ドコモ口座詐欺から学ぶべきこと〜ワルイ奴らの出口戦略

まずはじめに、この文章は2020年9月21日午前10時に書いています。それまでに私が入手可能な情報に基づいたものであり、全貌が判明しない中での記述になりますので、事実誤認等がある得ることをご承知おきください。

少し長くなるので、先に目次を。

①ドコモ口座詐欺の概要

②口座引き落としの歴史的経緯

③ワルイ奴らの出口戦略

④結論

 

 

①ドコモ口座詐欺の概要

まず、ドコモ口座詐欺の概要ですが、

本人が知らないうちにドコモ口座を開設され、そのドコモ口座と銀行口座が連携されていた。銀行口座から引き落としをされたお金がドコモ口座に入金され、使われた。

というものです。

犯人側がしたことは、下記のドコモ口座「ご利用開始までの流れ」の通りです。

これを、被害者名義で行ったのです。

(上図には、dアカウントにドコモの電話番号を登録する、とありますが、現在はドコモ以外でも登録できるので、説明が間違ってますね)

被害が判明しているのは11行ですが、ドコモ口座連携している銀行はこちらです。これ以外の銀行であれば、安心です。

報道によれば、銀行口座登録時に口座番号や暗証番号を入力する画面があったとのことですが、一度も間違えていないということから、犯人は事前に、被害者の口座番号や暗証番号を入手していたと考えられます。

こうやって入手したドコモ口座を利用して、銀行からドコモ口座にチャージし、その金額をセブン銀行ATMで引き出したり、ショッピングで利用したと考えられます。

 

②口座引き落としの歴史的経緯

今回使われた、ドコモ口座の銀行口座連携は、一種の銀行引き落としと言えます。

銀行引き落としをする会社や商店は、当たり前のことですが、銀行に口座があり、銀行と取引をしています。信用のある会社であって、悪いことはしないのです。この大前提が銀行にはあったはずです。

つまり、銀行としては”安心して”お客様の口座からお金を出し、引き落としをしている会社や商店、今回の詐欺の場合はドコモにお金を移すわけです。銀行としては、預金者のお金をドコモに移動したのであって、ドコモ口座のユーザー宛ではないのです。

近年、オレオレ詐欺、特殊詐欺という振込による詐欺が横行していますが、銀行としては振込出金はとても注意深く見ています。また、インターネットバンキングでも振込、特に振込出金に関する通知はeメールで届く銀行がほとんどです。

それに対して、口座引き落としをしたという通知が来る銀行は稀です。

「残高不足で口座引き落としに失敗した」という通知が来る程度なのです。

さらに言えば、そもそも「口座引き落とし契約をした」という通知が来ないのです。(私が調べた範囲なので、来る銀行があるかも知れませんが)

もし、ドコモ口座と連携した瞬間にメール通知が来ていれば、かなり防げたと思います。この点は、銀行のシステムを変更してほしいと思います。

以下に、みずほ銀行のFAQを載せておきます。

 

③ワルイ奴らの出口戦略

ここからは私の見解です。

今回の銀行口座連携をする時に、暗証番号等のミスはなかった、ということですから、犯人は事前に、フィッシングにより被害者口座の情報を得ていたのではないでしょうか?

口座情報は持っていて、いつでもインターネットバンキングでログイン可能な状態だったのです。

では、なぜすぐにログインしなかったのでしょうか?

それは、「普段と違うログインをした場合、セキュリティがかかったり、預金者本人に通知がいくことがある」からです。

そして、ログインしたところで、振込をする場合は、さらにパスワードが必要な場合が多く、そこをクリアして振込をしたとしても、振込先口座から足がついてしまう可能性があるのです。

つまり、ワルイ奴らは、「口座情報は手に入れたけど、これをどうやってカネにするか?」という出口戦略が必要だった。そして、このドコモ口座が出口戦略にぴったりだった、ということなのです。

すでに口座情報はワルイ奴らの手に渡っているという前提の上で、ワルイ奴らの出口戦略を潰す、ということが重要だと思います。

 

④結論

私たちにできる防衛策はなんでしょうか?

こまめにパスワード を変更する、というのがよく言われますが、あまりいい策ではないと考えます。頻繁に変えるとパスワード 自体忘れてしまいやすくなったり、一番心配なのは、パスワードを変えてください、というフィッシングメールにもひっかかりやすくなりそうだからです。

ペイメントアプリと銀行口座を結びつけないようにする、というのも一見いい手のように思えますが、今回のドコモ口座のようにペイメントアプリ自体、なりすましをされてしまうと意味がありません。

あまり有効な手立てはないなあと思うのです。

私は何をしているかというと、各銀行のスマホアプリを入れておき、入出金をこまめにチェックしています。あまりPCでアクセスしないようにしています。たいていのフィッシングは、Webでアクセスさせるので、アプリでやっていればフィッシングサイトにつながるおそれがありません。

一方、銀行側でできる有効な策はたくさんあります。

取引や口座引き落とし契約があったら、eメール通知を預金者にする、というのを徹底してもらえれば、それだけでいいので、是非やってほしいです。

(そもそもの話になりますが、ペイメントアプリに銀行からのチャージって必要でしょうか?クレジットカード連携でいいと思いますし、クレジットカードを使いたくなければ、コンビニATMで引き出してすぐにチャージもできますし、リスクを考えると必要ないと思います。)

さて、上に述べたことは、防止ではなく早期発見です。

防止するには、本人認証をできるだけ厳格に行う必要があります。

本人認証は、ある意味、永遠の課題なわけです。印鑑登録をしている印鑑を持っていれば、本人と認定する、という昔からの方法も、穴がなかったわけではありません。一般の窓口業務では、運転免許証を提示して本人確認をしますが、これとて、免許証偽造もあり得ますし、免許証の写真と本人が同じかどうか、窓口の人の判断なので、どんなにやっても少しの穴はできてしまうのだろうと思います。

私は、本人認証については、マイナンバーカードに期待しています。

オンラインだけ(=パスワード )で済ませず、実物のモノである、マイナンバーカードとスマホのICカードリーダー機能を使うことでかなり安全性が高まると思います。

マイナンバーカードも偽造することが可能かも知れませんが、偽札同様、偽造するコストを高めることで、この種の犯罪を事前に防止できるはずです。

 

以上、ドコモ口座をめぐる件で、私がつらつら考えたことでした。

歴代総理大臣 佐藤さん、田中さん、安倍さん、菅さんになくて、宇野さんにあるものは?

人知の及ばぬ32ビットの空間に、
名前がついたその日から、
見知らぬあなたと、見知らぬあなたに、
ウェブの糸がつながった
ドメインの織りなす運命を解き明かす
あらたな世界の扉が開かれる
それが、あなたの知らないドメインの世界

というオープニングナレーション、というか、音声がないのでオープニングメッセージではじまる、『あなたの知らないドメインの.世界』ですが、2020年9月15日現在、第76回の連載となっています。

「歴代総理大臣 佐藤さん、田中さん、安倍さんになくて、宇野さんにあるものは?」

というものが第30回でしたが、菅さんにもないものがあります。

それは、ドメイン名です。

「.uno」だけがドメイン名として存在しています。

詳しくは、https://あなたの知らないドメインの.世界/uno をご覧ください。

オンライン誕生会を『Remo』でやってみた

オンライン飲み会でZOOMより良いと評判の『Remo』を、社内オンライン誕生会に使ってみました。

上図をご覧いただければわかりますが、定員6名の各テーブルに着席するようになっています。基本的に会話はテーブル内で行われます。

どのテーブルに誰がいるかもわかります。

そして参加者は自由に席を移動することが可能です。

「立食パーティ」と思っていただければわかりやすいかと。

今回も、各自にデリバリーを取ってもらってオンライン食事会をするというスタイルにしました。

Remoでは、最前列の前にはステージがあり、そこに立って喋ると、全員に声が届くようになっています。

ZOOMにはブレイクアウトルームというものが作成でき、小部屋に分けることができます。セミナーで講師の話を聞いたあと、小グループでディスカッションするという利用には非常に使い勝手がいいのですが、参加者が自分で移動できないので、そこが大きな違いです。

誕生日を迎えた社員に関するクイズなどを出して、1時間楽しく過ごしました。

ここまでの説明だけだと、ZOOMよりRemoが良さそうと思われた方も多いかもしれません。

しかし、Remoには重大な弱点があります。

それは、値段¥¥¥¥¥です。

なんと一番安いプランで月額100ドル(年間契約)です。

フリープランもありますが、たった14日間です。今回はその14日間の間で、オンライン誕生会をやってみました。

ZOOMが年間契約、米ドル支払い、クーポン利用で年間82.44ドル(月額換算6.87ドル)と比較しても、非常にお高いです。

(クーポンコードは SALJKZA3290-ZOOM です。今でも使えるかわかりませんが、10日前くらいは使えました。)

もっと言うと、40分制限さえ我慢すれば、ZOOMは無料版でもブレイクアウトルームに分けられるのですが、オンライン飲み会だと40分は短すぎますね(笑)