2020年9月、ドコモ口座経由で銀行の口座から不正に現金が引き出される事件が発生しています。
2020年9月8日時点ではあまり大きく取り扱われていませんが、実はこれは大事件です。
だって、勝手に自分の口座からお金が引き出されちゃうんですよ、あり得ないです。
しかも、多いケースだと一度に数十万円!!
また、ドコモ口座自体がマイナーなため、間違った情報がとても多く出回っています。
docomoユーザだけが被害に遭うとか、ドコモ口座使ってなければ問題ないとか、嘘ばっかり。
そもそも、ドコモ口座という名前から、ドコモ口座は銀行口座と勘違いしている人が多すぎ。
実は今回の事件、ドコモのスマートフォンを利用しているかどうかは関係ありません。
というか、スマートフォンを持っていようがいまいが全く関係ありません。
また、ドコモ口座の利用も関係ありません。
というか、電子マネーを利用したことがあろうかなかろうかも関係ありません。
要は、「ドコモ口座にチャージできる35の銀行は、すべて勝手に口座からお金を引き出される恐れがある」ってことです。
これ、かなりヤバイですよね。
私は幸か不幸かドコモ口座を利用していて、それなりに経験があります。
今回の事件について、まだ不明な点が多いのですが、注意点をまとめておきます。
【2020年9月9日追記】
情報を「追加更新」しています。
Contents [hide]
ドコモ口座を利用した銀行口座不正利用の問題点
2020年9月に発生した「ドコモ口座を利用した銀行口座不正利用」は、実はとても大問題です。
結論から言うと、「ドコモ口座にチャージできる35の銀行は、すべて勝手に口座からお金を引き出される恐れがある」ということです。
今回問題になっているのは、「ドコモ口座へ銀行口座からチャージする」という経路です。
ドコモ口座は、「口座」という名前がついているので勘違いされがちですが、実は銀行口座ではありません。
ドコモ口座は、チャージした金額を上限に、d払いやプリペイド方式のVISAカードを経由して各種支払いが可能です。
つまり、どちらかというと電子マネーに近い存在です。
なので、ドコモ口座を利用する場合は、原則チャージをして利用可能な状態にする必要があります。
チャージの方法は色々あるのですが、今回問題となったのは、銀行口座からドコモ口座にチャージする方法です。
この「銀行からドコモ口座にチャージする」ステップがザルで、「第三者が、勝手に赤の他人の銀行口座から、不正に作ったドコモ口座にチャージ」することができちゃいました。
これ、言い換えると「第三者が勝手に自分の口座からお金をおろすことができる」ってことです。
ありえないですよね。
ドコモ口座の不正利用被害にあう可能性がある金融機関
今回のドコモ口座を利用した不正利用は、「ドコモ口座へ銀行口座からチャージする」というシステムを悪用しています。
なので、ドコモ口座へチャージできる金融機関は、程度の差はあれ不正利用される可能性があります。
ドコモ口座へチャージ可能な金融機関は、次の35銀行です。
- みずほ銀行
- 三井住友銀行
- ゆうちょ銀行
- イオン銀行
- 伊予銀行
- 池田泉州銀行
- 愛媛銀行
- 大分銀行
- 大垣共立銀行
- 紀陽銀行
- 京都銀行
- 滋賀銀行
- 静岡銀行
- 七十七銀行
- 十六銀行
- スルガ銀行
- 仙台銀行
- ソニー銀行
- 但馬銀行
- 第三銀行
- 千葉銀行
- 千葉興業銀行
- 中国銀行
- 東邦銀行
- 鳥取銀行
- 南都銀行
- 西日本シティ銀行
- 八十二銀行
- 肥後銀行
- 百十四銀行
- 広島銀行
- 福岡銀行
- 北洋銀行
- みちのく銀行
- 琉球銀行
このうち、2020年9月9日時点で不正利用が発覚しているのは、七十七銀行、中国銀行、東邦銀行、滋賀銀行、鳥取銀行、大垣共立銀行、大分銀行の7銀行です。
現在調査中なので、これから被害銀行はどんどん拡大する可能性があります。
銀行によりセキュリティのレベルが違うので一概には言えませんが、「ドコモ口座への銀行口座からのチャージ」が悪用されている以上、この35銀行については不正利用される可能性があると考えるのが自然です。
ちなみに、今回の不正利用を受け、ドコモ口座の公式には、「一部銀行の銀行口座登録および銀行口座変更の申込受付停止について」として、次の3銀行のチャージ停止が発表されています。
- 2020年9月5日(土)0時~:七十七銀行
- 2020年9月8日(火)0時~:中国銀行、大垣共立銀行
サービス停止の理由について記載は一切なく、不正利用についての注意喚起もありません。
【2020年9月9日追記】
取引停止銀行が追加され、計18銀行からのチャージができなくなりました。
取引停止された銀行は、逆に言うと「被害に遭っているリスクが高い銀行」と言い換えることができます。
なので、ゆうちょ銀行、イオン銀行、池田泉州銀行、大分銀行、紀陽銀行、滋賀銀行、仙台銀行、第三銀行、但馬銀行、鳥取銀行、北洋銀行、みちのく銀行、伊予銀行、東邦銀行、琉球銀行は、特に利用明細のチェックが必要です。
ドコモ口座が不正利用された理由と原因
今回、ドコモ口座経由での銀行口座不正利用は、9月3日にはTwitterで問題になっていました。
一番最初に発覚したのは仙台市の七十七銀行での不正引き落としでしたが、当初は
- 七十七銀行:うちは悪くない、ドコモが悪いんじゃね?
- docomo:うちは悪くない、七十七銀行が悪いんじゃね?
と、どちらも自分の非を認めていませんでした。
この責任のなすりつけあいが、初動の遅れにもつながってます。
まあ、ドコモに関しては現時点でも「うち悪くないし」ってスタンスだけど。
少しでも問題を感じれば、ユーザーにメールなどで注意喚起したり、ドコモ口座自体を全凍結するはずですからね。
これだけ問題が大きくなっても、まだドコモ口座へのチャージ、送金、ATMでの引き出しが可能なのは理解できません。
ドコモ口座への銀行口座経由チャージが狙われた理由は、現時点では不明です。
ですが、
- dアカウントは誰でも、本人確認なしで、いくつでも作れる
- dアカウントがあればドコモ口座を作れる=ドコモ口座は本人確認なしで作れる
- 被害にあった銀行では、ドコモ口座へ銀行口座からチャージする際、口座番号と暗証番号がわかればそれだけでOKだった
- どうも、「暗証番号を固定して口座番号を変える方法」を使えば、無限アタックができたらしい
この辺りが原因だったぽいです。
推測の部分も多いですけどね。
まあ、この辺りはそのうち明らかになると思います。
問題なのは、9月8日時点で、まだ悪用される可能性が継続しているってこと。
なんでドコモ口座を即時全凍結しないのか意味不明。
ドコモ口座の不正利用被害に遭わない方法
ドコモ口座経由での銀行口座不正利用の被害に遭わないためにはどうしたらいいのか?
現状、ドコモ口座へ銀行口座からチャージ可能な35の銀行については、残念ながら不正利用の可能性があります。
スマートフォンがドコモ以外でも、ドコモ口座を持っていなくても、電子マネーが嫌いで使ったことがなくても関係ありません。
単純に、対象の35銀行の口座をもっていれば、不正利用の被害に遭う可能性があります。
もちろん、しっかりとしたセキュリティを確保している銀行は問題ないかもしれません。
被害が発覚した銀行が、特別にしょぼいセキュリティだったのかもしれません。
ですが、被害があった仕組みが判明していない以上、上記35の銀行は危ないと考えるべきかなと。
あと、気になるのは、「銀行口座と暗証番号」がわかれば勝手にドコモ口座に銀行口座からチャージできるようなのですが、犯人はどうやって銀行の口座番号と暗証番号を手に入れたのかってこと。
考えられる方法は3つで
- 銀行がやらかして口座番号と暗証番号を流出させた
- 銀行以外が口座番号と暗証番号を流出させた
- ドコモ口座自体が口座番号と暗証番号を流出させるツールになった
なのですが、いずれも大問題です。
私は1つの銀行が被害に遭う可能性があったので、速攻でお金を他銀行に移しました。
今回のケース、被害にあった場合は補償を受けられない可能性が結構高いと思います。
補償があったとしても、「ドコモが悪いvs銀行が悪いvsユーザーの暗証番号管理が悪い」ともめるのは確実。
自己防衛のためにも、35の銀行を使っている場合は、とにかく銀行の利用履歴をチェック、「ドコモコウザ」という見慣れない引き落としがないか確認しましょう!
被害があれば速攻で銀行、ドコモ、警察に届け出。
被害がなければ、とにかく銀行口座の暗証番号を変更しておくのがおすすめです。
不正の原因が「口座番号と暗証番号の流出」であれば、これで防げます。
ただし、ドコモ口座自体がクラッキングツールだった場合はお手上げですけどね。
う〜ん。
ほんとにヤバい案件。
【2020年9月9日追記】
「ドコモ口座を既に利用していれば不正利用の心配ない」は間違い
ヤフーのニュースに、「ドコモ口座利用者は不正用の心配なし」とか書かれてますが、これは間違い。
「同一の銀行口座を複数のドコモ口座に登録することはできない」というのが根拠みたいですが、実はドコモ口座は口座登録しなくても使えます。
私も口座登録してないし。
なので、正確には「ドコモ口座に口座登録を既にしているユーザーは、その口座については不正利用の心配なし」です。
今回の件、大手メディアでも嘘や間違いが多いので要注意です。
今回のドコモ口座不正利用の原因の1つは、「ドコモ、銀行が相手を信用しすぎた」こと
今回の不正利用の原因は、ドコモ口座へ銀行の口座からチャージができるというシステムです。
実は、ドコモ口座へチャージできる銀行口座の登録手続きは、途中でドコモのシステムから各銀行のシステムに切り替わります。
ドコモからすると、「銀行のシステムに引き渡した後は知らね。銀行さんでしっかりした本人確認とかするよね。」※実は一部銀行では口座番号と暗証番号だけで設定できた
銀行からすると、「天下のドコモさんだから、ドコモ口座作成者の本人確認とかしてるよね。」※実は本人確認なし、メールアドレスだけで作り放題
この認識の違いが問題の根本にある気がします。
実際、不正発覚の初動では、お互い自分は悪くないし的なスタンスだったし。
このような経緯を考えると、不正利用された後の補償もかなりもめそう。
ドコモが悪いのか、銀行が悪いのか、はたまたユーザーの暗証番号管理が問われるのか。
被害にあった銀行と被害を防げた銀行の差は?
今回、被害を受けた銀行と被害を防げた銀行があります。
この差はいったい何だったのか。
詳細は調査中ですが、どうもドコモ口座へ銀行登録する際のセキュリティの違いが大きかったようです。
前述したとおり、ドコモ口座への銀行口座登録は、登録途中でドコモのシステムから各銀行のシステムに切り替わります。
切り替わった後、銀行によっては「口座番号+暗証番号で登録OK」、「口座番号+暗証番号+その他認証コードが必要」と取り扱いが違いました。
今回被害にあった銀行は、「口座番号+暗証番号で登録OK」の銀行だと言われています。
一般的な銀行では、オンライン振込の時にはワンタイムパスワードの利用など、高いセキュリティ技術が利用されています。
口座番号と暗証番号だけで振込できるとかありえないです。
ですが、「チャージのための口座登録」に関してはハードルがかなり低いことがあります。
今回問題となったのはまさにこれで、「口座番号と暗証番号だけでOK」というのは、かなり問題ありですよね。
このセキュリティの甘さを犯罪者につかれた形です。
あと、今回はドコモ口座が犯罪のツールとして使われましたが、「銀行口座からチャージできる〇〇Payなどのキャッシュレス決裁」についても危険性があります。
特に、既に被害にあっている口座は、口座番号と暗証番号が犯罪者に知られています。
なので、他の〇〇Payへのチャージが、「口座番号と暗証番号の登録だけでOK」な銀行は、色々な電子マネー経由でお金取られ放題になる可能性もあります。
これ、相当ヤバいです。
「チャージのための口座登録が口座番号と暗証番号だけでOK」なセキュリティの緩い銀行は、全ての決済方法について銀行チャージを即時停止すべきです。
まあ、ドコモ側の「誰でも、本人確認なしで、簡単にドコモ口座が作れる」って仕様もどうかと思いますけどね。
被害上限は1か月で30万円
ドコモ口座への銀行口座からのチャージは、1か月で30万円が上限です。
一度にチャージできるのは10万円が上限なので、被害額はMaxで10万円×3回=30万円ってことになります。
口座残高が丸ごと抜かれることはありませんが、30万円は大きいですよね。
口座残高が10万円未満の時は、小出しでしっかりと抜かれるようです。
ドコモ側の対応がまあまあ上から目線な件
今回の不正利用については、「ドコモ口座が簡単に他人名義で作り放題」というのが原因の1つであることは明らかです。
ですが、ドコモの対応はなかなかの上から目線。
ドコモからのお知らせには、こんな記載が。
う~ん。
あえてコメントしませんが、やっぱり補償でもめそう。
銀行の対応がなんか他人事に感じる件
なんか、一部の銀行は、今回の事件を他人ごとと受け止めているように感じます。
たとえば、被害があった中国銀行のお知らせはこんな感じ。
このお知らせで、今回の事件の重大さがわかる人がどれだけいると思います?
なんか「うち悪くなしい」的なことを言いたいだけに感じます。
大切なのは
- ドコモ口座を持っていなくても、中国銀行に口座を持っているだけで不正引き落としの被害にあう可能性がある
- なので、すぐに通帳記入をして明細を確認して欲しい
- 不正引き落としされた場合、明細に「ドコモコウザ」と記載される
こういうことだと思うんですけどね。
ドコモの公式にしても銀行の公式にしても、ユーザーのこと全く考えてないのがよくわかります。
ってか、「既にドコモ口座に当行口座を登録済みの場合は、チャージ機能を引き続きご利用いただけます」って正気ですか?
そこは即座に停止だと思うし、PRするのはこれではない。
なんか感覚がずれてる。
まあ、こういう時に企業の本質がわかるので、皆さんよく覚えておきましょうね。
チケットの取り方・裏技はこちら
チケットの取り方
ドコモ口座のメリット、デメリット
わかりやすくて良かったです
ただ誤字が複数ありましたので今一度みなおしを
ご指摘ありがとうございます。
見直したんですが見つけられませんでした、ごめんなさい。
「この度の事件はこのコンテンツの解説が分かり易い!」ってリツイートが回ってきました。相当アクセスが伸びてるんじゃないですか?
コメントありがとうございます。
ドコモ口座は利用者が少ないので仕組みが分かりにくいんですよね。
特に「ドコモ口座」と名前に口座という単語がついてるのに実は銀行口座じゃない点とか。
私はたまたま普段からドコモ口座使っていて、問題点の把握ができました。
なので、注意喚起の意味も含めてUPしました。
あと、銀行、ドコモの対応がひどすぎってのもあるかな。