「ドコモ口座」不正引き出し事件は、その被害が他のキャッシュレスサービスや銀行にも及び、波紋を広げています。この問題について、新聞各紙はどのように伝えているのでしょうか。メルマガ『uttiiの電子版ウォッチ DELUXE』著者でジャーナリストの内田誠さんが、朝日新聞に掲載された一連の不正引き出し事件の記事に注目。今回、ドコモ関連被害の6割にのぼる「ゆうちょ銀行」のセキュリティーの甘さと、電子決済サービスの必要性について疑問を投げかけています。

朝日が報じた、ドコモ関連被害と「ゆうちょ銀行」の問題

朝日の17日朝刊の紙面に載った「ゆうちょ銀行」に関する記事(関連を入れて2本ありました)を取り上げ、以前に取り上げた「地銀」の問題と併せて、紹介したいと思います。

ネットの電子決済サービスを悪用したとされるこの詐欺事件、当初は「地銀」が主な現場と思われていました。地銀の口座番号が大量に流出していて、特定の四桁の数字が暗証番号になっている口座を割り出し、ネット上で「ドコモ口座」などに送金させ、その金を騙し取るというやり方。

今回の犯罪の手口の詳細は分かりませんが、銀行口座が電子決済にひも付けられていると、当然、カードや通帳がなくても、便利に電子決済のアプリから口座のお金を動かすことができるようになっている訳で、他人の口座の番号と暗証番号が分かれば、アプリ上で本人になりすまし、勝手にお金を引き出すことも可能になることを利用したようです。そして、お金を引き出されてしまえば後の祭り、追跡困難になってしまう。これぞ、API連携(アプリケーション・プログラミング・インターフェイス連携)のキモを悪用した犯罪というわけですね。

その地銀以上に、ゆうちょ銀行がターゲットになっていたというのがきょうのニュース。問題の焦点の1つは、銀行側と電子決済サービス側のどちらに、この問題の責任がより多くあるのかということになるでしょう。

【フォーカス・イン】

《朝日》3面の記事。見出しと【セブンNEWS】第3項目の再掲から。

ゆうちょ銀 被害1811万円
メルペイ、ラインペイでも

NTTドコモの電子決済サービス「ドコモ口座」等を通じて11の銀行が預金を不正に引き出されていた問題。ゆうちょ銀行は今年に入って認識された被害は109件、計1811万円と発表。ドコモ関連被害の6割がゆうちょ銀行。セキュリティーの甘さ浮き彫りに。

続いて、9面経済欄の記事。見出しを以下に。

ゆうちょ銀と決済側 食い違い
不正引き出し 本人確認巡り
被害 気づくには?

本人確認が不十分なままだった理由を巡り、ゆうちょ側と電子決済サービス業者側の見解が食い違っている。

ゆうちょ側は、「(2段階)認証は強力にやらないといけないとの認識があり、強力にお願いしてきた」と言っている。ゆうちょ銀行自身、昨年1月と今年5月に段階的に二段階認証ができるようにしてきており、電子決済サービス事業者にも対応を求めてきたという主張。

一方、サービス事業者の側は「(2段階認証の)話はこれまで一切なく、昨夜初めて聞いた。きょうの説明を聞いて担当者は困惑している」(楽天Edy)とか、「導入する予定とは聞いていたが、その後何の連絡もなかった」(ペイペイ)、「認識に相違がある」(LINEペイ)と一様に反論。

(uttiiの眼)

「言った」「言わない」の争いのように見えるが、ゆうちょ銀行の言う通りなら、依頼の事実を書類か電子メールで証明することが可能なはず。それができなければ、正式の依頼とは見なされないでしょう。さて、どっちに分があるのか…。

そもそも2段階認証の導入については、ゆうちょ銀行自身、他の大手都市銀行よりも遅れたということが1つ。もう1つは、何らかのルートで、口座の持ち主の名前と口座番号が対応したリストが大量に流出しているということが問題の根幹にあると思われます。ネットには本物と区別が付かないような「釣りメール」が溢れていますがそのようなやり方で収集されたものを元に、口座番号入りの名簿が“商品”になっている可能性もあるでしょう。

犯人グループが、ある1つの口座の暗証番号を突きとめようとしても、数回トライすればロックがかかり、それ以上先に進めなくなってしまいます。ところが、口座番号入りの名簿を大量に持っていれば、そのなかに例えば「1234」という一つながりの番号を暗証にしている口座ないか、次々と調べていけば、いずれ、その番号を使っている口座に行き当たる可能性が高い。このやり方ならロックはかかりません。

それと、日付を暗証に使っている場合であれば、4桁といっても可能性は1万通りあるわけではなく、実際には366通りしかありません。1年365日(閏年の2月29日を入れれば366日)のどれかを使っていると、口座番号の名前を知られてしまえば、そのうち、暗証番号も知られてしまうことに…。

もし、犯行の手口がここに記したようなやりかたで、犯人が作業を自動化するアプリを自分で開発していた場合、事件の規模は遙かに大きくなっていたかもしれません。

銀行口座と電子決済をひもづけるやり方は、ある種の「便利」のために大きな危険を冒しているということになるでしょう。そもそも、なんとかペイのような電子決済って、犯人たちにとっては大変「便利」なものだったのでしょうが、私たちにとって本当に便利なものなのでしょうか? 実はそこが大疑問なのです。

image by: VTT Studio / Shutterstock.com

MAG2 NEWS