ITmedia NEWS > セキュリティ >
ニュース
» 2020年09月10日 19時57分 公開

「ドコモ口座」不正預金引き出し、記者会見の一問一答まとめ (2/3)

[山口恵祐,ITmedia]

――金融庁から報告などは求められているか

田原:法令に基づいて報告が求められている。具体的には今回の事実関係、発生原因、顧客管理、再発防止策など。真摯に対応していきたい。9月9日に金融庁から話があり、17日までに報告を行う。

――9月3日に銀行から(第一報の)連絡があったとしているが、金融庁に連絡(8日)が遅れた理由は

丸山:いろいろな形で報告はしていた。8日に正式報告した。

――丸山副社長が報告を受けたのはいつか

丸山:4日と認識している。

――10日にドコモ口座の新規登録受け付けを止めているが、(直近の)9日までに登録されたドコモ口座が不正利用される可能性はあるか。金額チャージを止めるなどの対策はしているか

丸山:9日までに登録されたお客さまもいるかもしれない。今回の事象の本質は、何らかの方法で不正入手した口座情報などを使ってドコモ口座を作るというもの。時間をおいて何か発生するものとは考えていない。

――新規口座登録の再開めどは

丸山:「eKYC」(オンラインを使った本人確認の仕組み)とSMS認証を1カ月程度で導入。その後、状況を見ながら早急に再開したい。

――なぜサービス全体の提供を止めないのか

丸山:現在もドコモ口座から銀行口座にチャージをする方が非常に多い。直近で1日に1万3000件ある。ニーズがある中で急にサービスを止めるのは、利用者への影響が大きいという判断だ。

――メールアドレスだけで登録されたドコモ口座を止めるような対策は取らないのか

前田:正しく利用されているお客さまのために、そういった判断はしていない。

――ドコモ側が不正利用をすぐに確認できるわけはないのか

前田:銀行口座からドコモ口座に対し、不正にチャージされているといったことを検知できるのは、銀行もしくはお客さまのみとなる。もちろん事象が発生した場合は対応する。

――ドコモ口座自体は2011年から提供されているが、セキュリティの評価などは継続して行っていたか

丸山:セキュリティにはいくつかの視点がある。dアカウントやドコモ口座のセキュリティについては相当に注力してきた。2段階認証や2要素認証、パスワードレス認証などを導入している。いずれも口座に今入られているお客さまを守るもの。

 悪意があって踏み台のように入ってくる人をどのように排除するかという視点が不十分だった。今後の検討で改善を図っていきたい。

――セキュリティに絶対はないという話があったが、セキュリティに関する継続的なレビューを外部に委託するなど対策は実施していたか

丸山:私がCISO(最高情報セキュリティ責任者)という立場でもある。具体的な名前は伏せるが、グローバル大手の第三者機関に依頼し、定期的なレポートを基に改善している。

――(サービスの提供を)ドコモ回線契約者に限らない“キャリアフリー”というドコモ全体の戦略の中で今回の事象が起きている。メールアドレスだけで口座を開設できる状況は、顧客の安全よりもビジネス拡大を優先しているのではという批判もあるが

丸山:そういった意識はない。ドコモのサービスをできるだけ多くの人に使っていただきたいというもの。セキュリティには種類があり、メールアドレスのみでもお客さまを守ることはできる。しかし、不正利用者を排除する手段としては不十分だった。

――現在もメールアドレスだけで新規口座が作れる状況か

田原:現在もメールアドレスだけで作れる。ただし銀行口座から入金することはできない。プリペイドで入金できる機能だけ使える。今回のような事象は起きないようにしている。

――補償を行う日程のめどは立っているか

前田:全員の被害状況を認識できているわけではない。銀行からいち早く情報を得て、早い段階で補償したい。

――被害者に対し、被害金額だけでなくその他の対応などで生じた費用も補償するか

前田:全て補償する。

――現時点での被害総額1800万円は、いつからいつまでの数字か

田原:2019年8月以降の数字だ。

――ドコモ口座の案内を見ると、銀行口座の登録が本人確認の代わりのようになっている。自社のシステムでやるべきだったのではないか

前田:決済サービスで、本人確認にクレジットカードの登録を用いるものがあるが同様の考え方だ。銀行口座の情報を登録できる人は本人であるという考え方でサービスを提供していた。当時はドコモ口座の開設においてメールアドレスと銀行口座の登録で十分としていた。認識不足だったと反省している。

――被害を受けて、「eKYC」を導入するという話だが、暗証番号や氏名、口座番号など銀行が持っている情報とドコモの情報を照らし合わせるような仕組みは整えられるのか。セキュリティが甘いと考えられる銀行はどうするのか

丸山:ドコモと銀行側で情報を照らし合わせるようなことはしていない。ただし、そういった手法でセキュリティが強固になるというのはおっしゃる通り。全体でセキュリティを高める必要があり、今後の検討課題だ。

――(口座作成時の)本人確認が不十分だったとしているが、eKYCなどの対策だけで大丈夫なのか

丸山:ドコモ回線契約者以外を含むお客さまについても、SMS認証とeKYCの2つで問題ないと考えている。SMS認証が行うスマートフォンを持っているという時点で、何らかの形で本人認証が済んでいるということになる。犯人側からすれば、足のつきやすい手段になるだろう。

前田:SMS認証とeKYCの導入で対策できると考えられる。ただし、リスクを考えて(対策の検討など)銀行と引き続き連携していきたい。

――補償はドコモだけが行うのか。銀行は

前田:銀行と協議するが、ドコモが積極的に対応していく。

――(ドコモ口座に)マイナスイメージがついてしまったが、今後のテコ入れ策は

丸山:改善案を考えていきたい。誠心誠意、そのような活動を進めていくしかない。

Copyright © ITmedia, Inc. All Rights Reserved.