スマートフォンの電子決済サービスを通じて、提携銀行の口座預金が不正に引き出される被害が相次いでいる。安全対策の強化を急ぐべきだ。

硬貨や紙幣といった現金の受け渡しをしないで行えるキャッシュレス決済で、スマホによる電子決済サービスが急増している。銀行口座の預金の一部を電子マネーとしてスマホにチャージ（入金）でき、店頭に設置されている専用端末にスマホをかざし、QRコードを読み取るなどして支払いを完了させられる。

最初に被害が発覚した「ドコモ口座」はメールアドレスだけで開設可能な、安全性への配慮を欠くものだった。メールアドレスには匿名で利用できるものがあるためだ。

結果的に、何らかの手段で他人の銀行口座の情報を取得した第三者が、ドコモ口座を悪用して不正に預金を引き出すという事態を招いた。しかも、ドコモのスマホを使わず、口座も開設したことのない人にまで被害が及んだ。

登録時、スマホのショート・メッセージ・サービス（SMS）に送られる認証コードを入力させる「二段階認証」を導入した「PayPay」などの電子決済サービスでさえも、同様の被害が発生している。

スマホには、通話不可だがWi―Fiでインターネットだけできる「データ通信専用端末」があり、本人確認なしで購入可能だ。こうしたスマホ所有者のSMS認証を代行する手口も広がっている。

6月には、70もの携帯電話番号を契約した女性が、自身のスマホのSMSに届いた認証コードをデータ通信専用端末の所有者に教え、PayPayなどのサービスに登録させていたことが発覚。事務処理を誤らせる電磁記録を作り出した罪で逮捕された。こうした手口も想定した安全対策を講じる必要がある。

銀行も本人確認を厳格化すべきだ。被害が生じた銀行は、スマホの電子決済サービスと口座との連携に、氏名、生年月日、口座番号、暗証番号の四つの確認しか求めていない。これらの情報は、比較的容易に盗まれてしまう。1回しか使わないパスワード（ワンタイム・パスワード）など複数の認証手段を組み合わせることが重要だ。