォレットビジネス部)、丸山誠治副社長、前田義晃本部長(常務執行役員 マーケティングプラットフォーム本部)、

――ドコモ回線契約者以外でもメールアドレスで口座を作れるが、電話番号の登録を義務付けていれば、電話による回線認証なども可能だったのではないか。dアカウントのサービス拡大を優先したのか

丸山:ドコモユーザー以外にもドコモのサービスを開放していこうと事業に取り組んできた。その中の一環として、d払い(ドコモ口座)についても提供範囲を広げるため、(認証などを)簡易な手段にしていた。現在は反省している。

――2019年5月にりそな銀行で同様の問題が発生していたが、なぜ今回の問題について対策を取れていなかったのか。経営責任をどのように考えているか

丸山:銀行の口座振替で(ドコモ口座に)お金を充当するサービスは2017年からやっていた。銀行口座とドコモ口座の名義が一致していなくても使えるなど、緩い形で運用していた。その後、いくつかの問題が発生しており、それではセキュリティ上の問題があるだろうという指摘から、名義の一致確認などに取り組んでいた。

 しかし、これらはドコモ回線契約者に限ってサービスを提供していた当時のもの。今回の件は、それと全く違う問題と認識している。

前田:りそな銀行の問題が2019年5月に発生したのは事実。当時はドコモ口座をドコモ回線契約者にのみ提供していた。回線契約で本人確認ができているという前提で、銀行口座とドコモ口座をひも付ける仕組みだった。その中で不正利用事象がいくつか発生しているとりそな銀行から報告があり、回線名義と口座名義が完全一致するという確認事項を追加するなど対策を講じていた。以降、同様の問題は発生していない。

 今回の話は、ドコモ回線契約がない方の不十分な本人確認によって発生した問題と認識している。

――りそな銀行の問題が発生した後に、ドコモ契約者以外への提供を解放している。回線契約で本人確認していたという話に対し、条件を緩めているように見えるがどう考えているか

前田:提供範囲をドコモ回線契約者以外に広げた後は、dアカウントに登録したメールアドレスに認証メールを送信して本人確認するようにしていた。(サービスを)手軽に使っていただきたいという思いでこのようなフローにしていたが、今回のようなお金の絡むサービスについては、本人確認を厳重にするべきだった。認識が甘かったと考えている。

――「日本銀行などが採用するシステムに比べ、地方銀行が使っているWeb口振受付サービスのシステムは信頼性が低いと考えられる。(ドコモ口座のような)フィンテックサービスに接続してしまったのが問題ではないか」という専門家の指摘もあるが

丸山:そのような意見があることは承知している。各銀行がそれぞれの事業に応じて決めることなので、コメントは差し控えたい。

――(銀行側が)総当たり攻撃を受けていたという話もあるが、何か把握しているか

前田:銀行側からそのような情報共有は受けていない。多くのユーザーに使っていただくために(多くの銀行と)連携を進める中で起こってしまった事象だが、各銀行におけるセキュリティ対策は、各銀行で実施されていると認識している。

――(今回の問題は)ドコモ側に原因があるとしているが、銀行側には問題がなかったという認識か

丸山:金融機関のセキュリティとドコモのセキュリティ、お客さまから見れば、トータルで考えるべきものと承知している。今回のケースはドコモの本人確認が不十分だったのが一因だ。しかし、今後キャッシュレスを拡大するためには、全体のセキュリティと使いやすさを両立するために、みんなで知恵を出していく必要がある。

――今回の事象は、ドコモ以外にも発生し得る事象だったのか

丸山:セキュリティに絶対はない。他社のサービスを正確に存じ上げていないが、何かをしたら絶対起きないということはないと認識している。

――ちょうど1年前、d払いの規約改定で補償についてドコモ口座も含めるようになっていた。どのような理由か

前田:(従来の規約では)d払いの不正利用に関する補償について説明していたが、銀行口座とドコモ口座をひも付けた場合の補償について説明していなかった。被害者からの問い合わせに十分対応できていなかった。申し訳ないと思っている。

――不正出金があった銀行は、銀行口座の本人確認が甘かったという情報がある。銀行と口座振替の契約を結ぶ際に、銀行側の本人確認について、ドコモはチェックしていなかったのか。銀行側の認証が甘いと感じることはなかったか

田原:銀行側のチェック体制が十分であったかは、銀行のセキュリティに対する考え方と仕様がそれぞれある。明らかにセキュリティに問題があるということでなければ、基本的には銀行側の仕様に基づくようにしている。

――ドコモ契約者以外にサービス提供を広げる施策について、(今回の一件で)方針転換はあるのか、展開スピードは変わるのか

丸山:今のところ方針転換はない。高いセキュリティが求められると、そうでないものを仕分けし、工夫しながらお客さまに届けるようにしたい。

――被害額は1800万円とあるが、被害を受けたメールアドレスや銀行口座などに共通点はあるか

前田:dアカウントに登録されたメールアドレスの傾向などに共通点はないと認識している。被害を受けた銀行口座などの傾向については、銀行からの情報提供がないとドコモ側は分からない。今後も銀行と協議を進めていく。

――不正に口座を作った犯人のIPアドレスなどに傾向はあるか

田原:情報収集中である。

       1|2|3 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.