ドコモ口座事件はドコモ使ってなくても被害に遭うので

数日前から社会をモヤモヤさせているドコモ口座の不正引き出し事件ですが、これもV37スカイラインのエアコン問題同様、論理的、現実的ではない情報、極論が錯綜しているようです。

整理します。

【どういう事件か】
「ドコモ口座」という仕組みを使って、犯人が他人の口座の預金を引き出します。被害者はドコモ携帯を使っているかどうかは関係ありません。銀行口座を持っているだけで被害者になる可能性があります。

【なぜ他人の口座からお金を引き出せるのか】
「口座番号」「氏名」「暗証番号」が分かれば、誰でも自分のドコモ口座に他人の口座を紐付けることができ、お金を引き出すことができます。

【自分は他人に暗証番号なんか教えていませんけど?】
ドコモ口座への登録時に、暗証番号を何回か間違えるとロックがかかりますが、口座番号は何回間違えてもロックがかかりません。すなわち「よく使われていそうな暗証番号」を用いて(暗証番号を固定して)たくさんの口座番号に総当たりすれば、中にはヒットするものも出てきます。その口座からお金が引き出されます。

【自分は他人に口座番号なんか教えていませんけど?】
それであれば被害に遭う可能性はないと考えられます。

【どうして他人に口座番号を教えてしまうの?】
いくつかの例として、以下のようなケースで他人に口座番号と氏名の組み合わせが渡ってしまう可能性があります。

(1)ネット通販サイトで銀行引き落としにした。(しかも通販サイトが悪徳業者だった)
(2)ネット買い取りサイトで銀行振り込みしてもらった。(しかも通販サイトが悪徳業者だった)
(3)銀行からメールが来て、氏名と口座番号を入力した。(フィッシングメールに引っかかった)
(4)ヤフオクで売った商品の代金受け取りのために銀行口座を他人に教えていた。
(5)コンピュータがウイルス感染して情報を吸い上げられた。(おそらく希なケース)

どうやったら今から被害を防げるか?
ドコモがドコモ口座を停止していない以上、被害は拡大する可能性があります。しかしドコモは被害額の補填よりドコモ口座で上げられる利益がとても大きいのか、ドコモ口座を停止する気配はありません。したがって消費者側で何らかの対策をする必要があります。

「暗証番号4桁ごときでドコモ口座からのアクセスを許可してしまうようなセキュリティの甘い銀行とは縁を切ってしまえ」という極論もありますが、まぁそれができるならそれに越したことはないですが、銀行の口座って様々なしがらみがあって必ずしも簡単にお仕舞いにできるものでもないと思います。

そういった場合にできるのが「暗証番号の見直し」です。「0000」「1234」「5678」などの規則性の強い番号を使っている場合は変更してください(もっとも、ぞろ目番号は今は使えないと思いますが)。ATMのテンキーで規則性のあるもの(たとえば「2580」(縦一列))なども見直してください。他にもテンキー配列で規則性の強いものだと「1379」「2468」とか「1478」なんかも比較的狙われやすいようです。

但し暗証番号を変更したところで完全に被害を防げるものではありません。しかし一度不正が起きた銀行はドコモ口座へのチャージを全面的に停止しているようですので、許容できるところまでリスクを下げることができるだろうとは思います。セキュリティ重視であれば口座を閉めた方がいいのでしょうが、多くの消費者にとっては「セキュリティと利便性のバランス」が重要ではないかと思いますので。あとはこまめに残高をチェックして、ドコモ口座からの身に覚えがない引き落としがないかを時々確認しましょう。身に覚えがないドコモ口座への出金があった場合には、ドコモまたは銀行に賠償してもらいましょう。

【自分が使っている銀行はドコモ口座登録時に2段階認証を用いていますけど?】
それであれば安心です。

【誰の責任ですか?】
銀行とドコモ、双方の責任です。お互いに「セキュリティはあちらで確保してくれるだろう」と考えていました。もうちょっと細かい話をすると、ドコモ口座のサービスが始まった当時は、ドコモ口座はドコモユーザーでなければ開設できませんでしたので、本人確認はほぼ確実に取れている人だけが使っていました。しかしその後、ドコモが利益確保のためにドコモ口座をドコモユーザー以外でも使えるようにしたため、本人確認が不十分な人でもドコモ口座が使えるようになり、犯罪の温床になりました。本来であればドコモ口座開設時にもドコモ携帯を契約するときのような審査や、あるいは銀行側がドコモ口座の不特定多数への解放に気づいてドコモとの関係を見直すべきでしたが、いずれもなされませんでした。

 

こんなところでしょうか。

自分は「ネット買い取りサイトで銀行振り込みしてもらった」のが2回、「ヤフオクで売った商品の代金受け取りに銀行口座を他人に教えていた」のがのべ20年近くで100回以上(;´Д`)ので口座番号と氏名の組み合わせがガバガバ漏れている自覚はありますが、いずれも「二段階認証」を採用する三菱UFJの口座ですので、まぁ大丈夫かと思っています。フィッシングには引っかかっていません。

コメント

  1. ちょ より:

    銀行によっては、名義人名の入力を求めないところがあります。そのため、銀行名、支店名、口座種別、口座番号、暗証番号があれば連携できてしまいます。だから大騒ぎなんだと思いました。(実際うちも三菱UFJ以外は全て通帳記帳しました。)
    ブルートフォースアタックを想定してないのはドコモのお粗末だと思いますね。エンジニア側は対策を求めたと思います(思いたい)が、管理側が軽視したか納期を重視したかではないでしょうか。

タイトルとURLをコピーしました