「ドコモ口座」＋「Web口座振替受付サービス」の悪用

「ドコモ口座」を利用した不正送金が気になりすぎて自分でまとめてみた。
簡単な時系列から「Web口座振替受付サービス」の実体、「ドコモ口座」の問題点などを述べていきたい。

被害情況については ドコモ口座を悪用した不正送金についてまとめてみた - piyolog が詳しい。
手法は不明であるが、『ドコモ口座』の不正利用、誰が被害に遭う？→『ドコモ口座』を使ってない人(篠原修司) - 個人 - Yahoo!ニュース や 「ドコモ口座」で相次ぐ不正出金、なぜ地銀だけが狙われた？ 専門家の見解は - ITmedia NEWS にあるように、メールアドレスのみで登録できる「ドコモ口座」と、口座番号とキャッシュカードの暗証番号のみで「Web口座振替受付サービス」を利用できる銀行を紐付けて不正送金したのだろうと推測される。
暗証番号や口座番号が不正に取得された可能性も考えられるが、口座番号のみを不正ではない方法で大量に入手することも可能である。大量に開設した「ドコモ口座」から、統計的によく利用される暗証番号でアタックをしかけた可能性もある。誕生日も完全なる秘匿情報ではないため、誕生日やその逆順の暗証番号を利用した可能性もあるだろう。

『ドコモ口座』の不正利用、誰が被害に遭う？→『ドコモ口座』を使ってない人(篠原修司) - 個人 - Yahoo!ニュース にも解説されるように、本件は「ドコモ口座」を開設していないユーザーの方が被害にあう可能性がある。また、開設していても「ドコモ口座」と連携していない銀行口座があれば、やはり被害にあう可能性がある。現在は、「Web口座振替受付サービス」を利用する約半分に当たる銀行が「ドコモ口座」の連携を停止中なため、被害の拡大は抑制されている。ただし、停止前に登録されている可能性もあるため、あまり使っていない口座の残高を確認した方がいいだろう。

• 「ドコモ口座」通じ不正引き出し 被害拡大で14行口座登録停止 | IT・ネット | NHKニュース

簡単な時系列

• 銀行口座から「ドコモコウザ」名義で身に覚えのない引き落としが何度も行われる事案が複数発生…いったい何が起こっているの？ - Togetter

9月3日にTwitterにおいて「七十七銀行」での不正送金が確認できる。

• 緊急掲載情報 | 七十七銀行

「七十七銀行」は9月4日に HP 上に警告を掲載し5日から「ドコモ口座」の新規受付を停止。

• 電子決済サービス「ドコモ口座」通じて預金不正に引き出し | IT・ネット | NHKニュース

9月8日に、「中国銀行」と「東邦銀行」での被害、「大垣共立銀行」で不正送金の疑いが報告される。
「中国銀行」と「大垣共立銀行」は同日8日に新規受付停止。「東邦銀行」は翌9日から。

• ドコモ口座、17行と連携中断 被害さらに広がるおそれ：朝日新聞デジタル
• 「ドコモ口座」通じ不正引き出し 被害拡大で14行口座登録停止 | IT・ネット | NHKニュース
• ゆうちょ銀もドコモ口座の登録停止 連携銀の過半停止に：朝日新聞デジタル

9月9日に、先の4行に加え13行および「ゆうちょ銀行」、つまり18行で「ドコモ口座」の新規受付が停止される。
18行の中の8行で不正送金が確認されている。「ゆうちょ銀行」では、今のところ不正送金は確認されていないようだ。【9月10日】「ゆうちょ銀行」「イオン銀行」でも被害が確認されている。

「Web口座振替受付サービス」のセキュリティがガバガバ

• 「ドコモ口座」で相次ぐ不正出金、なぜ地銀だけが狙われた？ 専門家の見解は - ITmedia NEWS

今回のインシデントは、「Web口座振替受付サービス」のセキュリティがガバガバなところに、「ドコモ口座」の開設にしやすさを悪用した輩がいたために発生したと思われる。被害情況は不明であるが、「docomo」 と 銀行を巻き込んだ事態となっているため影響としては「7Pay」よりも大きいかも知れない。
本件を受けて、「Web口座振替受付サービス」の仕組みが変更される可能性が高い。

「Web口座振替受付サービス」はかなりガバガバである。メガバンクであっても、「りそな銀行」や「ゆうちょ銀行」は「口座番号、暗証番号、生年月日」のみで利用可能である。況んや、地銀をやである。

ドコモ口座とWeb口座振替サービスについて調べてみた - メモ代わりのブログ にあるように、
ワンタイムパスワードが必須なのは「三菱UFJ銀行」と「三井住友銀行」のみ。「みずほ銀行」や、「りそな銀行」はネットバンキングを利用していなくても、口座があれば利用可能。ネットバンキングを利用しない場合、「りそな銀行」は「口座番号、暗証番号、生年月日」、「みずほ銀行」はそれに加えて口座の残高が必要なものの、赤い「三菱UFJ銀行」、緑の「三井住友銀行」と比較すると残念な仕上がりである。そもそも青色の「みずほ銀行」は、ネットバンキングもワンタイムパスワードなしでの利用が可能である。さらにワンタイムパスワードもカード式の乱数表を使用しているあたり、流石の青色「みずほ銀行」である。（乱数表はワンタイムパスワードではなく、第二暗証とのコメントを頂き削除線にて修正。）

• 即時振替サービス・双方向即時振替サービスの操作方法－ゆうちょ銀行

「ゆうちょ銀行」も基本的には「口座番号、暗証番号、生年月日」であるが、収納機関によっては生年月日は必須ではないようである。「ドコモ口座」で生年月日が必要なのかは不明。

• Ｗｅｂ口振受付サービス| 七十七銀行
• Web口座振替受付サービス｜大垣共立銀行

地銀では「口座番号、暗証番号、生年月日」で利用できる場合が多そうだ。「七十七銀行」や「大垣共立銀行」では「口座番号、暗証番号」のみで利用できる*1。

• Web口振受付サービス : 滋賀銀行

「滋賀銀行」では、「口座番号、口座名義、生年月日、暗証番号」が必要だが、口座名義はセキュリティとしては殆ど意味を成さない。

銀行口座を登録する - PayPay を見る限り、「イオン銀行」も「口座番号、暗証番号、生年月日」で「Web口座振替受付サービス」を利用できる。

地銀も含め、「みずほ銀行」、「りそな銀行」、「ゆうちょ銀行」がワンタイムパスワードが必須としないのは、顧客対応である可能性が高い。難しいパスワードを管理できない、ネットバンキングの利用ができない、ワンタイムパスワードの発行手続きができない顧客のために、簡素な方法でWeb口座振替受付サービスを利用し出来るようにいしているのだろうが、簡素の裏返しはセキュリティ的な危険である。
地銀は体力面もあるだろうし、ネットのセキュリティに対して十分に注意が払われていない可能性も考えられる。実際、ネットバンキングは利用可能でも、「七十七銀行」や「中国銀行」のように、ログインパスワードが数字4桁な場合などが見受けられる。

• 銀行口座登録の方法 : LINE Pay 公式ブログ
• 銀行口座を登録する - PayPay

ちなみに、我が故郷である長崎を調べてみたら、ナンバー銀行の方の十八銀行は「口座番号、暗証番号、生年月日」で「Web口座振替受付サービス」を利用できて残念な気持ちに。さらに、ネットバンキングも暗証番号4桁でログインできる杜撰さ。ナンバー銀行でない方の親和銀行は「Web口座振替受付サービス」の不明だが、ネットバンキングは8文字以上16文字以下の半角英数であった。ふくおかフィナンシャルグループ傘下になったお陰だろうか。

「ドコモ口座」もガバガバである

「ドコモ口座」は「dアカウント」さえあれば開設可能で、個人情報を入力する必要が無い。開設後に入力可能。本人確認などは一切必要が無い。
「dアカウント」は、もともとdocomo ユーザーのみのサービスであったが、2013年から誰でも利用できるようになった。それに伴い、メールアドレスのみで取得可能となり、電話番号の入力は必須ではない。しかも、「dアカウント」はPC上から取得可能で、「ドコモ口座」もPC上から利用可能である。

多くのQR決済はスマートフォンアプリからの登録が必須のため「ドコモ口座」よりは自動取得が難しい。自動化が難しいだけであって、決してセキュリティが高いわけではない。
また、au の「じぶん銀行」は「ドコモ口座」と似たようなサービスであるが、口座開設に運転免許証などの本人確認書類が必要である。また、「au Pay」で銀行口座を利用する場合は、本人確認のため、事前にローソン銀行ATMでの確認番号の払い出しが必須となっている。

• 【au PAY】アプリから「銀行口座」（auじぶん銀行以外）でチャージしたい| よくあるご質問 | サポート | au

「Web口座振替受付サービス」のシステムも問題だが、「ドコモ口座」の責任も免れないだろう

キャッシュカードと暗証番号でATMを利用できるのは、キャッシュカードが物理的な認証要素として機能するからだ。口座番号事態は、秘匿情報ではないし、生年月日も完全なる秘匿情報ではない。つまり、多くの銀行において「Web口座振替受付サービス」は一つの要素のみで認証可能なサービスであったと考えられる。

「ドコモ口座」がメールアドレスのみで開設可能な点にも問題があった。さらに、「収納機関」はセキュアでない銀行と提携すべきではないだろう。セキュリティ面なのか、商売上の理由なのかは不明であるが、「LINE Pay」 や 「PayPay」 では利用できる銀行が限られている。セキュアでない「ゆうちょ銀行」や「イオン銀行」が含まれているため、商売上の理由の方が大きそうではあるが。また、利便性は落ちるものの「収納機関」が本人確認を怠るべきではない。

既に金融庁から各行に通達が回っているようである。今回を機に「Web口座振替受付サービス」の仕組みは見直されるであろうし、「ドコモ口座」も本人確認などが必須になるのではなかろうか。問題は、今回の被害がどこまで救済されるのかである。「Web口座振替受付サービス」の規約上は、暗証番号を利用されてしまっているため不正送金されたユーザーは救われない可能性がある。契約紙面上でも「ドコモ口座」には落ち度がない可能性がある。ただし、状況的に金融庁が黙っている案件ではないため、後日、各銀行やdocomoに金融庁から何らかのアクションがあるであろう。
【9月10日追記】ドコモが銀行と協議し、被害を補償すると発表。（銀行と協議するとの発表で、全額補償されるかは現時点では不明）

9月9日中の追記

• 「ドコモ口座」通じた不正引き出し9行に拡大 本人確認強化へ | IT・ネット | NHKニュース

「ドコモ口座」開設時にショートメールでの認証を追加するようですが、そもそも本人確認をすべきでは。

• 「ドコモ口座」の被害者「信じてもらえず憤り」補償求める | IT・ネット | NHKニュース
• 「ドコモ口座」不正引き出し、昨年5月にも りそな銀で同じ手口 教訓生かされず？ - 毎日新聞

銀行、docomo、そして警察までもが初動が遅い。昨年2019年5月に、「ドコモ口座」と「りそな銀行」で不正送金が発生していたのに、両者は特に対応策を取ったようには見えない。現在、「ドコモ口座」では「りそな銀行」を利用できないため、これが一応の対応策なのかもしれない。先に示したように「りそな銀行」の「Web口座振替受付サービス」を「口座番号、暗証番号、生年月日」で利用可能である。docomo は同様の事例が過去にあったにも拘わらず、今回のような後手後手の対応な上に、ドコモからのお知らせ : 一部銀行の口座情報を使用したドコモ口座の不正利用について | お知らせ | NTTドコモ において不正アクセスによるものではないとずれた発表をしているあたり、危機感なさ過ぎである。
過去の事例が生かされておらず、それを監督すべき金融庁の責任が果たされていない。

• ドコモ口座

9月10日の追記

• 「ドコモ口座」被害１０００万円超、全銀行で新規登録停止｜TBS NEWS
• 「ドコモ口座」被害 合わせておよそ1000万円に 補償を協議へ | IT・ネット | NHKニュース

ドコモが「ドコモ口座」の新規受付を停止。
10行での被害が確認され、被害額は1000万円程度。
ドコモは銀行と協議して全額補償すると発表。全額補償を決定したわけではなく、銀行との協議が上手く行かない可能性もある。
また、本人確認として運転免許証などの利用を検討するとのこ。

• ドコモ口座被害 イオン銀なども｜NHK 首都圏のニュース

「ゆうちょ銀行」でも被害が確認されていた模様。

9月11日の追記

• ドコモ口座の不正送金、9月10日の記者会見でわかったこと - 最終防衛ライン3

9月10日にドコモが行った会見を追記しようと考えたが、追記に追記を重ねると可読性が低下するため別エントリーとした。