ドコモ口座の不正引き出し(ドコモユーザーでない人もドコモ口座がない人も注意）

交流スペースフリートーク

2020.09.09 10:17

ぱんだりんさん

マスター

あまり話題になっていないようですが怖いニュースですね
ドコモ口座を持っていなくてもドコモが口座連携をしている銀行に
口座を持っていたら不正流出されているかもって

私も早いうちに預金通帳を記帳しに行って確認してきます

※　以下はyahooニュースより　※

ドコモ口座の不正引き出し、17行で連携中断　被害総額不明
9/8(火) 22:10配信

1283
この記事についてツイート
この記事についてシェア
朝日新聞デジタル
「ドコモ口座」を使った不正利用を発表した中国銀行のホームページ

　NTTドコモの電子決済サービス「ドコモ口座」を使った預金の不正な引き出しが、全国の地方銀行で相次いでいることが明らかになった。ドコモは9日未明までに、地銀など17の銀行の口座とドコモ口座の連携を中断したと発表。被害はさらに広がる可能性がある。ドコモは本人確認が不十分だったと認め、セキュリティーを強化するとしている。

【図解】ドコモ口座を使った不正の手口。メールアドレスだけで口座は開設可能だった

　ドコモ口座はスマホ決済や送金のためのサービス。利用者がドコモ口座を開設し、自身の銀行口座と連携すれば、お金を銀行からドコモ口座に入金（チャージ）し、スマホ決済の「d払い」や電子送金が使えるようになる。

　ドコモが口座連携を止めたのは、七十七銀行（仙台市）、中国銀行（岡山市）、大垣共立銀行（岐阜県大垣市）、イオン銀行（東京都）、池田泉州銀行（大阪市）、大分銀行（大分市）、紀陽銀行（和歌山市）、滋賀銀行（大津市）、仙台銀行（仙台市）、第三銀行（三重県松阪市）、但馬銀行（兵庫県豊岡市）、鳥取銀行（鳥取市）、北洋銀行（札幌市）、みちのく銀行（青森市）、伊予銀行（松山市）、東邦銀行（福島市）、琉球銀行（那覇市）。被害の件数や金額は不明。

　各行では、銀行の預金が見知らぬドコモ口座へと不正に引き出されたり、その疑いがあったりする事案が相次ぎ発覚している。

　　　　　◇
「狙われた地銀」ドコモ口座の不正送金、犯人“抜き取り”の手口…情報漏洩はどこから？
9/9(水) 8:10配信

26
この記事についてツイート
この記事についてシェア
BUSINESS INSIDER JAPAN
地銀を中心とした一部銀行との連携の穴を狙われ、不正送金の舞台になったドコモ口座。

NTTドコモが提供する決済サービス「ドコモ口座」において不正送金が発生し、一部地方銀行からの送金が停止している問題が注目を集めている。

【全画像をみる】「狙われた地銀」ドコモ口座の不正送金、犯人“抜き取り”の手口…情報漏洩はどこから？

不正送金が確認されたのは、七十七銀行、中国銀行、東邦銀行、大垣共立銀行の4行。さらにその後、滋賀銀行と鳥取銀行が被害を確認。他の地銀でも、他行の被害を見てドコモ口座に関するサービスを停止する銀行が出てきた（9月8日時点）。9月9日未明の時事通信の報道によると、疑いがあるものも含めて17行に被害が広がっている。

不正送金が発生した銀行とドコモは実態調査を進めており、現時点で被害額などは明らかにしていない。被害者への補償については現時点で明らかにされていない。なぜ「不正」は起こったのか？

不正が起こったメカニズム
ドコモ口座は、銀行口座などと連携して残高をチャージし、発行したVisaプリペイドカードやコード決済サービス「d払い」の支払いに使ったり、ユーザー同士で送金したりできる決済サービスだ。ドコモの携帯契約があるユーザー以外でも、誰でもdアカウントを作成してドコモ口座を開設できる。

このドコモ口座にオンラインチャージできる銀行は複数あるが、今回その中で一部の地方銀行が狙われた模様だ。

ちょうど、次のような構図になっていたと思われる。

犯人はdアカウントとドコモ口座を作成した上で、不正に取得した銀行口座の情報を使って振替設定を行い、ドコモ口座に送金（チャージ）した。ドコモ口座の銀行チャージは1回最大10万円、1カ月最大30万円のため、1口座あたり、最大30万円の被害が発生した可能性がある。

これまで、ドコモは不正アクセスに対する「2段階認証」や「アカウントロック」「ドコモ口座の監視」などのセキュリティ対策を講じていた（ドコモ発表）。しかし、今回は「銀行側の認証」を通った口座からのチャージだったため、不正を検知できなかった。

地銀が狙われた、連携の「弱点」
ドコモ口座と地銀の連携には、地銀ネットワークサービスが提供する「Web口振受付サービス」が利用されている。しかし、認証方式に関してはそれぞれの銀行が個別に判断しているのが実情だ。

今回、被害にあった地銀は、いずれも口座番号、キャッシュカードの暗証番号といった一部の口座情報だけで確認を実施していたとみられる。

銀行によっては、口座に登録した電話番号へのSMSや、メールによる認証を加えるなどの方法でセキュリティを強化しているが、狙われた銀行はそうした設定をしていなかった。

本来、キャッシュカードのパスワードが4ケタの番号で成り立つのは、物理的なキャッシュカードを持っていて、さらにATMなどで確認できるからだ。いわゆる、「カード」と「暗証番号」の2要素認証が成立する。

しかし、今回はオンラインでキャッシュカードの所持が確認できない状態のため、多要素認証になっていない。そうした「セキュリティの穴」を突かれた形だ。

dアカウントやドコモ口座は誰でも作成できるサービスであり、本人確認もメールアドレス程度と比較的ゆるい。

他の決済サービスでは、口座名義や住所、生年月日、使用目的などの本人確認がある。ドコモ口座の場合は口座振替ということで、そうした確認がないことが犯人に狙われた理由なのかもしれない。

ただ、口座連携に関しては、銀行側のサイトで登録し、「本人確認は銀行が実施する」形なので、ドコモ側では銀行口座と紐づける際の、各行のセキュリティの水準までは関知していなかった。

今回の事件を受け、ドコモは各銀行に対して周知を図っており、銀行側からの要望があれば口座振替の登録などを停止する。
　