ドコモ口座とは何か?
そもそもドコモ口座とは何か?
ドコモ口座
によると「ネットやアプリ上で送金やお買い物ができるバーチャルなお財布です」とのこと。そして口座にはいくつかのタイプがあり
- 回線契約あり。本人確認あり。銀行口座、ATM等からのチャージ可。出金可。送金可。買い物可。
- 回線契約あり。本人確認なし。銀行口座からのチャージ不可。ATM等からのチャージ可。出金不可。送金不可。買い物可。
- 回線契約なし。本人確認あり。銀行口座、ATM等からのチャージ可。出金不可。送金不可。買い物可。
- 回線契約なし。本人確認なし。銀行口座からのチャージ不可。ATM等からのチャージ可。出金不可。送金不可。買い物可。2と比べてペイジーとドコモ口座払いができない。
こうしてみると、1は資金移動業としてもサービス提供、それ以外は第三者型前払式支払手段としてのサービス提供か?で、今回の騒動で利用された口座は4なのかな?ちなみに第三者型前払式支払手段に関してはドコモ以外でも本人確認は行われていない。というかお手軽に出来るのが利点である。そしてここでいう本人確認の有無が銀行口座の登録でそれをWeb口振の仕掛けでおこなっていたと。
Web口振とは何か?
Web口振受付サービス|地銀ネットワークサービス
に説明がある。この説明の中の収納企業がドコモに該当する。
どこに問題があった?
ドコモが行っている本人確認はWeb口振の仕掛けで銀行に問い合わせて銀行側がOKを出したので本人確認が出来ました、という流れでドコモ口座の利用者がその銀行口座の本人かの確認はあくまで銀行が行いドコモはその結果を信用しているだけである。そして口座からの出金を行う場合はその都度、窓口なら通帳と印鑑の照合、ATMならキャッシュカードと暗証番号といった形で複数要素で行うが今回はインターネットから入力された口座番号、暗証番号という単一の要素で行ってしまっている。ドコモ口座に限らずカードや公共料金の引き落としでも同姓同名の他人の口座を指定出来そうである。まあ収納企業側に実体があるのでバレたら足が付きそうだがカード会社名義の引き落としだと気がつかなかったりして。そもそも口座名義、口座番号は振込を受けつている人は公にしているのでこれは全く秘密情報にならないので暗証番号の他に何か本人しか扱い得ない情報が必要なはずである。結局、サービスの使われ方の変化に対して銀行側の本人認証が甘かったと思える。
どうやって暗証番号がバレた?
これに関してはリバースブルートフォースが有力視されている。口座番号のセットを作成し暗証を番号を固定してWeb口振に問い合わせを行ったのか?しかしドコモ口座の場合、Web口振の登録は今時点でアプリからとなっている。出来なくはないがかなり効率が悪そうである。むしろフィッシングサイトで暗証番号を入力してしまっている可能性の方が高そうである。
追加で発生される懸念
一つは被害の発生を装った詐欺メールが懸念されている(既に発生してる?)。そしてもっとやっかいなのは口座番号と暗証番号がセットになってしまっているので偽造キャッシュカードが作れてしまう事である。IC対応のカードとATMであれば問題ないが磁気ストライプのみでの処理だと危険である。一時期のスキミング多発で銀行側もそれなりの対応はしているであろうが磁気ストライプでの対応策には限界があるだろう。
ドコモ口座はどうなる?
ドコモ口座に関しては本人確認を徹底とかいう話があるがドコモ口座自体、第三者型前払式支払手段なので本人確認の必要がない。これを本人確認必須にしてしまったらポイント業界が吹っ飛んでしまいそうである。そもそもモノを買うのに本人確認が必要という解釈になりかねない。結局は銀行側の問題である。Web口振受付時の確認を厳格に行うかこの手のサービスからの受付を止めるかだろう。なお第三者型前払式支払手段は業者としての登録が必要で今回の件でドコモが登録取り消しの処分を受けた場合、d払いも(というかdポイント)も出来なくなりそう。
ドコモ口座が本人確認を行っていたら発生しなかったか?
ここまでに書いた事と被るかもしれないが、ドコモ口座が本人確認を行っていたら今回の事件は発生しなかったか?ドコモ口座が本人確認を行っていたとしてドコモ口座と銀行の口座の所有者が同一であるというのは何をもって確認するのだろうか?そこが暗証番号のみであった場合、どこからか買ってきたドコモ口座を同姓同名の他人の銀行口座と紐付ければいいのだから。
どういった手順で行われたのか?
そういった観点からすると今回の事件はどういった手順で行われたのだろうか?巷では捨てアドレスでドコモ口座を大量に作成しリバースブルートフォースでアクセスしたのではと言われているがWeb口振へのアクセスはアプリ経由だし名前と口座のセットがないと出来ない。極めて効率が悪いと思う。それよりもどこかから名前、口座、暗証のセットを入手しその名前でドコモ口座を作成した方が早そうである。
一度作られたSNSの流れは変わらない
今回の件、自分は銀行側の落ち度だと思っているが世の中的にはドコモが悪いという流れである。だいたい95%が「ドコモが悪い」という書き込みだろうか。最初にバズったのが「ドコモ口座から不正に出金された」という書き込みだったか。もしこれが「xx銀行が本人に確認せず口座振替の契約を承認し出金された。踏み台はドコモ口座。」という書き込みだったらどうだっただろうか?
他のPayサービスにも拡大
そりゃそうだ。銀行におけるWeb口振の本人確認が甘いのだから。しかも気になるのはゆうちょ銀行あたりはPay業者が2要素認証をしていれば防げたと思っていそうなところ。一部の業者しか2要素認証に対応していなかった、というようなことを言っている。Pay業者の2要素認証はあくまでもPayアカウントに対しての認証であって銀行におけるWeb口振の認証として行われなければ意味はない。本人確認がされているのでバレた時に捕まりやすいというのはあるがPayアカウントを買ってくればいいだけの話である。発生の可能性は下がるがそもそもの解決策ではない。何が問題であったのか理解出来ていない可能性がある。
(9/17 1:28追記)ゆうちょ銀行は2要素認証の仕組みを持っていた。
W「ファミペイ」使い方徹底解説 チャージ、支払方法、口座連携など – コログ
このサイトに登録手順の画像が載っていた。登録時にゆうちょ銀に登録してある電話番号を入力するとSMS通知が飛ぶ仕掛け。これは正しい。この方法、Pay業者の了解など取らずに無条件に導入すればよかったのに。Pay業者側が断ったら接続させないくらいの姿勢で。
Pay業者における本人確認の必要性
Pay業者には大きく二つのタイプがあり一つは資金移動業者、もう一つは前払式支払手段発行業者。大きな違いは前者はPayアカウントの残高を出金可能。後者は出金不可能。そして前者はアカウント作成時に本人確認必要、後者は本人確認不要。後者は所謂ポイントにすぎない。ポイントカードを作成するときに運転免許証等での本人確認しないよね。今回のドコモ口座の犯人は換金性の高い商品を買っていたらしい。と言う事は前払式支払手段で発行されたアカウントということになる。そうであればそもそも本人確認などいらない。ドコモは不要な謝罪を行って問題の本質をわかりにくくしてしまった。ドコモ口座の規定として一人一口座であるとか、正しい氏名を登録する等があればその規定には違反しているが法的には問題がないことになる。どこまでいっても銀行が本人確認をきちんとしなかった、それだけの話である。