NTTドコモは9月11日の記者会見に続いて9月14日もオンライン説明会を開催! |
NTTドコモは14日、一部の銀行において同社が提供している送金・決済サービス「ドコモ口座」や「d払い」を利用した不正利用が発生した問題を受けて9月10日の記者会見に続いて9月14日にもオンライン説明会を開催しました。
説明会では不正利用についての現状説明として新たに被害状況などの最新情報が報告され、被害件数および被害総額は9月11日0時の時点の73件・約1,990万円からさらに増え、9月14日0時の時点で120件・約2,542万円となったとしました。不正利用が行われた銀行は11行。
ただし、ドコモ口座への銀行口座の新規登録を停止した9月10日0時以降に不正利用された件数は1件のみとなっているものの、すでに18行でチャージが停止されていましたが、新たに銀行からの要請に基づいて新たに8行においてチャージを停止して合計27行となっています。
またすでに不正利用が発覚した銀行ではチャージも停止していることから今後に不正利用が行われることはまったくないとは言い切れないものの、説明会では「ほぼほぼないのではないか」という見解が示されました。なお、同様の手口を使った不正利用が2019年10月から起きていたことが明らかにされました。
ドコモ口座およびd払いにおける銀行口座登録の仕組みを突いた今回の不正利用問題は地銀ネットワークサービスが提供する「Web口振受付サービス」を利用した銀行の一部で、ドコモ口座およびd払いへの銀行口座登録時に氏名および銀行口座番号、4桁の数字の暗証番号のみで登録できる安易なシステムを悪用しています。
なお、NTTドコモでは銀行によっては生年月日も登録する場合もあったものの、その場合でも不正利用があったとしています。不正利用するには暗証番号が必要となりますが、NTTドコモでも不正利用があった銀行でも漏洩はないとしており、別途、フィッシングなどによって得られたものではないかと考えられています。
これについてNTTドコモでは説明会にて「不正利用されたドコモ口座と銀行口座の紐付けについて失敗している確率は高くなく、現時点では大量のアタックによって漏洩しているわけではなく、ピンポイントで狙われている認識」であることが示されました。
こうした状況下で、不正利用を行おうとする第3者がこれらのシステムで運用する銀行口座を持つ人を装い、銀行口座を持つ人の氏名でdアカウントを登録(無料)し、そのdアカウントにてドコモ口座を開設し、そのドコモ口座に銀行口座を登録した上で、銀行口座からドコモ口座にチャージします。
チャージされたドコモ口座の残高はd払いの残高としても利用できるため、商品などを購入が可能で、実際にコンビニエンスストアでタバコや量販店で高額な家電などを購入して転売されているケースがあるという。またドコモ口座では銀行口座の登録をもって本人確認としていたことも不正利用の要因となったと思われます。
その他、詳細についてはすでに公開している以下の記事をご覧ください。なお、一時、不正利用があった銀行は12行と報告がありましたが、このうちの1行はその後、別事象と判明したため、改めて11行となっています。また現時点でチャージを停止していない銀行は不正利用がなく、セキュリティーも問題ないとしています。
・七十七銀行や中国銀行などで「ドコモ口座」を悪用した不正利用が発生!名前・口座番号・暗証番号で連携登録可能なシステムを突く - S-MAX
・ドコモ口座・d払いへの銀行口座登録を悪用した不正利用の被害額は約1000万円に!新規登録を全銀行で一時停止。eKYCやSMS認証導入へ - S-MAX
・秋吉 健のArcaic Singularity:問題の本質は銀行側にあった。ドコモ口座不正利用事件で発覚した企業のセキュリティー意識の低さを考える【コラム】 - S-MAX
チャージを停止している銀行は以下の通り。また9月14日に開催された説明会ではドコモ口座を利用した類似の不正利用が疑われるケースについても停止しているものの、具体的な内容は犯人に情報を与えるので非公開としていました。
<チャージ(入金)がご利用いただけない銀行>
・ゆうちょ銀行
・イオン銀行
・池田泉州銀行
・伊予銀行
・愛媛銀行 (9月15日(火)午前0:00~)
・大分銀行
・大垣共立銀行
・紀陽銀行
・京都銀行
・滋賀銀行
・静岡銀行
・七十七銀行
・十六銀行
・仙台銀行
・第三銀行
・但馬銀行
・千葉銀行
・千葉興業銀行
・中国銀行
・東邦銀行
・鳥取銀行
・南都銀行
・広島銀行(9月15日(火)午前3:00~)
・百十四銀行
・北洋銀行
・みちのく銀行
・琉球銀行
※愛媛銀行をご利用の方は9月14日(月)午後11:59までチャージ機能をご利用いただけます。
※広島銀行をご利用の方は9月15日(火)午前2:59までチャージ機能をご利用いただけます。
なお、今後はNTTドコモの携帯電話契約のないdアカウントではドコモ口座を利用する場合にオンライン本人確認(eKYC)が導入される予定で、eKYCを行っていない場合はすでに銀行口座を登録している場合であってもチャージができなくなるとしています。またその後でSMS認証の導入も予定しています。
その他、NTTドコモでは不正利用があった場合には銀行の出金履歴に「ドコモコウザ」や「ディーバライ」といった明細があるため、これらの明細で覚えがない場合は専用窓口に連絡するよう案内しています。また銀行側の対応としては中国銀行がIVR認証(届出電話番号にワンタイムパスワード送信)を9月11日より順次導入しているとのこと。
具体的にはドコモ口座(d払い)およびメルペイ、LINE Payへの銀行口座登録・チャージでは9月11日にすでに導入しており、J-Coin Payへの銀行口座登録・チャージでは9月16日(水)対応予定となっています。また七十七銀行が9月中旬まで、東邦銀行では速やかにそれぞれIVR認証を導入するしています。
・「ドコモ口座」への不正利用に関する対応について(追報) | 中国銀行からのお知らせ | 中国銀行
・<重要>「ドコモ口座」を利用した当行口座の不正利用への対応について | 緊急掲載情報 | 七十七銀行
・「ドコモ口座」の不正利用への対応について|ニュースリリース|東邦銀行
一方、その他のイオン銀行や大垣共立銀行、紀陽銀行、滋賀銀行、第三銀行、鳥取銀行、みちのく銀行では今後にセキュリティー強化を行うとしていますが、具体的な内容は確認できませんでした。上記の中国銀行の対策でもわかるように今回の問題はドコモ口座だけの問題ではなく、他の決済・送金サービスでも起きうる問題だけに銀行側の対応も早急に実施して欲しいところです。
記事執筆:memn0ck
■関連リンク
・エスマックス(S-MAX)
・エスマックス(S-MAX) smaxjp on Twitter
・S-MAX - Facebookページ
・【重要】銀行口座登録の申込受付停止および一部銀行のチャージ停止について(2020年9月14日19時更新)|お知らせ|ドコモ口座