ドコモ口座不正引き出し、狙われた脆弱性 キャッシュレス推進にも逆風
NTTドコモの電子マネー決済サービス「ドコモ口座」を利用して不正な預金引き出しが行われたのは、ドコモ口座の本人確認の不十分さと、銀行側のセキュリティーの甘さが重なり、脆弱(ぜいじゃく)性が生まれたからだ。複数の事業者が連携して提供するサービスが増える中、セキュリティー面での盲点も生まれやすくなっている。こうした問題が今後も続けば、政府のキャッシュレス推進にも影響は必至だ。(蕎麦谷里志、高木克聡)
菅義偉官房長官は9日の記者会見で、金融庁がNTTドコモや金融機関に対し、不正な預金引き出し防止のために必要な措置を取ることや、被害者対応に万全を期すことを指示したと明らかにした。
今回の不正引き出しにドコモ口座が使われたのは、フリーメールを使えば他人になりすまして口座開設が可能という“弱点”があったからだ。犯人にしてみれば、不正入手した銀行口座情報を使い現金を引き出す際、厳格な本人確認が行われている別の銀行口座に送金するよりも、特定が難しくなる。
他の決済サービスと比べても、ドコモ口座はパソコンからの操作が可能で、携帯電話番号のショートメッセージを経由した2段階認証をしなくても、銀行口座とひも付けできた。サイバー攻撃に詳しいEGセキュアソリューションズの徳丸浩代表取締役は「幅広い利用者を取り込もうとしてセキュリティーが脆弱になった」と指摘する。銀行側にも2段階認証の仕組みがないなどの問題があった。
今回の不正引き出しではドコモ口座が悪用されたが、キャッシュレスのセキュリティーに詳しい決済サービスコンサルティングの宮居雅宣社長は「本人確認が不十分な決済事業者はドコモだけではない」と警鐘を鳴らす。
平成30年ごろからQRコード決済が普及し始めると、金融以外の業種が相次いで決済事業に参入。その結果、十分なセキュリティー対策が取られない中、日常的に多額の送金が行われるようになった。
ソフトバンク系列のペイペイでは30年12月にクレジットカードの不正利用が相次ぎ発覚。翌年にはセブン&アイ・ホールディングスの「7pay(セブンペイ)」が不正利用により3カ月で廃止に追い込まれた。
政府は経済の効率化などを目的にキャッシュレスを推進するが、日本のキャッシュレス比率は約27%と伸び悩む。博報堂生活総合研究所が昨年実施した調査では、キャッシュレス社会に反対する理由の3位がセキュリティーへの不安だった。宮居氏は「安全安心を第一義にしないと広がるものも広がらない」と、セキュリティー対策を強化する必要性を指摘している。