まずはじめに、この文章は2020年9月21日午前10時に書いています。それまでに私が入手可能な情報に基づいたものであり、全貌が判明しない中での記述になりますので、事実誤認等がある得ることをご承知おきください。
少し長くなるので、先に目次を。
①ドコモ口座詐欺の概要
②口座引き落としの歴史的経緯
③ワルイ奴らの出口戦略
④結論
①ドコモ口座詐欺の概要
まず、ドコモ口座詐欺の概要ですが、
本人が知らないうちにドコモ口座を開設され、そのドコモ口座と銀行口座が連携されていた。銀行口座から引き落としをされたお金がドコモ口座に入金され、使われた。
というものです。
犯人側がしたことは、下記のドコモ口座「ご利用開始までの流れ」の通りです。
これを、被害者名義で行ったのです。
(上図には、dアカウントにドコモの電話番号を登録する、とありますが、現在はドコモ以外でも登録できるので、説明が間違ってますね)
被害が判明しているのは11行ですが、ドコモ口座連携している銀行はこちらです。これ以外の銀行であれば、安心です。
報道によれば、銀行口座登録時に口座番号や暗証番号を入力する画面があったとのことですが、一度も間違えていないということから、犯人は事前に、被害者の口座番号や暗証番号を入手していたと考えられます。
こうやって入手したドコモ口座を利用して、銀行からドコモ口座にチャージし、その金額をセブン銀行ATMで引き出したり、ショッピングで利用したと考えられます。
②口座引き落としの歴史的経緯
今回使われた、ドコモ口座の銀行口座連携は、一種の銀行引き落としと言えます。
銀行引き落としをする会社や商店は、当たり前のことですが、銀行に口座があり、銀行と取引をしています。信用のある会社であって、悪いことはしないのです。この大前提が銀行にはあったはずです。
つまり、銀行としては”安心して”お客様の口座からお金を出し、引き落としをしている会社や商店、今回の詐欺の場合はドコモにお金を移すわけです。銀行としては、預金者のお金をドコモに移動したのであって、ドコモ口座のユーザー宛ではないのです。
近年、オレオレ詐欺、特殊詐欺という振込による詐欺が横行していますが、銀行としては振込出金はとても注意深く見ています。また、インターネットバンキングでも振込、特に振込出金に関する通知はeメールで届く銀行がほとんどです。
それに対して、口座引き落としをしたという通知が来る銀行は稀です。
「残高不足で口座引き落としに失敗した」という通知が来る程度なのです。
さらに言えば、そもそも「口座引き落とし契約をした」という通知が来ないのです。(私が調べた範囲なので、来る銀行があるかも知れませんが)
もし、ドコモ口座と連携した瞬間にメール通知が来ていれば、かなり防げたと思います。この点は、銀行のシステムを変更してほしいと思います。
以下に、みずほ銀行のFAQを載せておきます。
③ワルイ奴らの出口戦略
ここからは私の見解です。
今回の銀行口座連携をする時に、暗証番号等のミスはなかった、ということですから、犯人は事前に、フィッシングにより被害者口座の情報を得ていたのではないでしょうか?
口座情報は持っていて、いつでもインターネットバンキングでログイン可能な状態だったのです。
では、なぜすぐにログインしなかったのでしょうか?
それは、「普段と違うログインをした場合、セキュリティがかかったり、預金者本人に通知がいくことがある」からです。
そして、ログインしたところで、振込をする場合は、さらにパスワードが必要な場合が多く、そこをクリアして振込をしたとしても、振込先口座から足がついてしまう可能性があるのです。
つまり、ワルイ奴らは、「口座情報は手に入れたけど、これをどうやってカネにするか?」という出口戦略が必要だった。そして、このドコモ口座が出口戦略にぴったりだった、ということなのです。
すでに口座情報はワルイ奴らの手に渡っているという前提の上で、ワルイ奴らの出口戦略を潰す、ということが重要だと思います。
④結論
私たちにできる防衛策はなんでしょうか?
こまめにパスワード を変更する、というのがよく言われますが、あまりいい策ではないと考えます。頻繁に変えるとパスワード 自体忘れてしまいやすくなったり、一番心配なのは、パスワードを変えてください、というフィッシングメールにもひっかかりやすくなりそうだからです。
ペイメントアプリと銀行口座を結びつけないようにする、というのも一見いい手のように思えますが、今回のドコモ口座のようにペイメントアプリ自体、なりすましをされてしまうと意味がありません。
あまり有効な手立てはないなあと思うのです。
私は何をしているかというと、各銀行のスマホアプリを入れておき、入出金をこまめにチェックしています。あまりPCでアクセスしないようにしています。たいていのフィッシングは、Webでアクセスさせるので、アプリでやっていればフィッシングサイトにつながるおそれがありません。
一方、銀行側でできる有効な策はたくさんあります。
取引や口座引き落とし契約があったら、eメール通知を預金者にする、というのを徹底してもらえれば、それだけでいいので、是非やってほしいです。
(そもそもの話になりますが、ペイメントアプリに銀行からのチャージって必要でしょうか?クレジットカード連携でいいと思いますし、クレジットカードを使いたくなければ、コンビニATMで引き出してすぐにチャージもできますし、リスクを考えると必要ないと思います。)
さて、上に述べたことは、防止ではなく早期発見です。
防止するには、本人認証をできるだけ厳格に行う必要があります。
本人認証は、ある意味、永遠の課題なわけです。印鑑登録をしている印鑑を持っていれば、本人と認定する、という昔からの方法も、穴がなかったわけではありません。一般の窓口業務では、運転免許証を提示して本人確認をしますが、これとて、免許証偽造もあり得ますし、免許証の写真と本人が同じかどうか、窓口の人の判断なので、どんなにやっても少しの穴はできてしまうのだろうと思います。
私は、本人認証については、マイナンバーカードに期待しています。
オンラインだけ(=パスワード )で済ませず、実物のモノである、マイナンバーカードとスマホのICカードリーダー機能を使うことでかなり安全性が高まると思います。
マイナンバーカードも偽造することが可能かも知れませんが、偽札同様、偽造するコストを高めることで、この種の犯罪を事前に防止できるはずです。
以上、ドコモ口座をめぐる件で、私がつらつら考えたことでした。
