ドコモ口座不正使用は何故起きた?
画期的な出来事
FinTechにおいて、これまで免許証又はマイナンバーカードで本人確認を行っていた仕組みに画期的な出来事が起こった。
2017年9月27日、「Line Pay」がスマホ決済の常識を塗り替えた。
それまで、免許証などの提出を必須としていた本人確認の作業を、SMBCやみずほ銀行、ゆうちょ銀行などの銀行口座を「FinTech事業者」に登録する事で本人確認を完了する仕組みを世間に提供したのだ。
すっかりと簡易になり過ぎた本人確認
これに続くように、その他のスマホ決済も同様の仕組みを採用した。ドコモ、キャッシュ、PayPayに代表される大手FinTech企業達だ。
このLINEPayと金融機関が提供した新たなユーザは本人認証は、書類の提出の手間を省くことができ、スマホ決済を運営する会社はチェックと保管の手間を省くことができる夢のような手法であった。
そして月日は流れ2020年9月、「ドコモ口座」、「Line Pay」「Pay Pay」「Kyash」などのスマホ決済を用いた、預金不正引出し問題が発覚したのである。
どうしてこの様な事件が起きてしまったのか?
対応策はないのか、そして自身の預金を守る方法はないのかなどの話題が新聞やワイドショーを連日騒がせる事態となった。
どのような方法で預金が引き出されたのか、口座番号と暗証番号をどのように取得したのかなど、あらゆる可能性を交えて専門家が日々解説を行っているが、どんな人が被害にあっているのかを詳細に語る報道はごく少数である。
そのため、沢山の被害が出ているが、なんとなく自分は大丈夫だろうと思っている方もいるかもしれない。
スマホ決済を使用していない方からするとこの事件は、興味の対象の外にあるのではないだろうか。
しかし、この事件は誰でも被害者になり得るということを例え話でお伝えしたい。
特に、スマホ決済を使用していない方こそ注意しなければならない事態なのである。
〈例〉
長年、金融機関Aに預金しているBさん。ある日、通帳記帳をした際に覚えのない取引が記載されていることに気が付いたのである。スマホ決済サービスCに合計で10万円が送金されていたのである。
Bさんはすぐに金融機関Aとスマホ決済サービスCを運営しているDに連絡を行った。AとDにこの送金について身に覚えがないこと、そしてスマホ決済サービスCを一度も使ったことがないことを証明したことで、不正引出しが行われていることが認められた。
犯人は、スマホ決済サービスに連携されていないBさんの預金口座を不正に取得し、紐づけて預金を引出したのである。
スマホ決済サービスでは本人確認を行っていないためBさんを騙る犯人を特定することは非常に難しい。また、チャージさえしてしまえば、買い物などの決済に利用できてしまうため足取りを追うことも困難である。
今回の不正引出しは、スマホ決済サービスに連携されていない口座が狙われているため、誰もが被害者になる可能性があるのだ。
Bさんのようにスマホ決済サービスに一度も触れたことがない人であっても例外ではないのである。
公務員や銀行員と騙り口座番号と暗証番号を電話で聞き出す詐欺や、フィッシングのような方法だけではなく、
今回の事件を検証している専門家が解説している、暗証番号を固定した状態で口座番号を機械的に解析する「リバースブルートフォース」攻撃によって口座番号と暗証番号が不正に取得された可能性が高い。
そして、本人確認を行うことなく簡単にアカウントの作成をすることができるスマホ決済サービスに目を付けた犯人は不正に取得された口座番号および暗証番号を紐づけることによって、口座名義人になりすまし不正な引出しを行ったのである。
現在のスマホ決済サービスの手法では、口座の名義人とスマホ決済を使用している人物が本当に同一であるかを知る術がない。今後、連携する銀行側のセキュリティが強化されたとしてもスマホ決済サービス側の仕様が変わらない限りこのような脅威は続くと思われる。
また、今回流出してしまった名義や口座番号、暗証番号は出回ってしまっている可能性が高い。
被害を最小限に留めるために、今のところ私たちができることは小まめな通帳記帳だけである。そして、身に覚えのない送金があった際にはすぐに金融機関へ連絡を行うことである。
私自身スマホ決済を発明した発明人であるが、このような事態を事前に想定しており、自身が運営管理アドバイスするスマホ決済事業においては、導入のハードルが高くても免許証又はマイナンバーカードで本人認証を行わせている。