9月10日16時30分より、ドコモ口座を利用した不正送金に関する記者会見が行わ、新たな事実が明らかになった。「ドコモ口座」を利用した不正送金が気になりすぎて自分でまとめてみた - 最終防衛ライン3 に追記する形で投稿しようと考えたが煩雑になるため、新たにエントリーを投稿する。

記者会見は YouTube などにライブ映像のアーカイブが残されている。

【LIVE】不正出金被害　NTTドコモ緊急会見

• 「ドコモ口座」不正預金引き出し、記者会見の一問一答まとめ (1/3) - ITmedia NEWS
• ドコモ謝罪会見が(技術的な見地からみて)酷かった件について - Windows 2000 Blog

先ず、ドコモ口座の運用に問題がったことを認めた。10日正午の時点での被害額は1,800万円で、件数66件。11行にて不正送金が確認されている。ただし、被害にあった銀行については会見で個別に公表しなとした。「銀行口座番号、暗証番号、生年月日」（場合によっては生年月日は不要）のみでドコモ口座と連携できる銀行での被害が報告されている。
補償については銀行と協議して進める。この点は、ニュアンスが曖昧であるが、そもそもドコモ側で正規な送金と不正送金とを区別できないため、銀行からの報告でしか動けないためであろう。補償の割合などについては言及はなかった。

ドコモは、不正入手した銀行口座番号、暗証番号、生年月日などを入手した人物が、ドコモ口座を利用して不正送金を行ったと説明。質疑応答において、不正送金に利用されたアカウントに共通点はないと述べていたが、IPアドレスなどは分析中とも述べており、ドコモは全容を把握していないと推測される。会見によると、ドコモ側から不正送金を確認する術はなく、ユーザーが被害を報告し、銀行で確認する必要があるとのことで、この点から現時点で十分な分析は行われていないことが伺える。

8月末の被害が確認さている。この点は、報道になく驚きであった。一方で、質疑応答ではその件に触れる記者がいなかった。一件あたりの被害額は、月当たりのチャージ金額の限度が30万円であるため、月当たりで最大30万円。8月末から被害にあっている場合は、30万円×2＝60万円となり、現在が確認されている被害額では最大となる。ドコモは、d払いで換金性の高い商品を購入していることを確認している。

ドコモはドコモ口座の新規受付を停止しているが、チャージについては停止していない。*1不正でないユーザーの取引の利便性を損ねるとの回答であったが、ドコモは不正送金に利用されるアカウントを特定できないため、そしてそれを今回の会見で述べてしまっているため、安全面を考えればチャージも停止すべきであろう。既に不正送金のため銀行口座に紐付けられてしまったアカウントが眠っている可能性も考えられる。また、8月末からの被害が確認されているが、それ以前から不正送金されている可能性もある。ドコモ口座のユーザーでなくても、またドコモのユーザーでなくても被害にあうため、被害の発覚が遅れた可能性も考えられる。
会見では、被害額に関しては、桁が変わる、つまり億単位になることはないと述べていた。流石に億単位の被害はでないであろうが、ドコモは全容を把握しているわけではないに安易な物言いであろう。少なくとも、 7Pay と同程度の3,000万円くらいになる可能性はあるだろう。

• 「ドコモ口座」顧客増すため手続き簡単にした結果が裏目に | IT・ネット | NHKニュース

NHKでは、顧客を増やすために手続きを簡単にしたと報道されていたが、会見を見た限り、そもそもセキュリティ面が何も考慮されていなかったように感じられた。前者の方がセキュリティ面を認識した上での顧客拡大のため悪意を感じるが、後者だと今後およびドコモ全体のセキュリティ面が非常に不安である。

dアカウントなどは、ドコモの携帯電話やスマートフォンを利用するドコモのユーザーのみを対象にしていたが、より多くのユーザーにも利用できるようキャリアフリーにした経緯がある。その際に、ドコモの電話番号と紐付けられていたサービスを、メールアドレスのみで利用できるようにした。昨年5月のりそな銀行における不正送金の際は、ドコモ口座はキャリアフリーではなかったが、それにもかかわらずドコモ口座もキャリアフリーと顧客を広げる方に舵を切っている。ちなみに、不正送金以降にりそな銀行とドコモ口座は提携していないが、提携再開に向け現在も協議中とのことであった。
ドコモは、dアカウントなどをキャリアフリーとする戦略の上で、ドコモ口座などが踏み台になる、つまり種々のサービスを不正に利用することを目的としたアカウント取得を想定していなかったと述べた。つまり、そもそも今回のような事例を想定していなかったのだろう。今後は、サービスによってドコモ側が本人確認など行うなど、仕様を変更する予定であると述べていた。

ドコモは、過去に銀行側からドコモ口座の名義と銀行口座の名義が一致しない報告を受けて、システム改修などを行っていることを明らかにした。ドコモの認識としては、銀行口座を持っている＝本人、との認識で本人確認を銀行側に依存していたようだ。ドコモは、銀行の本人認証（Web口座振替受付サービスの運用方法）については、銀行側のポリシーの問題で関知しないとのスタンス。つまり、本人認証の甘い銀行とは提携しないなどの判断はしない方針のように感じられた。

会見において、暗証番号などを漏らさないようにと述べていた。今回の事例がリバースブルートだったかは不明である。ドコモはフィッシングなど、種々の詐欺により入手された暗証番号などを利用したと想定しるようだった。ドコモを騙った詐欺が多く、それに対する業務が多いため、フィッシングなどを想定するのであろうが、事例を見るにドコモ口座はリバースブルートが可能そうなシステムである。暗証番号を漏らさないことは重要であるが、そもそも経営陣がリバースブルートなどを理解しておらず、セキュリティ面が非常に不安になる会見であった。