「ドコモ口座」不正預金引き出し、記者会見の一問一答まとめ(3/3 ページ)
NTTドコモが提供する電子決済サービス「ドコモ口座」で発生した現金の不正引き出し事件について、同社が記者会見を開催した。質疑応答を一問一答でまとめた。
――そもそもドコモ口座のサービスはどのような目的で始めたのか
前田:資金移動業のビジネスを行うことで、送金手数料などにビジネスチャンスがあると考えた。請求書の合算払いなどのサービスを提供していたので、その延長線上だ。
――(システムの)改善に向けた銀行との話し合いについて進捗はあったか。銀行に対して何かを求めているか
丸山:まずはドコモの本人確認が不十分だったので、そこを改善していく。まずはドコモ側を改善してからになる。
前田:セキュリティ強度を高める手法などを(銀行に)示すなど連携している。
――銀行と(システムを)接続する際に銀行側の仕様に従うとあったが、銀行からドコモに対してセキュリティ面のチェックはなかったのか
田原:銀行口座の名義とドコモ口座の名義をチェックしていない状況があり、銀行からチェックしてほしいという話があった。セキュリティに関する要望は互いに出しており、改善を進めてきた。
前田:今回のドコモ契約者以外で発生した認証については、銀行から要望をいただいていなかったというのが事実。今回の事象が起きたことで、改善を強く求められている。
――今後、被害拡大の可能性についてどう認識しているか
丸山:正直分からない部分はある。現時点での被害額から、桁が変わるようなことは想定していない。
――利用者の利便性などの観点から、連携できる銀行の数を拡大する必要があると考えられる。今回の問題による影響はありそうか
前田:事業に一定の影響があるだろう。銀行との連携の方向性に変わりはない。必要なセキュリティについては協議を進め、十分な対策を取っていきたい。
――9月3日に銀行側から(本件の)報告があったというが、口座の新規登録を停止する銀行が五月雨式になるなど、対応が後手になっている印象がある。以前のプレスリリースでは「ドコモからの情報流出はない」といった内容で、今回の(全面的に非を認める)発表とは真逆に感じる。対応がぶれている背景は
丸山:本件について、マネジメント層にはすぐに伝達されていた。当時、ネット上には「ドコモから情報流出したのではないか」という情報があった。ドコモはそういった情報を保有していないので、「ドコモから流出していない」ということをプレスリリースの中でいち早く発表した。全貌をつかんだ上での発表ではなかったという指摘はその通りである。
――ドコモ口座の不正利用に便乗した二次被害対策についての啓蒙活動などは考えているか
丸山:フィッシングメールなど、ドコモの名前をかたっているものは相当な数がある。そういった啓蒙活動は地道に続けている。今後も検討を続けていく。
――どのような条件が整えば、(元の状態のように)再開できると考えられるか
丸山:今回の事案に対する直接的な対策が行えれば再開できるだろう。しかし、全体を通して利用者が安心できる仕組みを整える必要があると考える。
――2019年は、りそな銀行の件や、他社「7pay」などセキュリティに関する問題が目立っていた。対応が粗末だったのではないか。経営責任は
丸山:反省している。まずは全貌を解明するために、金融庁や捜査当局などと連携して対応することが経営責任だと思っている。
――犯人がドコモ口座を狙ったのは、匿名性が高いと思われたからか
前田:本人確認の部分が不十分だったという認識の通りだ。
――犯人が(不正に入手した)現金を引き出すなど、アクティビティーをどこまで追跡できるのか
田原:不正にチャージされた金額がどの店で使われたかという情報が残っている可能性が高い。捜査当局と連携して犯人の特定についてドコモも協力していく。
前田:ドコモ口座から使われた場合は追跡できるが、銀行口座に入金されたものが不正なものかを確認するのは難しい。
――今回の事件は、ドコモ口座の利用者以外にも影響するものだが、事件に巻き込まれていないことを確認する方法はあるか。防衛策は
丸山:口座残高など取引履歴を確認していただくしかない。暗証番号や口座にアクセスするために必要な情報を漏らさないことが重要。その点を気を付けていただければ問題ないかと思う。
――ドコモの利用者以外に対する注意喚起などを予定しているか
丸山:ドコモと関係のない人に迷惑を掛けたことはおわびのしようがないぐらいだ。反省している。現在は現実的な手段が見つかっていない状況。何らかの策はとりたいと考えている。
――今後の対応策の中で、SMS認証を使うとしているが、本人確認を必要とせずにSMSが使えるサービスもあるはずだ。なぜ電話を使った音声認証などを採用しないのか
前田:SMSは広く一般的に使われている方法だ。早急に対応できる策の1つと捉えている。音声認証も含め、認証を強化していくことは今後も引き続き検討していく。現時点での策はeKYCとSMS認証としている。
――導入するeKYCは自社製か、サードパーティーか
田原:サードパーティーのソリューションを使う。8月から別の目的でeKYCを一部導入していた。そちらを改修して拡大することになる。
――1人あたりの被害額の幅はどれぐらいか
田原:ドコモ口座のチャージ金額は1カ月あたり30万円が上限だ。8月の終わりから9月初旬まで、2カ月にわたって被害に遭われた方もいる。その場合は最高で60万円になる。
――銀行側に過失はあったのか
丸山:ドコモの本人確認に問題があった。まずはその部分を解決する。その上で、さらに安全性の高いサービスをみんなで協議して提供していきたいということを思い描いている。
関連記事
「ドコモ口座」不正預金引き出し事件、ドコモが謝罪 被害額1800万円の全額補償 「本人確認十分でなかった」
電子決済サービス「ドコモ口座」を通じて現金の不正引き出しが相次いでいることを受け、NTTドコモが都内で記者会見を開き、被害者やサービスの利用者に対し謝罪した。
「ドコモ口座」で相次ぐ不正出金、なぜ地銀だけが狙われた? 専門家の見解は
NTTドコモが提供する電子決済サービス「ドコモ口座」を利用して、銀行から不正に現金を引き出す被害が相次いでいる。顧客に被害があったのはいずれも地方銀行。今回の不正出金はなぜ起きたのか、専門家に見解を聞いた。
ドコモ口座、全銀行で新規の登録停止 被害額は1000万円
電子決済サービス「ドコモ口座」を悪用した現金の不正引き出しが相次いでいることを受け、NTTドコモはドコモ口座と連携する全35行の新規登録を停止すると発表。9日までに、34口座で約1000万円の被害を確認したという。
ドコモ口座と連携中止する銀行相次ぐ 35行中18行が受付停止
「ドコモ口座」を悪用した現金の不正引き出し被害が相次いでいることを受け、ドコモ銀行とサービス連携をしている18の銀行が9月9日までに、口座の登録や変更などの手続きを中止すると発表した。
7payの「二段階認証導入」は正解か? セキュリティ専門家、徳丸氏の視点
セキュリティ専門家の徳丸浩さんに、7payが取るべきセキュリティ対策を聞いた。二段階認証の導入決定は「結論を出すのが早すぎる」という。
攻撃の認識すら不可能 Webサイトを静かに狙う「Magecart」攻撃の実態
Webからこっそりクレジットカードなどの情報を抜き取る「Webスキミング」攻撃。すでに自社で防御しているだけでは防げない攻撃手法も。CDNサービスを手掛けるアカマイ・テクノロジーズの中西一博氏がその実態を解説する。- 攻撃の認識すら不可能 Webサイトを静かに狙う「Magecart」攻撃の実態
Webからこっそりクレジットカードなどの情報を抜き取る「Webスキミング」攻撃。すでに自社で防御しているだけでは防げない攻撃手法も。CDNサービスを手掛けるアカマイ・テクノロジーズの中西一博氏がその実態を解説する。
Copyright © ITmedia, Inc. All Rights Reserved.