ドコモ口座事件はなぜ起きたか。分かりやすく解説&対策はあるのか?

NTTドコモの電子決済サービス「ドコモ口座」を使った預金の不正引き出しが相次いでいます。

そして被害は今後も広まる危険性も。

「どんな仕組み?手口?」
「自分はドコモ口座持ってないから関係ないよね?」
「ドコモ口座持ってるから怖い。どうすればいいの?」
そんな数々の疑問がわいてくるのではないのでしょうか。

今回は「ドコモ口座事件はなぜ起きたか。分かりやすく解説&対策はあるのか?」ということで、今回の事件の手口などについて出来るだけ分かりやすく解説していきたいと思います。

ドコモ口座事件はなぜ起きたか

手口をわかりやすく解説


こちらが今回のドコモ口座事件の仕組みです。

ドコモ口座はドコモの「dアカウント」を作れば開設できます。
そのdアカウントはドコモユーザーだけではなく誰でも登録できます。

そして他社のサービスがdアカウントに登録する際は電話番号が求められません。つまり二段階認証を必要としません。

つまり、ドコモ口座はメールアドレスだけで開設できてしまうことになります。

その開設したドコモ口座から、何らかの方法で盗み出した口座番号・暗証番号を使って引き落とし銀行口座を設定。そしてドコモ口座にチャージするという手口です。

この事件の怖いところは

・ドコモユーザーであるかどうかは関係ない。というかスマホを持ってるか持ってないかすら関係ない(既に開設してある銀行口座から引き落とされるから)
・ドコモ口座を持っている・持っていないかも関係ない(第三者によって勝手に作られるから)

要するにドコモ口座にチャージできる金融機関、つまりドコモ口座と提携できる銀行のキャッシュカードを持っているすべての人が被害に合う可能性があるということです。

この「ドコモ口座提携銀行」の一覧がこちらです。

<都市銀行など>
みずほ銀行
三井住友銀行
ゆうちょ銀行(9月9日に受付停止)<以下、五十音順 >
イオン銀行(9月9日に受付停止)
伊予銀行(9月9日に受付停止)
池田泉州銀行(9月9日に受付停止)
愛媛銀行
大分銀行(9月9日に受付停止)
大垣共立銀行(9月8日に受付停止)
紀陽銀行(9月9日に受付停止)
京都銀行
滋賀銀行(9月9日に受付停止)
静岡銀行
七十七銀行(9月5日に受付停止)
十六銀行
スルガ銀行
仙台銀行(9月9日に受付停止)
ソニー銀行
但馬銀行(9月9日に受付停止)
第三銀行(9月9日に受付停止)
千葉銀行
千葉興業銀行
中国銀行(9月8日に受付停止)
東邦銀行(9月9日に受付停止)
鳥取銀行(9月9日に受付停止)
南都銀行
西日本シティ銀行
八十二銀行
肥後銀行
百十四銀行
広島銀行
福岡銀行
北洋銀行(9月9日に受付停止)
みちのく銀行(9月9日に受付停止)
琉球銀行(9月9日に受付停止)

これらの口座のキャッシュカードを持ってる人は、全く関係ない第三者が開設したドコモ口座に預金を引き落とされる危険性があるということです。恐ろしい…

「ドコモ口座がメールアドレスだけで何個も簡単に開設できる」という隙をついた悪質な手口です。

暗証番号や口座番号はどうやって盗み出すの?

「何らかの方法で盗み出した口座番号・暗証番号」とありますが、これらはどのような手口で盗み出されるのでしょうか?

不正出金犯がいかにして口座番号と暗証番号を入手したかはまだ明らかではない。被害者によると、電話番号や車のナンバーなど容易に推定されうる番号は使っていなかったという。

DIAMOND onlineより引用)

口座番号や暗証番号を盗み出した手口についてはまだ明らかになっていません。

ただ、「口座番号と名義」のみなら実質開示されている状態なので簡単に知られます。
あとは暗証番号を突破するだけということになりますが…

「暗証番号なんて3回間違えたらロックされる」と思ってる人もいるかもしれませんが、暗証番号を固定して口座番号を総当たりすればロックされません。
普段なら固定されてる口座番号に対して暗証番号を入力する仕組みですが、その逆の事をするという事です。

そしてこの暗証番号は4桁の数字なので、10000個の組み合わせしかありません。(10の4乗個)
なのでたまたま固定した暗証番号が正解になる可能性は十分にあり得ます。

ただ、この「逆総当たり」が対策が難しいのが現状の様です。

同一の暗証番号に対して複数の口座を連続して試す「逆総当たり攻撃」が可能で、これに対する防御は難しい。もし逆総当たりで銀行口座を凍結させてしまうと、凍結の仕組み自体を悪用してオンラインバンキングを機能不全に陥れることができてしまうからだ。

DIAMOND onlineより引用)

暗証番号をこまめに変更することは金融機関でも推奨されている不正利用対策ですが、この件に関しては焼け石に水ですね…

ドコモ口座事件:個人で出来る対策はあるのか

口座番号や暗証番号を盗み出す手口はまだ判明しておらず、引き落とされる先のドコモ口座は犯人が開設するものなので、現状個人が出来る対策というものは無いと考えていいかもしれません。

根本的な解決にはなりませんが、上に挙げたドコモ口座提携銀行の口座を持っている場合は、提携していない口座に預金を移してその提携している口座を空にしておけば最悪の事態は防げる…

と言いたいところですが、なんと被害者の中には預金マイナスになった人もいるとか。

普通預金の残高が無くても、定期預金残高があればそれを担保にして自動的に借り入れできる「当座貸越(総合口座貸越)」によるものです。詳しくはこちら。

総合口座(普通預金に定期預金などを担保とする当座貸越機能がついている口座)を利用している方は要注意。

ドコモ側は今回の事件を受け、本人確認をドコモ側で確実に行い(これまでは提携する銀行によって差があった)、携帯電話番号を使った2段階SMS認証も導入することでセキュリティ強化を図るとの発表がありました。(参考:NTTdocomo

金融機関、ドコモ側の対策は今後も継続して行われていくでしょう。

まとめ

今回は「ドコモ口座事件はなぜ起きたか。分かりやすく解説&対策はあるのか?」ということで、今回のドコモ口座の不正利用事件について開設しました。

・「ドコモ口座は実質メールアドレスだけで開設できる」という隙をつかれ、起きた事件と思われる
・引き落とされる先のドコモ口座は第三者が開設するので、自分がドコモユーザーであるかどうか・ドコモ口座を持っているかどうかなどは関係ない
・ドコモ口座と提携している金融機関の口座を持っている人は誰でも被害に合う可能性がある
・個人で出来る根本的な対策方法は無い。ドコモ口座と提携している金融機関の預金を0にしておいても条件が揃えばマイナスになる可能性がある

9月10日現在、被害総額は1000万円にのぼっています。ドコモは銀行と協議した上で、全額補償する方針するとの事です。

いつかはまた、安心してドコモ口座が利用できるようになって欲しいものですね。