ドコモ口座の不正利用事件は七十七銀行を皮切りに全国規模へ
話題のドコモ口座不正利用事件は,2020年9月4日17時30分の七十七銀行の上記の一報から始まりました。
七十七銀行のドコモ口座(ドコモコウザ)からの不正引き落としの件まとめてみた
若干違うところあるかもしれません
とりあえず七十七銀行預金者は記帳してみて pic.twitter.com/nFV2aHyT8Z— もっちー (@mochiomochi14) September 7, 2020
わかりやすい図解をTweerされている方がいます。
・ドコモ口座を持っていなくても被害に遭う可能性がある
・dアカウントは本人確認なしで無料メールアドレスだけで作れる
・銀行口座とドコモ口座の紐付けに必要なのは「口座番号」と「暗証番号」
・ネットオークションや仕事などで口座番号を他人に知らせている人は多い
・暗証番号が漏れてなくても数字4桁だと「リバースブルートフォース攻撃」で当てられる可能性がある
ポイントをまとめると上記の通りです。
「ドコモ口座」で不正利用 地銀各行が相次ぎ確認@時事通信
「ドコモ口座」、17行で不正利用 預金引き出し被害相次ぐ
2020年09月09日00時40分銀行の預金口座で、NTTドコモの電子マネー決済サービス「ドコモ口座」を利用した不正な預金引き出し被害が相次いでいることが8日、分かった。七十七銀行(仙台市)と中国銀行(岡山市)、東邦銀行(福島市)、滋賀銀行(大津市)、鳥取銀行(鳥取市)などで確認された。ドコモによると、疑いがあるものも含めて17行に上るという。
全体の件数や金額は不明。鳥取銀の被害は数人、金額は数十万円という。被害に遭った預金者への補償については、各行がドコモと対応を協議する。被害は拡大する恐れがあり、このほかの銀行も、関連する一部サービスの停止や被害の有無の確認など対応に追われている。
ドコモ口座は、銀行口座を登録してチャージ(入金)することで送金や買い物がスマートフォンなどで行えるサービス。銀行の口座番号や暗証番号などの情報を不正に盗み出した第三者が、ドコモ口座を開設して預金を引き出したとみられる。
各行は、ドコモ口座への自行口座の新規登録などを停止し、ホームページで顧客に注意を呼び掛けている。七十七銀は既に金融庁に報告。警察への被害届提出を検討している。中国銀も警察と対応を検討中だ。
このほか、大垣共立銀行(岐阜県大垣市)でもドコモ口座において同行口座を不正利用した疑いのある取引が複数発生し、サービス停止を迫られた。地銀関係者は「少額チャージの場合、顧客が不正に気づきにくい」と警戒している。
地銀以外では、イオン銀行(東京)でも被害が見つかり、状況を確認している。このほか、被害またはその可能性があるのは、池田泉州(大阪市)、大分(大分市)、紀陽(和歌山市)、仙台(仙台市)、第三(三重県松阪市)、北洋(札幌市)、みちのく(青森市)、伊予(松山市)、但馬(兵庫県豊岡市)、琉球(那覇市)の各銀行。
ドコモは8日、不正利用された銀行口座番号や暗証番号について「自社システムから取得されたものではない」とのコメントを発表した。ただ、ドコモ口座はメールアドレスがあれば架空名義でも開設することが可能といい、同社は電話番号登録の義務化など本人確認を徹底する。
2020年9月6日頃にTwitterなどSNSで話題になり,大手マスメディアの記事にも現れるようになりました。上記は一例です。
ドコモ口座との連携を停止をしている17の銀行
- 2020年9月5日0時より停止:七十七銀行 <重要>「ドコモ口座」を利用した当行口座の不正利用の発生
- 2020年9月8日0時より停止:中国銀行 「ドコモ口座」を利用した当行口座の不正利用の発生について
- 2020年9月8日0時より停止:大垣共立銀行 「d払いアプリ」/「ドコモ口座」新規口座登録・即時チャージ対応の一時停止のお知らせ
- 2020年9月9日0時より停止:東邦銀行 《注意喚起》「ドコモ口座」を利用した当行口座の不正利用の発生について
実際に口座停止をしている銀行をまとめてみました。
ドコモ口座の不正引き出し、17行で連携中断 被害総額不明
9/8(火) 22:10配信NTTドコモの電子決済サービス「ドコモ口座」を使った預金の不正な引き出しが、全国の地方銀行で相次いでいることが明らかになった。ドコモは9日未明までに、地銀など17の銀行の口座とドコモ口座の連携を中断したと発表。被害はさらに広がる可能性がある。ドコモは本人確認が不十分だったと認め、セキュリティーを強化するとしている。
【図解】ドコモ口座を使った不正の手口。メールアドレスだけで口座は開設可能だった
ドコモ口座はスマホ決済や送金のためのサービス。利用者がドコモ口座を開設し、自身の銀行口座と連携すれば、お金を銀行からドコモ口座に入金(チャージ)し、スマホ決済の「d払い」や電子送金が使えるようになる。
ドコモが口座連携を止めたのは、七十七銀行(仙台市)、中国銀行(岡山市)、大垣共立銀行(岐阜県大垣市)、イオン銀行(東京都)、池田泉州銀行(大阪市)、大分銀行(大分市)、紀陽銀行(和歌山市)、滋賀銀行(大津市)、仙台銀行(仙台市)、第三銀行(三重県松阪市)、但馬銀行(兵庫県豊岡市)、鳥取銀行(鳥取市)、北洋銀行(札幌市)、みちのく銀行(青森市)、伊予銀行(松山市)、東邦銀行(福島市)、琉球銀行(那覇市)。被害の件数や金額は不明。
各行では、銀行の預金が見知らぬドコモ口座へと不正に引き出されたり、その疑いがあったりする事案が相次ぎ発覚している。
その後,前出の4つを含め,17の銀行が連携を停止しています。
これらの17行では,新規に銀行口座とドコモ口座を連携することはできなくなっていますが,すでに攻撃を受けて連携されてしまっており,まだ犯行に至っていない口座もあると思われますので,油断のないようこまめにチェックしてください。
ドコモ口座対応金融機関(銀行)
- みずほ銀行
- 三井住友銀行
- ゆうちょ銀行
- イオン銀行
- 伊予銀行
- 池田泉州銀行
- 愛媛銀行
- 大分銀行
- 大垣共立銀行
- 紀陽銀行
- 京都銀行
- 滋賀銀行
- 静岡銀行
- 七十七銀行
- 十六銀行
- スルガ銀行
- 仙台銀行
- ソニー銀行
- 但馬銀行
- 第三銀行
- 千葉銀行
- 千葉興業銀行
- 中国銀行
- 東邦銀行
- 鳥取銀行
- 南都銀行
- 西日本シティ銀行
- 八十二銀行
- 肥後銀行
- 百十四銀行
- 広島銀行
- 福岡銀行
- 北洋銀行
- みちのく銀行
- 琉球銀行
ドコモ口座対応金融機関(銀行)は上記の通りですが,ドコモ口座との連携システムは各行によって異なるので,上記全てで不正利用の可能性があるかはわかりません。
・対象銀行に口座がある→ 被害の可能性大。
★マークついてたら大至急、出金履歴確認を!
マーク無しも危ないかも?
◎マークついてたら、多分大丈夫…だけど念のため確認を!
これ、被害あっても補償されないとか、遅くなる可能性。
銀行とドコモで責任なすりつけあいで。マジ気をつけて pic.twitter.com/uM55zexGRm— ぼに (@bonizo) September 9, 2020
各銀行のシステムによって,危険度に差がある可能性が高いです。
ただ,上記の口座をお持ちの方は,
「ドコモコウザ」という名義での不審な引き落としがないかすぐにチェックしてください
ドコモ口座 被害者のスクショはこちら ドコモは「暗証番号を盗まれる方が悪い」と責任を否定 #ドコモ口座 https://t.co/Vj0eDN04xD
— まとめダネ! (@matomedane) September 8, 2020
本当にまずいです…。世紀の大事件に発展するかもしれません。
ドコモ口座の本人確認は「銀行口座を登録することが本人確認になる」という循環論
おっしゃる通りかも。ドコモ口座は本人確認不要で作れる。本人確認があればフル機能使えるけど、その本人確認は銀行口座登録そのもの。自己矛盾というか確認まったくしてないというかw pic.twitter.com/YladALTwHx
— 三上洋 (@mikamiyoh) September 8, 2020
まさに自己矛盾かつ循環論ですが, ドコモ口座の本人確認は「銀行口座を登録することが本人確認になる」というものです。
口座番号がわかっても暗証番号なんか教えないから大丈夫じゃないの?という疑問
「ドコモ口座」不正出金で注目 「リバースブルートフォース攻撃」ってどんなもの?|ねとらぼ
この疑問に関しては上記のねとらぼさんの記事をご参照ください。
金融機関(銀行)の暗証番号は,数字4桁「0000」~「9999」の1万通りであることが多いため,試行回数制限などがないシステムであれば,ブルートフォース攻撃(総当たり)で突破されてしまいます。
ただ,多くの金融機関のシステムでは暗証番号を複数回誤って入力すると停止するようになっているので,ブルートフォース攻撃(総当たり)は防げます。
それに対し,リバースブルートフォース攻撃とは,「大量に入手した口座情報に対して,機械的に手当たり次第暗証番号を試せばいつかは当たる」という方法になります。
通常は同じ口座でなくとも,アクセスが連続するとシャットアウトするシステムになっていることが多いのですが,ドコモ口座を踏み台すると何度でもアクセスできるようになっていたという脆弱性を狙われました。
まとめ
ドコモ口座の不正利用事件についてまとめてみました。ドコモのコメントは上記の通りです。
確かに今回の不正利用事件は銀行側のシステムの不備によるところが大きい気がしますが,ドコモ口座の本人確認が「銀行口座を登録することが本人確認になる」というものである以上,ドコモにも責任があるはずなのに他人事感がすごいです。
後世に残したいドコモ口座のクソ対応
9月5日には気づいていたのに全サービスを停止しなかった結果、その他の銀行でも不正利用が相次いで発生してしまった構図
9月5日以降の不正利用分は完全にドコモ口座の過失です。全額保証してください pic.twitter.com/BSXrEBti55
— あかんやつマン🥦 (@kabuakan) September 8, 2020
ドコモ口座のシステムに問題がなかったとしても,連携停止の初動が遅れたのはドコモにも責任があるでしょう。
・ドコモ口座を持っていなくても被害に遭う可能性がある
・dアカウントは本人確認なしで無料メールアドレスだけで作れる
・銀行口座とドコモ口座の紐付けに必要なのは「口座番号」と「暗証番号」
・ネットオークションや仕事などで口座番号を他人に知らせている人は多い
・暗証番号が漏れてなくても数字4桁だと「リバースブルートフォース攻撃」で当てられる可能性がある
先にも述べたように,17の銀行は新規に銀行口座とドコモ口座を連携することはできなくなっていますが,すでに攻撃を受けて連携されてしまっており,まだ犯行に至っていない口座もあると思われますので,油断のないようこまめにチェックしてください。
しかしドコモ口座の不正引き出しを防ぐ方法が
犯罪者より先にドコモ口座に自分の口座を紐付けるなの笑う
心理的に難しいよねこれ— 篠原修司 (@digimaga) September 8, 2020
感心したのがこちらの対策。確かに該当の銀行口座を持っている場合,不正利用を阻止するために先に自分のドコモ口座に登録してしまえば重複して登録はできないようになっているようです。
しかし,いまドコモ口座を使っていない人からしたら,積極的に関わりたくないでしょうし難しいところです。
残高0円でもヤバイもよう pic.twitter.com/prvcIWHbdQ
— ゼノン (@xenon8739) September 9, 2020
口座に残高がなくても,定期預金などを担保にマイナスになることもあります。
ともあれ該当口座をお持ちの方は,
「ドコモコウザ」という名義での不審な引き落としがないかすぐにチェックしてください
コメントを残す