ドコモを使っていなくても誰でも被害にあう可能性「ドコモ口座」不正引き出し解説

「ドコモを使っていなくても誰でも被害にあう可能性「ドコモ口座」不正引き出し解説」のアイキャッチ画像



2020年8月末頃より「ドコモ口座」を利用した、複数の地方銀行からの不正引き出し事件が発生していますが、自分は、docomo使っていないから、心配ないと考えるのは、大きな間違えです。
ドコモ利用/使っていない、関係なく、誰でも被害にあう可能性がありますので、詳しく、わかりやすく、解説致します。

この「ドコモ口座」を利用した犯罪は、第3者(容疑者)が、開設したドコモ口座と、みんなの銀行口座を、連携して、銀行口座から、お金を引き出すと言う犯罪内容です。

よくわからないですよね。
もう少し、わかりやすく、説明してみます。




ドコモ口座は、電子決済サービスのことを言います。
電子決済サービスするため、お金を管理するバーチャル口座と説明すると、わかりやすいでしょうか?
ドコモ口座にて、電子決済をする場合には、開設したドコモ口座に入金する必要があります。
ATMなどから入金することができますが、そのほかに、今回、問題になっている既存の銀行口座との「連携」があります。

そのドコモ口座は、ドコモの携帯・スマホなど、docomo回線契約している人だけが、使えると言うものではありません。
ドコモ以外の誰でも、auの人も、Softbankの人も、日本全国・日本人でも、外国人でも、携帯持ってない人でも、原則として、誰でも、ドコモ口座を開設できます。
電子決済サービスの名前に、ドコモとついているだけでして、docomoの回線を使っていなくても、メールアドレスひとつ持っていれば、ドコモ口座はつくれます。
また、プレペイド型のドコモ口座であれば、本人確認もありません。
※今後、本人確認は強化されると存じます。

ドコモ口座の「口座」と言うのは、電子決済サービスですので、いくらか、お金を入れておくことが前提となるためでして、銀行口座と意味あい的には異なります。

このように、まず、ご理解頂きたいのは、ドコモを利用している人だけが、狙われると言う事ではない。
ドコモを利用しているのか?、ドコモ口座を作ったのか?などは、まったく、関係がないと言う事でして、携帯持ってない人も、被害にあう可能性がある。
主に地方銀行やイオン銀行・ゆうちょなどの銀行口座を持っているだけで、今、執筆している私も、ご覧頂いているあなたも不正にあい、被害を受ける可能性があると言う事になります。

問題なのは、銀行口座に入っている預金から、知らない間に、勝手にお金が、容疑者のドコモ口座に、移ると言う点です。

ドコモの説明によると、既に、自分のドコモ口座と、自分の銀行とを「連携」している場合には、被害は生じていないとしています。
逆に言い換えれば、ドコモ口座を開設していなく、当然、銀行口座と連携していなければ、全く知らないところで、被害にあう可能性があると言う事になります。




どのような犯罪方法かと申しますと、下記の通りです。

容疑者が、ドコモ口座を開設します。
その容疑者は、不正に使うドコモ口座に、あなたの銀行口座を連携する(紐づける)と言うことです。
そして、連携したあなたの銀行口座にある預金から、容疑者のドコモ口座に、入金(送金)されてしまうと言う事になります。
銀行の通帳や取引内容を確認しないと、被害にあっていることも、気が付きにくいと言えます。

ただし、これまで報道されている内容からですと、被害が発生しているのは、いずれも「地方銀行」などが主です。

ドコモ口座と連携できる銀行になっている三井住友銀行は、ワンタイムパスワード(2重認証)が必要であり、ソニー銀行は、キャッシュカード裏面の番号入力も必要な2重認証のため、被害には合いにくいです。

不正な預金の引き出しが確認されたと公開されている銀行は下記のとおりです。

七十七銀行、中国銀行、東邦銀行、鳥取銀行(3件90万円)、みちのく銀行(1件30万円)、滋賀銀行、大垣共立銀行、紀陽銀行、イオン銀行、ゆうちょ銀行。

2020年9月14日昼の時点で、被害は120口座、被害額は約2542万円分確認されたとしています。

気が付いていない人が多いと推測されますので、被害は、もっと拡大する可能性もあります。
今後、他にも確認されましたら、追記致します。




被害のあった銀行に、共通する事項としては、いずれも「Web口振受付サービス」を使って、ドコモ口座と連携していると言います。

この「Web口振受付サービス」は、地銀ネットワークサービスと言う地方銀行が出資して作った送金業務会社が提供するシステムで、収納企業(決済サービス提供社)と、主に地方銀行の口座を連携させるサービスです。
個人の利用者は、収納企業のWebサイトを通じて、預金口座振替の新規登録などの手続きを行えます。
この収納企業のひとつが「ドコモ口座」と言う事になり、ドコモ口座の画面上から、地銀の銀行口座と、連携手続きができると言う事になります。
ドコモ口座のwebサイトからの、銀行登録には「銀行口座番号」「銀行口座名義」「生年月日」「4桁の暗証番号」の4点があれば、登録できます。
※生年月日が不要な場合もあるようです。

ドコモ口座と連携している銀行でも、口座を登録する際「2段階認証」を取り入れている、大手銀行などでは、これまでのところ被害が確認されていません

ドコモをかばう訳ではありませんが、提携先の銀行が、どのようなシステムなのか?、CNS(地銀ネットワークサービス)を利用しているのかは、金融機関側の仕組みのため、ドコモ側では把握していません。
逆に申せば、銀行側のドコモ口座の仕組みには、関心がなかったものと推測され、両者が落とし穴に気が付かなかったと言えるでしょう。

自分の銀行口座番号と、名前が、犯罪者にわかってしまえば、4桁数字の暗証番号なんて、「リバースブルートフォース」や「パスワードスプレー」と言った攻撃で、割り出しやすい可能性があると考えられます。
※その後の報道では、パスワード入力時に、間違いがほとんどないことから、事前に、パスワードも知り得ていた可能性が指摘されています。
また、ドコモ口座は、パソコン上からも使えるもので、スマホのアプリだけではありません。
例えば、PayPayなどは、細かい設定などできるのは、スマホ・アプリからだけですよね。
この違いがあり、ドコモ口座は、昔からある仕組みで、スマホだけでなく、PCからでも利用できますので、攻撃プログラムを走らせやすいのです。

そもそも、ドコモ口座の開設ができる段階での、本欄確認にも、問題があります。
ドコモの「dアカウント」があれば、ドコモ口座を開設できます。
しかし、そのdアカウントは、ドコモの携帯電話などの契約は関係なく、任意のメールアドレスさえあれば、誰でも作成できます。

そのため、容疑者は、身元がバレることなく、ドコモ口座を開設できるところに注目したようです。
しかし、ドコモ口座に移したお金を、別の銀行口座に移したり、引き出したり、出金するのには、別途、本人確認が必要です。
そのため、不正に得たドコモ口座の中身を、お金の状態で、手にすることはできない模様です。
では、どうするかと申しますと、ドコモのモバイル決済サービス「d払い」での支払いで仕えますので、ネット通販や、街の店舗での支払いに使う訳です。
そして、手に入れた商品を、売却して、現金を手にしていると推測されます。




警察は「メールなどを送りつけて偽のサイトに誘導し個人情報を入力させて盗み取る『フィッシング』と呼ばれる手口で、口座番号や暗証番号を入手し、そのうえで不正な引き出しを行った可能性がある」と分析しているようです。
私、個人的には、ちょうど、新型コロナ対策10万円給付などで、銀行口座を、申請用紙に記載した時期から、数ヶ月後の話であることが、気になります。
もし、申請時のデータが流出していれば、あと必要な情報は、暗証番号だけとなります。
申請書類の確認や、給付の手続きなどは、役所が行わず「民間」の業者に委託した自治体も多いですのでね。
あくまでも、仮定の話ではございますが、このように考えますと、書面で提出したり、何かに記載する際の銀行口座は、2段階認証がある、大手銀行、楽天銀行、ジャパンネット銀行などのほうが、安全性が高いと推測されます。

七十七銀行の被害者、30代女性の場合、被害にあったのは2020年8月1日で、1分間のうちに4回連続で引き出され、それぞれ10万円、9万円、9万円、2万円の合わせて30万円になったとの事です。
いずれも入金先はカタカナで「ドコモコウザ」と記載されていました。
この女性は、docomo回線のスマホは使っておらず、ドコモ口座の存在も知らないと話しています。
当初、銀行・ドコモ・警察に申し出ても、第3者の不正と信じてもらえず、犯罪として、取り扱ってもらえなかったとも、述べています。
このように、本人の知らないところで、銀行口座から、お金を引き出されてしまうのが、ドコモ口座の不正犯罪です。

東北に住む20代男性の被害ケースでは、8月7日に、銀行から電話があり「不正引き出しがあった」と告げられたようでする
被害は、7月29日と、8月1日の2日間で、合計9回にわたり、1000円から、10万円など、合計60万円の引き出されたとの事です。
通帳の入金先は、いずれも「ドコモコウザ」になっていたと言います。




2019年7月には、7payの不正アクセスの被害がありました。
7pay(セブンペイ)の不正の場合、すでに、7payを利用している人のアカウントを乗っ取り、勝手にセブンイレブンにて、スマホ決済されると言う被害でした。
今回のドコモ口座の不正使用は、ドコモ口座のアカウントを持っていなくても、勝手に銀行からお金を盗まれると言う、大きな違いがあります。
逆に、すでに、ドコモ口座を持っていて、すでに、銀行を登録していたほうが、被害にあわないと言う点もあります。(利用していない人が犯罪にあいやすい)
そのため、もし、ドコモ口座をすでに利用されているのであれば、はやまって、解約しないほうが、得策である可能性が高いです。

スマホでドコモを使っている人でも、あまり知らない「ドコモ口座」は、もともと2009年に開始された「ドコモ ケータイ送金」が前進です。
その後、資金移動業者として登録し、2011年から「ドコモ口座」と改名され、サービス内容が一新しました。
「ドコモ口座」の最初の頃は、プリペイドのサービスでしたので、無記名Suicaのように、身分証がなくても本人確認なしで、利用できました。
そして、2017年10月から銀行口座とのひも付けが開始され、現在に至りますが、システムがそのままだったと言えます。
そのため、7payのように、新サービスと言う事ではありませんので、仕組み(セキュリティー対策)が、若干古い概念になっていたところを、突かれたとも言えます。
一番悪いのは、悪用して犯罪を犯した犯人と言う事になりますが、ドコモのシステムも、弱かったのは当然になります。
ただし、各銀行の銀行口座の方も、簡単に突破されている訳でして、弱かったと言えます。




ドコモは本人確認が不十分だったと認め、セキュリティーを強化するとしています。
具体的には、これまでのメールアドレスだけによる本人確認をやめて、必ず携帯電話の番号を入力してもらい、その携帯電話にショートメールで届いた暗証番号を、入力してもらう仕組みに改める方針です。
その後、2020年9月10日から、当面、ドコモ口座の新規開設を中止にすると、発表がありました。

なお、このような被害にあった場合「補償」は、必ず行われます。
補償されない危険な仕組みなのであれば、銀行口座を利用する人も、ドコモ口座を利用する人も、いなくなってしまい、企業の体制や、仕組みの根底が揺らぐためです。
ただ、被害に遭ったことを、実証する必要はあります。

銀行から直接、暗証番号が流出したとは考えにくいですが、地方銀行も、セキュリティー対策を、大手銀行のように、2段階認証(ワンタイムパスワードが別途必要)へとより安全な対策が、必要だと考えられます。
そうしないと、根本的な、犯罪防止の解決にはなりません。
今後、新規で銀行口座を開設する場合でも、2段階認証(ワンタイムパスワードがある)銀行を選択するなど、利用者側も、注意が必要となるでしょう。