ドコモ口座信頼回復に向けた業界が解決する必要がある（旧正則） – 個人 – Yahoo! ニュース

ドコモ口座を悪用した無断引き出し被害額が約2000万円まで拡大しています。 会見で「一日に約1万3000件の取引がある既存の顧客のサービスを停止し、影響が大きい “としたドコモの丸山誠治副社長について「サービスを全面的に中断していないのは驚くべきことである」（ドコモの競争通信大手幹部） “ドコモは（問題のサービスを）停止しなければならない」（S＆J美信夫社長）との声もあったがあります。 不正出金を防ぎ、人々の信頼を回復するためにドコモと金融業界では、政府が推進しなければならないことは何ですか？

推定される不法引き出し要因

ドコモ口座を悪用した不正出金が起きた原因は、ドコモと金融機関の両方に問題が指摘されています。 まず最初にドコモの加入者契約を前提としていたドコモ口座が途中で電子メールアドレスに到達確認だけで開設することができ、そのアフィリエイト行に寄せられていないそうです。 したがって、攻撃者が捨てアドレスを取得して、いくらでも自由にドコモ口座を開設されてしまいました。

被害に遭った金融機関もWebを通じた口座振替の登録セキュリティレベルが十分ではありません。 口座番号、口座名義人カナ氏名、生年月日、パスワードなどを入力していたが、金融機関コードポイント番号は公開され口座名義人カナの名前は入金をしようとしたときに口座番号で検索することができてしまいます。 生年月日も預金者が秘匿しているわけではなく、SNSなどで公表されている場合があります。 残っ要塞は、パスワードが4桁の数字だけでは認証強度で不足している人が加入する数字は偏差が大きいため、推測突破されてしまう場合も少なくありません。

この情報は、どこで流出したのかはわかりませんが、フィッシングサイトへの詐欺、金融機関や収納企業からのデータ漏洩、開示情報の推定など、様々な経路があります。 元の隠匿しなければならないとは言えない属性情報の入力だけで口座振替登録時の認証手段としては適していません。 金融機関からのインターネットバンキングの認証の利用、IB契約がない場合は、バッジ、最終残高の最後の4桁を入力する口座開設時に申告電話番号で確認するなど不正対策を実施しています。

残念ながら、ドコモ口座がサービスを停止したところ、「何もしないのに、不正引き出しされる」「時折付記しなければ不正出金に実現することができない」という預金者の不安は解消されません。 口座からの不正引き出し可能に理由はドコモ口座ではなく、一部の金融機関の口座振替登録の脆弱性にあるからです。 ドコモ口座をはじめとする非現金決済手段が適切に本人確認を行うことで、不正出金が行われた場合、攻撃者の追跡は簡単ですが、それだけで不正引き出しを防ぐことができないです。

すぐに利用者にすることができ

ドコモ口座は、すでに新規口座振込の登録を解除して、今後さらに被害が広がる状況はありません。 まず通帳を記帳するなど、入出金内訳を確認し、不審な出金があることを確認することができます。 インターネットバンキングを利用している場合に備えて、今後の無断引き出し、すぐに注意したように出金時に電子メールなどで通知を受け取ることの機能を使用すると良いです。 そんな機能がない場合でも、MoneyForwardなどのPFMアプリケーションは、一定の金額以上の出金を検出して利用者に通知する機能があります。

利用金融機関の口座振替登録が安全かどうかどうやって確認できますか。 口座番号、口座名義人カナ氏名、生年月日、パスワードだけで口座振替登録がされてしまう場合は、不正引き出しが行われる危険性があります。 ドコモ口座と連携して、金融機関にもバッジ最終残高の最後の4桁を入力する口座開設時に申告電話番号で確認するなどの対策が行われている場合には、フィッシングなどの必要な情報を窃取されない範囲内で不法に引き出しが行われる危険性は低いと思われます。

一部の金融機関では、窓口での届出をすること、インターネットを通じた口座振替登録を防ぐことができます。 リスクが高い金融機関を使用しており、どうしても不安を払拭することができない場合に限り、不具合はありますが、これらの申告をするのも良い方法であるかもしれません。

すぐにでもドコモが取り組むべきこと

ドコモはすでに記者会見を開き、対策を発表しています。 当面口座振替新規登録を停止し、加入者の契約と紐付いていないdアカウントの利用者については、SMSで携帯電話番号を検索したり、eKYCを行うことです。 これらの措置に応じて優先他のキャッシュレス決済と同じレベルの安全性を担保することができるでしょうか。

上記の記事で15行の既存の利用者に対して継続口座振替をしていることについて競合他社との専門家から批判が向けられています。 この15行は、元の口座振替登録適切なセキュリティ対策がなされており、現在の被害が発生していないようです。 すでに被害が発生しているにもかかわらず、利用者が認識していない可能性も少ないが考えられるが、ドコモの対応は止血とビジネス継続性の間でバランスを取った対応のように見えます。

ドコモ口座利用者でなくても無断で引き出してしまうのは悪用されたドコモ口座ではなく、一部の金融機関に残存しているWeb口座振替登録機能の脆弱性に起因しています。 ドコモ口座サービスを停止したところから解決には接続できません。

あえていくつかのドコモ口座を停止する理由がある場合、すでに時期を逃しているところですが、他人の口座から窃取した犯罪収益の無駄を防止するために、ショッピングなどの出金・利用を凍結することは考えられています。 この場合も、ドコモ口座の全サービスを停止しなくても、本人確認されていない口座の最近高額の料金が行われているアカウントに絞っ冷凍本人確認を行った上での利用を再開する流れになります。

昨年7payそうキャッシュレス決済の不正利用に対して、すぐにサービスを停止する必要がないという意見が多く出てきています。 しかし、実際には万単位の利用者がいる中でサービスを停止する止血のための最後の手段です。 まず、事業者にサービスを継続被害者と真剣に向き合っ必要補償を行う先決です。

短期での止血が難しく、財務的補償が困難な場合、緊急避難的に全体のサービスを停止する代わりに考えることができるが事業者として、決して責任ある対応はできません。 特にドコモのように堅固に財務基盤を持つ企業には補償を約束し、サービスを提供し続ける姿勢が、船を束ねた責任ある対応することができるのはないでしょうか。

金融業界が再点検しなければなら

今回たまたまドコモ口座に問題が発生したことにより、金融機関よりドコモの対応に関心が適しています。 しかし、問題は、被害に遭った銀行口座Web自動引落登録サービスの脆弱性に起因しています。 収納組織が本人確認を適切にすることで、結果的に、攻撃者による不正出金を水辺で阻止したり、犯人の追跡が容易になることが期待されるが、不正出金を抑制するためには、Web口座振替登録サービスの脆弱性を防ぐことこそ対策の本論です。

口座振替の登録とセキュリティはキビ最終残高の最後の4桁を入力する口座開設時に申告電話番号で確認するなどの対策が効果を上げています。 まず、被害があった77の銀行で口座開設時に申告電話番号で確認をするIVR認証を9月中旬から実施すると発表ししています。 今回ドコモ口座による不正引き出し被害に遭った金融機関だけでなく、Web口座振替登録サービスの脆弱性がないか再点検する必要があるのはないでしょうか。

システムの改正日程などのスケジュール上の理由から、すなわち、脆弱性の解消が困難な場合もあるでしょう。 このような場合でも、最小限の窓口での申告に基づいて、インターネット上で口座振替登録を可能にする選択肢を提供する被害者の申請があった場合に適切に対応することができ増大フローを構築し、被害者と真剣に向き合っような対応策になることがあります。

本来、インターネットバンキングもWeb口座振替の登録も金融機関が提供するインターネット、モバイルサービスの一環として、金融情報システムセンター（FISC）が規定している金融機関等コンピュータシステムの安全基準を遵守してください。

ところが、多要素認証などを必要とするインターネットバンキングに比べて口座振替登録においては、非常に安全性が低い認証・本人確認の方法が利用されて脆弱性が発見されても放置されてきたのが実情です。 これらの基準が適切のか正しく解釈運用されてきたのかどうか、業界で再点検を要するところです。

今後、政府が検討する

ドコモ口座は2019年5月にりそな銀行の不法引き出し被害があったにもかかわらず、2019年秋から本人確認を省略しています。 これは2019年の春に実施された犯罪収益移転防止法施行規則の一部改正して本人確認を金融機関に依存することが認められたものと関係している可能性があります。

関連規制緩和は、FinTech事業者の規制緩和要求を受けて対応だが、果たして適切なだったかどうかを再点検を要する状況です。 報道によると、金融機関は、既に規制を見直している模様です。

政府は、過去数年FinTechとキャッシュレス決済の普及に向けたさまざまな施策を打ってきました。 2016年銀行法改正で、銀行のAPIを提供努力義務が定められてAPI接続機関に電子決済などデヘンオプガ創設されました。 欧州のPSD2などのルールを参考にAPIを提供における責任分界点についても議論されたようです。 しかし、以前から、インターネットを介して口座振替の登録については、これらのAPIの接続に必要とされる新たな規則が適用されません。

高いレベルのセキュリティを要求する必要があり財産の移動について、過去の惰性で入出金内訳の取得よりも緩いルールが適用されます責任分界点などについて十分に議論されなかったものとすると面奇妙です。 被害者の被害訴えに、最初は、銀行やドコモが適切な対応をしていない背景に、このような曖昧な責任分界点が横になっている可能性もあります。

インターネットを介して口座振替の登録は、更新系のAPIフィットし、不正が発生した場合の責任分界点、被害者の告訴があった場合の対応などについて、預金者保護の観点から、ルールの明確化が求めています。

そして、適切なセキュリティを担保しながらFinTechとキャッシュレス決済の普及を妨げることができないように有用性が高いeKYC手段を提供しなければならない。 残念ながら、今日のダーク市場などを使用すると、わずか数万円で完成度の高い偽造身分証明書を購入することができます。 これらマネーロンダリングに悪用されるのは、専門家の間で広く知られています。 しかし、現在の規定は、これらの偽造身分証明書を看破することができない簡易的な本人確認手段が認められてしまっているのが実情です。

スマートフォンで広くNFCが普及一方、私の番号のカードの普及率が低く、運転免許証ICカードのPINを覚えていないドライバがほとんどであるということなど、残念ながら現在は厳しいeKYCをすることができる環境を備えていません。 これらのeKYCを取り巻く環境を改善し、金融機関とFinTech事業者が低い障害物に高いレベルの本人確認を利用できる環境を整えることは、政府だけができる重要な役割であるとすることができます。

なぜここまで炎上したのか

最後に、銀行口座または現金なし支払いをめぐる脅威は「ドコモ口座」に限定されないことについて言及しておきましょう。日本のクレジット協会の発表資料によると、クレジットカードの不正使用の被害が2017年から毎年200億円を超えています。

警察庁の発表によると、一時減少傾向にあったインターネットバンキングの不正引き出しも再び急増して25億円程度の被害が発生しています。 このような被害の実態から、今回のドコモ口座で起こった2000万円近く否定出金は必ず大きな被害は言えません。 では、なぜこのように社会の注目を集めて「炎上」したのでしょうか。

一つは、使用もしないサービスで、不正引き出してしまう脅威の性格が銀行に預金を持つ多くの人々に精通している不安を惹起したからではないでしょうか。 一部報道に誰にでも起こり得防止することができないと報道方法をしたことがパニックに近い受け入れられ方をしたのかもしれません。 ただし、自動振替登録を悪用した不正出金は、他のキャッシュレス決済で起こったことは、これまで大きな社会的関心を所持していません。

今回は非常に残念だった被害者が、最初に、銀行やドコモに被害を訴えたにもかかわらず門前払いにされてしまったのです。 むしろ被害者に手を差し伸べることが、警察も被害届を正しく修復せずに相談扱いで処理してしまいました。 もし境界を越えるサイバー事案を受けて検挙率が落ちるのを嫌う無視対応をしたのであれば、とんでもないことです。

もし仮に、銀行やドコモが被害者と真剣に向き合っていた場合、被害者がTwitterで助けを求めるような事態に至っていないでしょうか。 そして、警察が被害届を受理して適切に捜査をしていた場合、やはり被害者が捜査の妨げになることができる発信Twitterで実施することを考えとどまっています。

元には契約もない状態で、預金を不正引き出し可能性自体がナンセンスですが、初動適切な対応ばかりしていた場合、他の不正被害と同様に円滑に処理された可能性もあります。 今回の事件を機に、キャッシュレス決済の本人確認と口座振替の登録セキュリティを検討することが重要です。 ただし、システムの数時間を要するところですが、攻撃手法も日々進化する中で、情報システムに完璧ではない。

今する確実な効果が期待できはまず被害訴訟と真剣に向き合っ体制を構築することです。 「なぜそんなに多くのうちが、ここまで騒ぎなければならないしていること」と不合理に感じるのではなくどのようにインターネットに書き込む前に窓口に相談に来てくれた被害者の告訴と真剣に向き合うことができなかったのか似たような不適切な対応が他の事案でも行われていないか、その背景に窓口エスカレーションフローと事業者との間の責任分界点に陥って漏れがないか、再点検することから始めなければませんか？

私の代表を務めてOpenID Foundation Japanは2019年KYC WGを始め、2020年1月サービス事業者のための本人確認の手続き（KYC）に関する調査報告書を公​​表しました。 本人確認やeKYCの詳細に興味がある方は、一読することをお勧めします。