ドコモ口座に不正利用が発生! 被害が発生した銀行と、被害がない銀行が浮き彫りに

　昨年12月にペイペイが「100億円あげちゃうキャンペーン」を始めて、火が付いたキャッシュレス決済サービスの一翼に、dポイントで気を吐いて来た「ドコモ」がつまずいた。NTTドコモの「ドコモ口座」を使った不正や預金の引き出しに見舞われ、11日午前0時までに確認された被害は73口座の約1990万円に上る。

　ドコモ口座は預金口座やコンビニから入金しておくと、ネットショッピングの支払いに充当したりユーザー間で送金が出来る、利便性の高いサービスだ。

　しかし、ドコモ口座を作るために必要な顧客ID「dアカウント」への登録に、厳格な本人確認のシステムがなく、ドコモサービスを利用していなくとも、メールアドレスで登録が可能という脆弱性を抱えていた。

　2年前の18年8月には、ドコモの「dポイント」とコンビニを巻き込んだ不正が発覚している。SNSに「身に覚えのない利用歴がある」という書き込みが発端だった。当時の資料では約300件の申告があり、数百万円の被害が把握されたようだ。

　この時はローソンが運営する会員サービスのアカウントと、そのアカウントに紐づいたdポイントが不正に利用されたようだ。ローソンは、ローソンIDの全ての会員パスワードを強制的にリセットした上で、翌日にはローソンのスマホアプリの「デジタルdポイントカードサービス」の停止にまで追い込まれた。半月ほど後に、会員サービスのセキュリティ強化のために2段階認証を採用し、ようやく正常化している。

　19年7月に華々しくスタートしながら、甘いガードを突かれて僅か3カ月で終了が決まった7payも、2段階認証が採用されていなかったことが命取りになった。セブン-イレブン（セブン）の場合は、会員システム「7iD（セブンアイディ）」に会員登録することで、セブンアプリの各種サービスを利用することが出来た。ところが、入り口の「7iD（セブンアイディ）」は、メールアドレス・電話番号・生年月日の入力でパスワードがリセットできるというセキュリティの脆弱性を抱えていた。

　セブンの場合には、身内のシステムの守備範囲が徐々に拡大したのに対して、都度セキュリティを確認する発想がなかったようだが、ドコモ口座の場合には「銀行」という看板に目が眩んで、個々の銀行が法人格を別にしていることへの配慮不足が落とし穴になったようだ。

　「銀行」だったらどこも同じシステムを運用している訳ではない。ドコモ口座で連携している35の銀行で現在被害が判明しているのが12行である。今後新たに被害が判明するにしても、おそらく半数の銀行ではセキュリティシステムが有効に機能していたことになるからだ。

　今回の被害をドコモと個別の銀行が協議の上で補償するには当然であり、企業体力からみても何の問題もない。問題は、「ドコモでトラブルがあった」「銀行の残高をドコモ口座に抜かれた人がいる」という記憶が社会全般に漂うことだろう。手抜き工事が怖いのは、形あるものだけではないという、時代の有り様をうかがわせた事例である。（記事：矢牧滋夫・記事一覧を見る）