「ドコモ口座」被害：名門企業の信用に盲点、犯人に付け込まれる－専門家に聞く

まん延する不正送金

－今回の事件は、犯人が①銀行の口座番号や暗証番号を盗んだ②その口座情報を基に預金者になりすまし、ドコモ口座へ金を振り込ませた－という構図です。まず①の情報詐取の手口はどんなことが考えられますか。

「可能性としては3パターンあって、1つは銀行の偽サイトを貼ったメールを送り付けて誘導するフィッシングだ。ユーザー名やパスワードを入力させて、情報を盗む。2つ目はメールでファイルを送り、スマートフォンやパソコンをウイルス感染させる方法。感染したパソコンからオンラインバンクで取引しようとした際に、ユーザー名やパスワードを盗む。そして警察官のふりをして、お年寄りに『カードと暗証番号を』と迫る特殊詐欺だ」

「こうした被害は以前からずっと起きている。全国銀行協会の統計では、オンラインバンキングの不正送金被害は2019年第4四半期（10－12月）だけで863件、10億5600万円ぐらいある」

－新しい手口もあると聞きましたが。

「リバース・ブルート・フォース（RBF）という手口が、ドコモ口座の案件に利用されたという説はあるが、定かではない。不正にログインしようとして、IDを決め打ちして、あらゆるパスワードを試そうとすると、何回も間違えた時点でロックが掛かる。ところが、逆にパスワードを決め打ちして、何度もIDを試してもロックは掛からない。『1234』のような単純なパスワードを使っている人もいるので、IDをいろいろ試されると、ばれる場合がある。これがRBFだ」

－犯人像は？

「まだ分からないが、一般的にカネを目的としたサイバー犯罪は世界中に犯人がいる。東欧やロシア、中国に犯罪グループがいるが、日本にもいると考えられる」

連携の不備突く、新手の犯罪

－不正送金自体は日常茶飯事のようですが、今回の事件には何か特徴がありますか。

「オンラインバンクから不正に引き出されているという点はいつもと変わらない。新しいのは、口座に直接不正アクセスするのではなく、間に一枚かんでいる点。銀行サービスの手前に『ドコモ口座』があり、犯人はそこと銀行間の連携の不備を突いて来たということだ」

－どういうことでしょうか。

「単純化していうと、オンラインバンキングでは、例えばロシアとか、イランなどからアクセスがあった場合、ある程度怪しいと察知できる仕組みがあるが、信用度の高いドコモ口座を経由されると、そういう判別ができなくなってしまう」

「しかし、報道ベースでは本人確認しなくてもドコモ口座を開設できるという。そこが犯人にとっておいしいところだったのではと推測する。ドコモ側のセキュリティーの仕組みをきちんとチェックしないまま、銀行もドコモと連携してしまったのではないか」

「ドコモ口座が本人確認をしていないところが、この犯罪の突破口だということは普通、分からない。犯人側もよくよく念入りに普段からリサーチしているのだろう。直接、銀行のオンラインバンクに不正アクセスするのはなかなか難しくなり、こういう連携の隙を突いて来た可能性はあると思う」

－責任の所在はどこにありますか？

「おそらくドコモ側にも地銀側にも過失があったのではないか。ドコモ側が本人確認していなかったというのは当然の過失。さらに銀行側にも、そんなドコモとの連携を許してしまったチェックの甘さがあるのではないか」

「報道ベースでは、今回と同様のケースが、りそな銀行とドコモ口座の連携で数年前に起きたのに、公表されなかったという。ドコモ側はその時点でセキュリティー対策を改善すべきだったと思う」

防衛策

－再発防止策をどう考えますか？

「今回の事件ではドコモ側や地銀側に過失がありそうだが、フィッシングにだまされてしまうというのは銀行側にはコントロールできない。個人にはITリテラシーが求められる。今後、法定通貨がデジタル化されていくようなことになると、安全の拠り所を全て業者側に頼っているだけでいいのだろうか。ユーザーに求められるリテラシーは今後もっと増えて来る。業者だけの対策では賄えない」

「サービス提供者がもちろん気を付けないといけないのは当然として、ユーザー側も暗証番号などは、犯罪者に推測されたり、漏えいしてしまったりするものだという前提に立った方がいいだろう」

バナー写真：ドコモ口座の不正利用問題で謝罪するNTTドコモ幹部（時事通信）