最近話題のドコモ口座事件ですが、金融機関勤務者目線で考察してみます。
ドコモ口座とは
ドコモが発行するdアカウントを使い、提携銀行口座とAPI接続することで、提携銀行口座からd払いにチャージして支払いに充てたり個人間送金したりすることができるサービスです。また、ATMから引出も可能です。根拠法は資金移動法です。
事件の概要
ニュースの見出しでは「ドコモ口座で不正利用」みたいな感じで書かれているので、「ドコモ口座使ってないし関係ねーや」と思った人がほとんどだと思いますが、ところがどっこい、(自分の意志で)ドコモ口座を作っていなくても、連携先の銀行に口座を持っているだけで、不正利用リスクがあります。事実、今回被害にあった方の多くは、ドコモ口座を使っていませんでした。
dアカウント自体はメールアドレスさえあれば誰でも作ることが可能です。ここで、不正に入手した口座情報の名義人でdアカウントを作成し、他人に成りすましてその口座に連携し、不正利用をする、という手口でした。
なぜそんなことができるかというと、dアカウントと口座を連携する際に、連携銀行の多くは暗証番号と生年月日だけで連携できてしまうため、不正に取得した口座情報さえあれば不正利用されてしまうというものです。
口座情報は「リバースブルートフォースアタック」という、暗証番号を固定化し、口座番号を片っ端からスクリーニングする方法で取得したと想定されています。通常、一つの口座番号で複数回パスワードを失敗するとロックがかかりますが、これは逆引きしており、その方法を回避することができると言われています。
ドコモ口座と連携している銀行
| 三井住友銀行 | みずほ銀行 | ゆうちょ銀行 |
| イオン銀行 | 伊予銀行 | 池田泉州銀行 |
| 愛媛銀行 | 大垣共立銀行 | 紀陽銀行 |
| 京都銀行 | 滋賀銀行 | 静岡銀行 |
| 七十七銀行 | 十六銀行 | スルガ銀行 |
| 仙台銀行 | ソニー銀行 | 但馬銀行 |
| 第三銀行 | 千葉銀行 | 千葉興業銀行 |
| 中国銀行 | 東邦銀行 | 鳥取銀行 |
| 南都銀行 | 西日本シティ銀行 | 八十二銀行 |
| 肥後銀行 | 百十四銀行 | 広島銀行 |
| 福岡銀行 | 北洋銀行 | みちのく銀行 |
| 琉球銀行 | 合計35行 |
メガバンクでは三菱UFJ銀行が提携していないほか、ネット銀行はソニー銀行以外は提携していません。
提携している銀行で、dアカウントと連携する際に暗証番号等の他にワンタイムパスワードや通帳の最終残高を入力させる、いわゆる多要素認証の仕組みを導入している銀行はほとんどなく、セキュリティがザルだったということです。メガ、ソニー銀行で不正利用が無いのは多要素認証がある為、不正利用者が口座連携できなかった為です。
余談ですが、三菱UFJ銀行はドコモ口座はもちろんPay Payにもチャージできない等、モバイル決済とは一定の距離を置いています。三菱UFJはマネーロンダリング対策の瑕疵で何度も米国において多額の制裁金を科されており、他行に比べて口座開設も厳格で、融通が利かないとの評価をされてきました。しかし、ここにきて、ドコモ口座と連携していないことから、Twitterのトレンドで急上昇する等、そのセキュリティレベルの高さが見直され、「三菱UFJ最強説」まで出ています。
ドコモと銀行のどちらが悪いのか
金融機関従事者の目線から見たらどう考えても銀行が悪いですね。
コロナ禍もあり、生活に関する多くのサービスはオンラインで行わるようになりました。各サイト毎にIDとパスワードが設定され、Webサービスを利用する際には必須となっています。
セキュリティのレベルはそのサービスの内容次第ではあると思います。高度なセキュリティに越したことはありませんが、あまり厳しすぎるとUXとしてはイマイチでユーザーの離脱を惹起してしまいます。
では銀行のサービスはどうか。言うまでもなく、銀行預金は財布そのものであり、最も厳格に管理されるべきものです。これだけインターネットが普及しているにも関わらず、インターネットバンキング及びそのセキュリティに投資をしないことは預金者軽視との誹りを受けても已むを得ないと言えます。コロナ禍を受け、利用者が何を求めているか、どういう対応が必要だったかの視点が欠けていたと言えます。
ただでさえ、銀行業はGAFAやアリババ、テンセント、Grab等のメガプラットフォーマーの台頭でその存在意義を揺さぶられている中、今回の失態は致命傷につながります。多くの銀行はお金をかけたくてもその余裕がなかった、ということなんでしょうが、その時点で退場が迫っていると危機感を持つべきです。
しかし、ドコモの初動もダメでしたね。セキュリティ上の穴の責任は銀行にあるにしても、サービスプロバイダーはあくまでドコモであり、消費者目線で見れば、ドコモがまず謝罪して課題解決に率先して取り組む姿勢を見せるべきでした。「認証は銀行側の問題でしょ」というのは先ほど申し上げた通り、それはドコモと銀行間の話であり、それを対外的に示してしまうのは典型的な供給者目線であり、消費者には何の関係もありません。
最後に
ドコモ、銀行の双方にかけているのは利用者目線です。これを見誤ったが故の事件と言えます。
来年には金融仲介法制が施行されることになっています。今回の件で、7,000万ユーザーを抱えるドコモでさえ、「利用者目線」の欠落という初歩的な失態を犯しており、和製プラットフォーマーの難しさが露呈してしまいました。これでは金融仲介法制が施行されても消費者にメリットあるサービス提供は遠そうですね。。。
