2020年9月10日放送の荻上チキSession22でドコモ口座問題を特集していました。自分でも知らないことが多く勉強になったので、文字起こししてみました。

Amazon Transcribeを利用した文字起こしです。読みやすいように改行などしていますが、誤字脱字はあまり手をつけられてないです。また、発話者は省略しています。話の内容をざっくり掴むための記録です。時間できたら、少しずつ誤字脱字をなおしたり、話者を追記していきます。

• 南部さんが別件で被害に！？
• ドコモを利用していない人が被害にあう
• 課題：メールアドレスだけでドコモ口座アカウントが作れてしまう
• 提携可能な銀行口座を持っていると被害にあう可能性がある
• ドコモ口座ってどんなサービスか？
• どのような仕組みにすべきだったか
• リバースブルートフォース攻撃された？
• 銀行側も本人確認が甘かった？
• 銀行も複数要素の認証が必要では
• なんとかペイは過去の事象から学んでいる
• 犯罪者側の考えを類推するチキさん
• 前半のとてもわかりやすいまとめ
• ドコモの会見から見える問題
• 今後の課題 行政・立法を交えたルールづくり、保障など

今夜のテーマはこちらです

ドコモ利用者以外も被害に遭う可能性。 ドコモ口座を悪用した預金の不正引き出しが拡大問題が起こった背景と対策を考える

NTTドコモが提供している電子マネー決済サービスドコモ口座を悪用した預金の不正引き出しの被害が拡大しています。ドコモの丸山誠司副社長は今日記者会見を開き不正利用の被害が六十六件合わせて千八百万円に上ることを明らかにし謝罪しました。

ーーードコモ記者会見音声　ここからーーー

まずはこのたび私共のドコモ口座を利用した不正利用の被害者の方々にお詫びを申し上げますと共に私共のお客さま他多数の皆様にご心配ご迷惑をお掛けしたことを深くお詫びをいたします。

このたびの不正利用でございますが、私共のドコモ口座の作成にあたって私共の本人確認が不十分であったということが原因であるという風に認識をしておりますことをまず申し伝えます共にお詫びをしたいと思います。

ーーードコモ記者会見音声　ここまでーーー

今回悪用されたドコモ口座は実質メールアドレスのみで解説することが可能なことから何者かがこの仕組みを悪用。銀行口座と紐付ける際の本人確認が不十分な金融機関もあったことから、どこの口座を開設した上で何らかの不正な手段で入手した口座番号や名義などを勝手に紐づけ不正に預金を引き出したとみられます。ドコモ口座を開設し悪用しているのは犯人側であるためドコモ口座と連携させることが可能な銀行に口座を持っていればドコモの端末やドコモ口座の利用者でなくても被害に遭う可能性があり、今日時点で十二の銀行がドコモ口座との輸出入金を停止しています。そして去年５月にも同じ手口で理想の銀行の口座から預金が不正に引き出されていたことも判明。ドコモは当時送金の上限を一月百万円、から三十万円に引き下げるなどの対策をとりましたが、その後ドコモ口座の開設をドコモ利用者以外にも拡大これらの対応が再発防止にならず、今回の悪用に繋がったという見方も出ています。

今夜はまずこの問題が起きた経緯背景を一から理解した上で、どのような再発防止策が必要なのか?考えていきたいと思います。

南部さんが別件で被害に！？

チキ：最初このニュース聞いた時はね、そのドコモ口座っていうものを使ってる人が被害にあうのか！これは大変だなって思ったんですけれども、被害の対象がもっと広いということを知って、そして南部さんも僕も被害になりやすい。

南部：さっき慌てて通帳記入に行ったら凄い人が並んでて、皆さん問題意識を持っていらっしゃると思う

チキ：そうですねそして南部さんは記帳に行ったら。別の県のあのーなんでセフレ引き出しがあったことが分かったそう

ドコモドコモ口座とは関係ないま関係ない以外にやってた言葉がメインで使ってないのもあって、記帳そういえばしてなかったなと思ってしてみたら、言われのない引き出しがされているので手続きしなくちゃっていう。。。

そうですこれ何度ようなその記帳したもっと良かったんだ。けどこのタイミングでリマインドしてもらうわかなっていうなのがあるんですけど怖い。いや皆さん本当あのしてない方はしてみた方がいいですよね

南部さんの頃バックアなんだろそうだね。これはそれで大分飲んで、僕らは支えながら何か一時的でございますこれ以外の心配としてはでも被害者って誰だろうねと

前回も。例えば送金金額引き下げられるということは、最初に利用していた人たちが損するというか、不便になるということでその人たちも被害者だよね

また今回じゃ口座からの送金をあの紐付けをいったん止めましよ、って思った時にそれを利用して日々の例えば、さまざまなあの金銭管理をしていた人たちも増えになるだから被害者の範囲っていうのがかなり今回広めですよ。なんか一見するとその分かりづらいニュースなので、今回はその仕組みから色々と伺っていきたいと思います

ではゲストをご紹介し、ますはITジャーナリストの三上洋さんですよろしくお願いいたしますつづいて同じくITジャーナリストの富永彩乃さんです。

富永さんはこのスタジオ初出演ということになりますけれども、普段はどういった取材されてるんですが？

普段は海外のスマートフォンをメインに取材してるんですけどもはネット上の炎上女同輩解説してうん三瓶さんはちなみにこのドコモ口座以外だと最近は何を取材されてるんですか最近はあの芸能人の炎上系ですねはいあの芸人さんがあのーズームでちょっと悪さをおっしゃいましたみたいなそんなのえーっとコメントが多いです。なんだこのレベルの差の違いは

受け仕事だからそうなりますけれどね長期間の仕事だとまさまざまな自分のものをどう出していくかってことになる訳ですね

ドコモを利用していない人が被害にあう

今回ドコモ口座がテーマになってるんですけれども、三上さんに伺いたいですが、今回確認しますと事件の被害者になり得るのはドコモ口座の利用者だけではないですよね。

はい。はっきり言いますと、ドコモ以外のユーザーが主に選ばれています。で、ドコモ口座って名前が、なんかドコモの人だけに見えますけども、まずドコモじゃない人が使えるようになってるんですね。実は今回の穴はこのドコモ口座をドコモじゃない人が使う時、本人確認がめっちゃ甘い。そこに付け入る隙があったのでやられてしまうのです。

なので、実はドコモユーザーの方が逆に安心なぐらい。ドコモじゃない人こそドコモと関係ない人こそ、やられる可能性はあります

なるほど今回そのドコモという単語が連発されているので、ドコモ関連の言葉にドキっとするユーザーの方もたくさんいると思うんです。けれども、そうじゃない。結構無差別に被害にあわゆるということですね。

課題：メールアドレスだけでドコモ口座アカウントが作れてしまう

皆さん今回のドコモ口座の問題点まずは全体としてどんな課題があるだという風に。お感じになっていますか？

簡単にメールアドレスだけでドコモ口座のカウントが作れてしまうっていうところに、まず一つ問題がありまして、次に一番問題視されているのはこの銀行口座との紐付けの時に本人確認がされない場合銀行があるっていうことですよね

メガバンクは今回被害が報告されてまだないですけども、メガバンクの場合は本人確認とにま二段階認証というものがあるので。ユーザー側からすると結構紐づけるのにハードルが高いと言うか、面倒くさいなんて思う方もいらっしゃると思うんですけども。そのハードウェアないとこういった不正に利用されてしまうってことがあるので、今回地方銀行が狙われたの。って今まであまり意識してなかったので、びっくりしましたね。

提携可能な銀行口座を持っていると被害にあう可能性がある

そうですね。だからまず現段階でリスナーの方々が被害にあってないかどうか確認するためには、これ三上さんどういったことをする必要がないです？

このドコモ口座と提携できる連携できる銀行ってのは三十五あります。でこの三十五の銀行のに口座を持ってる人っていうのはかまわずやられる、その今回引き出される可能性はあるんですよね。これは郵貯銀行だったり地方銀行だったり、いろんな銀行がありますですので、この三十五の銀行の口座を持っている方はソレこそ通帳記入をなるべく早く、そこに身に覚えがない不審な引き落としがあるようであれば今すぐにドコモに相談もということですね

忠実な通帳記入というものがなされていなかったり、あと最近はその電子通帳アプリで通帳が見れるっていうような方もいますよね。でもあるからといって結構長く見てないってことありますもんね。

私もさっき急いでチェックしたんですよねそうですよね。そうするとオンラインに頼っているので、通帳記帳もあまりまめに行ってないので、と一定期間行ってないと合算記帳されちゃいますね。

はいされてしまう。

まとめて記帳されちゃうんです。これを細かく見たい時は銀行に通帳と印鑑をもって本人確認書を持って、またこれも凄い時間が掛かってしまうんですよ。で、オンラインのを見ると過去数か月以上前の遡れなくて、これはなんかエコ通帳に切り替えてくださいっていう風に言われてて、でも通帳は残したいしエコしつ非常にしたくないけどね。でもみたいなんかちょっと結構うまくでできてきてるとかこのユーザーが何か何かこう庁舎があんまりないなんていうまあ

口座の問題で言うとね。その通帳の問題で言うと確定申告などにねその必要になったりもしますから。しっかりとファイルとしてCSVファイルなどのそのアウトプットしやすいやつでちゃんと月ごとに持たせるとかそういった仕様には各銀行してほしいなっていう、あの要望あって有料になるんですよねこれからね。あ、そうですかねの数値を有料化していくことで電子化していこうというような病気になる訳ですね

今まではんネットバンキングは二年しか遡れないみたいなものが多かったです。そうだともう税金に使えないですよね最近ようやく三十年とかっていうふうに都市銀行も変わってきつつあります。

なるほど

それでようやく紙の通帳は要らなくなるのかもしれないですけど、実際はいずれにしてもそういった口座を確認するっていうことでいろんな被害にあってないかどうかをま確認しましたということが大事だこれは常々心掛けることが必要ではありますよね

そうですね。クレジットカードの不正も行われている時代なので、おおもととなる現金の口座のチェックっていうのは本当に欠かさずやってほしい

月に一度やってほしいですね

チキ：南部さんもね

南部：気を付けます

チキ：僕ももっと通帳起業してないからね

南部：メインで使ってる口座のことは注意が行きますけど、そうじゃない口座っていうのが、例えばちょっとだけ残っててもうメインじゃないからって、見てないところが私今回の別の不正引き出しだされてたので、気をつけてください。リスナーの方々もそういうなんか眠らせてる口座とかあったら

あと南部さんの被害回復の今後についてまた後日そうですね八心配だけ私もあったそうですはい

ドコモ口座ってどんなサービスか？

ラジオネーム帆立貝さんからのメールにいきたいと思います。

「今回のドコモの不正引き出しへどうやってできるの？今日のセッション特集しっかり聞いてますので、ど素人でも分かる放送をお願いします」というご要望です

頑張って聞き出します。例えば富永さんのこのドコモ口座というのはそもそもどういったサービスなんでしょうか

ドコモサービスというのはオンライン上のま銀行口座と言うか、実際の銀行のサービスはないですけどもドコモでの支払いｄ払いや、プリペイドのサービスはビザプリペイドはドコモがやっているサービスです。どちらを使えるまソレと紐づけあそこそれで使える口座とい

うんなるほどこれはあのー電子マネーをチャージして使うというようなまあの通常の

一度プールお金をプールしておくところですね。

なるほど。でもこの電子マネーということで言うと三上さん、やっぱりどこかの口座に紐づけたキャッシュカードと紐付けたりすると、自動チャージできるから買い物が便利ですよっていう格好になる訳ですか

そうですね。ドコモは今携帯電話事業だけでは食っていけないので多角化をしてるんです。その中でｄ払いっていうキャッシュレスコード決済のものはね、これ一番メインに据えているので、じゃそのｄ払いするから携帯払いだったりそういったもののお金の決済を銀行だけに頼るじゃなくて、ドコモ口座お金にプールしておくと後おいとことんそこからだったらでドコモ関連の決済とかは全部できるですよ、ということでドコモ口座っていうのを作ってあるんですよ。

なるほど。

このドコモ口座は先程言ったように、ドコモユーザーじゃなくても開設できるものなんですよ。これは他の何とかペイとかあれに似たようなものだと考えばいいですかね。

あのなんとかペイの仲間なのはｄ払いというやつで、ｄ払いみたいなキャッシュレスに入れるためのま下の為お金のプールです。今南部さんがほぼ目が上に行ってほぼ寝るような。。。。先程の富永さんの勧めでまどこまで持っている銀行口座みたいな思って取り敢えず架空の口座がって言うかあのエアの口座がそうですねでそこに何か?元々ある口座とこう紐付けていくと一回経由させるってことですか自分の口座からそう

なるほど。ドコモユーザーでなくても開設できるサービスというのは最初からだったんですか？それとも当初はドコモのユーザーだけどこまでの

電話の契約者だけですね。しかしドコモにとっては多角化したいのね他のユーザーを取り込みたいということでドコモ以外の人もどんどん使えるようにとふーんなるほどあのードコモのキャッシュレスがディーバ来いって言ってるのは何処持って言いたくないからです本っていうことでまねドコモのリーダーって分かりますよね。でもドコモキャッシュレスって言ったらどこの人しか使わないじゃないですか。あの女の人にも使います覚えてほしいから

普及させるために名前を変えてたんですね。でそうしたそのどこの口座を使って今回その不正な引き起こすし送金などがこうできてしまうということになっていた訳なんですけれどもその問題について今日ドコモ側が謝罪をしました。まずドコモ側の問題点を考えていきたいと思うんですね。というのは今回ドコモ側の問題だけじゃないところにも他にも問題があるのでドコモ側の問題があったあるところから行きたいと思います。富永さん今回認められたドコモ口座側の問題がどういったものなんでしょうか。

やはり実質メールアドレスでのみの口座開設が可能だったってどこが一番が問題視されているところですね。もうあの感じにこれフリーのメールアドレスです。グーグルのメールでした理由不明などですね登録することができるので、もう本人じゃなくても作れてしまうとい

いくつでも作れますよね。匿名でも。それからあの本人じゃなくても当然ながらたくさんメールアドレスを作ってで、カウントをこうドコモ口座に神引き紐付けをしたらソレができてしまう

他のサービスだと、特にラインペイとかですとまラインアカウントとまず電話番号持ってないと作れないじゃないか。なので後複数持つのにまず携帯の契約をまずしなきゃいけないところでまた本人確認これはなかなかこう全然本人じゃない人が作ることっては難しいですけど、このドコモ口座の場合はメールアドレスだけでできてしまうというのがやはりちょっと簡単にアカウントを作れてしまうってなった

どのような仕組みにすべきだったか

なるほどここは三上さん本来はどうしておくべきだったでしょうか

えーっと今の時代からすれば全部本人確認をする。本人確認をするってことはひとり一個の口座に限定するべきでしたね。ところがですねこれ大本の経緯がドコモ口座ってですね２０１１年にスタートしてるまかなり古いされたんですねで大本はですね。プリペイドの考え方ですプリペイドっていうのは例えば鉄道系のスイカとか古くはNTTのテレホンカードとかオレンジカードとか先にお金を入れといて、そのカードをあんたを持ってだから別にそれに本人確認も何も要らないじゃないですか。だったら別に本人確認しなくてもいいよねっ。ていう発想が別にあるですねそのためにドコモ口座だって別に自分がお金を入れて自分が使うだったらいいじゃん、とにかくに入らないじゃん。ということでゆるい仕組みからスタートしてます。ところがそこにキャッシュレス決済っていうのが載ってきましたとキャッシュレス決済っていうのはスマートフォンのアプリがあれば誰?でも自由にできてしまうという新しい仕組みを入れた硬めに本人確認がないのにそこに載ってきてるっていう不思議な仕組みになっちゃいますね。このドコモ口座はでも本人確認の仕組みはあるです。などのあるですでもその本人確認の仕組みは銀行口座の登録名ですなるほど

銀行口座を登録をしたならば本人だって事にしちゃった訳です

そうですでソレをしちゃった方になりすましで銀行口座の登録をすると本人確認した上にお金も取れるというとても不思議な状態になっちゃって

逸れて例えばあのー振り込んだ先の値コード番号を知ってる人とか当然いる訳じゃないですか。でそれと例えばパスワードを適当に当たりを付けてそれから当たったってなったらもう本人確認終了だしその口座もあるってもらえちゃうよってことにもなり得るわけですな

あの例えば今冗談でや南部さん。今あのーキャッシュカード口座番号と暗証番号を教えてくださいって言ってもし言ったとします。私は通常ソレを教えて貰っても何もできないじゃないですか。まあでも安心本放送だったらねでもカードはない。暗証番号教えて貰ったとしてもその情報だけど私は南部さんの口座からお金盗み取れません。ソレはキャッシュカードを持っているってことが一つの保証になってるから。でも実はこのドコモ口座と今回の銀行の提携これを使うと今貰った。南部さんの暗証番号と口座番号と名前で私はゆるゆる取れたってことですよね。

なるほど

ええ！？想定し得なかったのかしらって思っちゃいます聞いただけ

本当にそこはだからすごい話ねあのお金を使うために銀行口座を使う銀行口座を掴むために本人確認でも本人確認は銀行口座の登録というこうぐるぐるぐるぐる回っているという仕組みです

リバースブルートフォース攻撃された？

なるほど。もこれじゃあ口座番号と暗証番号をされていなければ大丈夫なのかと。いうとそうではなさそうですよね。その危険性はどうですか

このマンション番号は実際今回はま蒸れていないじゃないかと言われていて、まソレで使われて使われたのがやっぱりバースブルートフォース攻撃といったものやまちょっとあのま詳しいネットに、ネットというかプログラミングで孝くんで自動でコンピューターで自動でこう暗証番号をシラミ潰しに!こうそうだけで総当たりが出て行くと手法が取られたん?じゃないかとま今回言われてますね。なので、個人的に暗証番号漏れてないし大丈夫だと思っている人でも口座番号って結構請求書書いたりとか気軽にに入れてたりするじゃないですかーこれだけでも貰ってたっていう副業がないそうですね

あのーリバースブルーとボースってもう片仮名いっぱい並んでて超ややこしそうな名前なんですけど、やってることは単純です今に行って暗証番号を三回か四回間違えたらロック高中ソレは暗証番号を何度も弾道も試すという総当たり攻撃を阻止するためですよね。三回四回しか使えじゃ犯人側はどう考えてるかっていうと、どこかで流出した口座番号のリストがあったときたくさんも盗んでくるもしくはたくさん買ってきます。一万とかね千万人とかで

一個一個はそりゃ参加しかできないけどでもよく考えてみてください暗証番号って結構みんな同じものを使ってるんですよ、誕生日の三百六十五通りのどれかだったり、それからから二五八ゼロうんこれはえーっと十軒ああ電話のキーの上から順番に押してちていくのが二五八する方法キーの並び、それから奇数でいちさん!ごだんだとかそんな暗証番号みんな使ってる訳ですよね。

じゃないとかそうですね七多分その並びは銀行で怒られちゃってダメかもしれないですよね

だったら一万にいる人にその数三行などを試しますきっと誰か中よ誕生日でやるんだったら例えば入れなくていいする時ってありますよねそうなんだろ例えばあの三九七５とか誕生日にならないから、そういったものをあのー当たりにくいものだって配慮すればより確率の高い仕方で数字を当てることができそうではありますね。

そうですね。何で今回の場合は暗証番号がを固定する一番使われそうな暗証番号専任数万人試すと誰か当たっちゃうのでその口座から盗みましょうというよりか?普通は逆ですよね一つの口座に対していっぱい試すでもソレはできないので暗証番号やパスワードを固定して、懇談会の場合は口座みたいなことをするこれリバー東部後免線ブルートフォースのリバース逆側なやり方ですよっていう。

今回はあのー登録しようとした場合そのドコモ口座に登録しようとした場合暗証番号例えば三回間違えたらソレはそれでだめだよっていうふうになる仕組みにはなってたんだと言います。とそのになってたんですねなるほどだけどウェブだからプログラミングでじゃここからここまでのそのファイル色んな口座の生の番号が書いたファイルに対して上から順番にこの数字で全部試してみて。だーってやるっていうことができたら何千分の一ぐらいの口座には中っていうのと同じですね。しかもその口座の対象になるのは実際にドコモ口座に使ってる人じゃなくて、他の様々なっていうことなことになる訳ですよね。これ場合によってはこ口座番号が漏れてなくても口座番号って類推スタリア店番とかも含めやってることできるじゃないですか。ということは

その場合ま口座の名義まで分からなきゃいけ

名義は必要かあのーこれも実はえーっとやり方があってネットバンキングで振り込みをすると口座番号を入れると名義が出てくるっていうのでますね。ただ彼一日に三回とか限定されているのでま攻撃には使えない。

でもソレをコツコツやればリスト作れちゃいますよね。

そうですね

僕は例えば南部さんにね口座番号だけ聞いてて生さんに振り込んだら南部広めあてに送っていいですかって言ってるからありますここで名前とお金口座番号を少しこう悪いことに使おうと思ってる人だったら集めてる可能性も

銀行側も本人確認が甘かった？

それで集めといて先程の暗証番号固定の攻撃をすればできる。これですね、銀行も以下です銀行も銀行も駄目でした。今回やられた銀行は多くは三つか四つの情報で振替ドコモ口座へのお金の移動オッケーにしちゃってました。名前、口座番号、暗証番号場合によっては青年月日かこれを入れてしまえばできてしまうていたん?ですねまここのその本人確認が凄い甘いというところこれは銀行側にも問題があったんです。これってですね口座フリかえです。公共料金ですねはいはい家賃ですはいあれと同じです私たちで公共料金とか家賃っていうのは最初に申し込みをしたらあといちいち暗証番号を入れたりさんしたりしないじゃないですか。

最初ははんこいただこうやっぱりあの銀行員ですよね結構大事な手続きを窓口に行ってやったりしますよね

だからきちんと大事な手続きをしたからその後自動振替自動的に振り替えられてまあ信用してるからですね

便利ですよね

その便利な仕組みを今回使っててえ?ドコモ口座にその便利な仕組み相手を信頼してる自動振替をしちゃってるってことは、でもドコモ口座は今いるというに本人確認か物凄いへ作れるっていうことで銀行側をこれドコモ口座の自動振替オーケーにしたこと自体もちょっと問題がある

なるほど。ということは通常であればその引き落としのような仕組みを使うときは本人確認はしていきますよね。ところがドコモ口座と紐付ける場合はソレがショートカットされていた銀行が多くあるってことですか

えーっと地方銀行の中でその振り返っていうとこの本人確認はまちまちなんですよ。少ない情報でおっk－絵ところもあればちゃんと電話で確認する時もあれば洲本メールで確認するところもあればワンタイムパスワードが必要っていうところもあれば、銀行によってによって本人確認の仕組みで全然違うよさそうな子今回やられたのはその中で一番甘い人たち甘い銀行がやられてる

うん。そうか、となるとより危険な銀行とあまゆりリスクのある銀行とままだリスクがそこまで高いとされてない銀行が現在あると言えるわけですか

そうですねま、あの凄いアバウトですけどメガバンクみたいな大きな銀行をやっぱりワンタイムパスワードなり、その本人確認の仕組みがちゃんとしてるので、今回の被害に会ってない

うんなるほどでも富永さんのこのドコモ口座の話ってわりとドコモ側がやらかしてよねって話が注目されますけど、今言った銀行との関連がないってあんまりまだ注目されてはいますか？

いや結構銀行もま両方今責任をこうやっているような印象があるんですけども、名前がねドコモ口座っていうのでやっぱりドコモの問題だったんじゃないのってありますけどでも。地方銀行っていうと後住んでる地域に凄く密着した銀行だと思うので、そのセキュリティーが弱いから選べないってなかなかできないですよね。選択することを選択することはまそのセキュリティがいいか?なんかあんまりいまいちだなってことで選べないので、これは何かやっぱりユーザーは防ぎようがないというか?やっぱりここは銀行がちゃんと私ねユーザーを守って売れないとって思いますよね

実際やっぱりその地域に住んでるとまその銀行が強いからっていうことでそこを一体になるような状況ってあるわけですよね。となるとその地銀があのある程度のセキュリティを確保してくれないと、地方がこう狙われているという括弧二番予定になる訳ですよね。

確かにそうかもしれないですね

そうするとさまざまなその本人の努力で何とかしようがない部分でみんながこう被害にあってしまうてるっていう状況がある訳ですね。これ地方銀行はこのまどういった対応してるですかの被害があったということが確認されていると

えーっとまず被害が出。てるところはまドコモ口座との提携をま切っています。そっから新規登録できないようにドコモ側でもしていますので今現在は新たな被害は出ないはずです。ただしもうすでに紐づけしちゃってる人ドコモこうあ下野しちゃってる口座ドコモ口座と銀行口座紐づけしちゃってる場合はソレはまだ継続なってるんですね、

うん

場合によってはその犯人がもう紐づけしたままのものが残ってるからですよ。

これはでも自分の口座が紐付けられてるかどうか調べようがないですよねそのメールアドレスもフリーのメーカーとして取られてるものなので、口座からこう逆逆にアカウント後調べられる方法があればいいですけど、ドコモしかできない

被害に遭わないと分からないというところもあるじゃないですかかもしれないですね現場はちょっとそこはっきりしませんごめんなさい

となると総当たりでドコモのがドコモ口座なんかが紐付けられてるけど本当にそうですかっていうことを確認しなきゃいけないこんなもなるのですがどうなんですがそれでもや

そうではなくてその紐付けというのは結局え最終的には銀行側のサイトに飛ばしてやってるですね。ドコモこうだからなので銀行側が最終的に?え?振替のオッケーオーケーしてないということは記録は残っているので銀行側に問い合わせれば出るはずです。

先程の地銀のケースでもそうですか？

そうです地銀のケースでも同じです

なるほどとはいえこれサービスがじゃ一旦停止っていうことにまちょっと紐づけやめましたってなったら不便になる方も多いそうですよねそうですねあのーこの口座を例えばエト普通の口座は?仕事よプライベート用は?えーっとドコモこうみたいな使い分けをしている方もいらっしゃるかもしれね。そういう方はとても不便になってしまいます。

銀行も複数要素の認証が必要では

これは銀行が課題ということ富永さん、それぞれの人の在り方とかっていうことを根本から見直しが必要になるところもある訳ですか？

そうですねこれが義務化されていないですね二段階認証必ずするようにしなさいっていうことは彼の努力はそうですね向こうは賃金がこうお金をかけてセキュリティ強化するとなるとやっぱり銀行によっては差が出てきてしまうんで、これは社会的にこういった義務化しましょっていう話によくよくなっていくんじゃないかなと思いますけど

二段階だけじゃなくてその二通りの認証ですね。コレドコモ口座で紐付けられたって話ですけれども今のようなその地方銀行のわりと引き落としがそれなりに緩やかに緩くあのしている二段階認証がないような仕方でやっているものと、例えばまた緩いような仕方でやっているもし本やられてみたいなのが出てきたらこれ別のところにも飛び火する可能性は

ハイもしかしたら。もうねもうねやらないかもしれないが発覚してないだけだったら

なんとかペイは過去の事象から学んでいる

そういったものはあのーキャッシュレス決済本体は?結構そこは頑張ったです。っていうのはセブンペイの事件が昨年ありくださいで彼がもう今回と同じぐらい大騒ぎになって朝から晩までワイドショーがずっとソレをやるという感じですよね。だから説明をずっとして回ってました。あの時のあの時でバブルは稼がせてるってセブンティーンの旅をした。でえーっとその時にそれからもう一つ前にはペーペーのクレジットカード不正利用事件というのがあったんですよ。２年前年前にあったんですねなのでキャッシュレス決済本体は本人確認とかそれから二要素認証みたいな言うこともちゃんとやってる。でもそれに付随するサービスでたくさん出てきていて、例えばえーっとアプリでクレジットカードみたいな使い方をできますっていうサービスだったり、今回のドコモ口座みたいにキャッシュレス決済の上にある口座ですみたいなサービスみたいに、今このフィンティックって言って色んな形でお金を活用する色んな仕組みが生まれている。

ファイナンス関係のテクニックでフィンテック

そうですね。おっしゃる通りです。ででもそんなすごいことをやって、いるけれども大本は結局銀行なんですよね。現金があるね、ここの紐、付けは凄い最先端のフィンティックとか新しいびっくりするようなサービス、でもセキュリティーはどうなの。っていうサービスと古い銀行のシステムをすり合わせになっちゃうのでここで齟齬が生まれる

あとはそのー例えば番号総当たりなどで言うととはいえ例えば通帳千個正に番号を例えばその!手に入れたからこれを送ったりし、ましたって言ってに行ってびびび出さすがにテレビになるって言われるし、カメラでも取られてるわけじゃないですか。ただある程度匿名性が担保されたような仕方で総当たり方式などをし、たりするとこれまでできなかった規模の様々な不正引き出しが可能になりましたよね

そうですね、その意味では自動化、マクロっていうその自動化をやればまそのウェブサイト上の操作っていうのはもうとても簡単に自動化ができるので、ソレによって攻撃をしてるってパターンもあると

なるほど、李さんの方、からこんなのラジオネームセット内ジャクソンさんからなんですがそもそもどのようにして犯人はたくさんの人の口座から引き出せたのかがわかりません。

たぶんその番号の入試の方とどうやったのかどうやったのかについては富永さんその先程総当たり方式でまより確度の高い数字を入れていたのではないかというヒトの胚逸れま方法があるとはい他の方法ってあるんですかね?

犯罪者側の考えを類推するチキさん

他の方法は暗証番号に関してはまこれは今言われてたりばつブルートホース大池じゃないかと言われたん?ですけどその場所干支口座番号と名義の方ですよね今は結構あのー給付金の申請とかで、簡単にこう簡単にと言うかま口座を教えてください名前を教えてくださいっていうメールで、詐欺詐欺メールとかで結構入れて閉まったりとか、オンラインショッピングの場合クレジットカードがまいいですけどもまちょっと自分が知らない人実は自ら情報を保管した情報を提供してる場合もありますよね。そういえば最近はやっぱりこんそうですね給付金詐欺とか多いですからね。

今回の件も草木に使われそうですねそうですねドコモ口座にから不正にっていうことがあったので、そのちょっと確認するために口座番号口座番号を解いて入力していってくださいというが振り込みを押してくださいみたいな。

チキさんてあの犯罪者側の考えを類推し東京でもこういった時はそうなりますよね。

あのーそういう風にどこかのニュースを伝えるときもこれを機にあソレ使えるだじゃギリギリやってやろって昨日頑張った人とか居るような子じゃ始めちゃったうんねその

良くないけれどでもそういうふうにこうイメージできチャウ人ってうん即座前あのなって

ソレこそ特殊詐欺でそのま出し子とか受け子とかそうしたことをしている人たちのね話を聞いたりそうしたことを取材してる方が話を聞くと、やっぱりメディア取り上げられるとそこで学習するって仰ってましたね

あ、そうなんですね

だからセキュリティの問題を指摘することの大事さと即座に逸れに対して社会閣議を対応することの速度っていうものを挙げていくっていうやっぱ両方が必要になります

今銀行なので大変だと思いますけれども

可能性で三上さん?はいますか？

えっとま一つは今ショッピングサイトって話が出たん?ですけどショッピングサイトって銀行振込ね使えるところがありますね。銀行振込するイコール口座番号と名前は口座名義が出る訳ですねそこのショッピングサイトから例えば性悪説されて情報から抜かれた、もしくはんアルバイトの人が悪さをして情報内部で持ってたみたいなことであればま口座と名義っていうセットが出来上がりありますね。それで実際ショッピングサイト小さなさお店のサイトからの情報漏えいって結構あるので、あそこがやられた可能性もあるかもしれないですね。

うんなるほど。まいずれにしても私たち自分の口座の番号などがどうやってどこまで漏れてるのかってこれ確認できない訳ですよね

わかんないですね

だからセキュリティーリスクについて普段からどの程度なのか?ということが確認できない以上漏れてるかどうか、漏れてたとして不正にやってないかどうかっていうことを確認し続けていく。これは通帳記入とかをしなさいっていう最初の話に戻っちゃんですか

そうですね通帳起業していってもう

今オンラインで何か買い物とかなんとか便利になってるけどソレ情報出さないっていうこともまず不可能だなっていう気がしチャウですよね

あの親と思ったのは去年同じような手口で普通に引き出されていた件を受けてドコモが送金の状況百万から三十万引き上げるような対策を取ったってあるんですけど、これ被害規模を下げる対策ではあるけれども被害を避けるための対策ではないと思うんですがこの辺はどうなんだ

そうですね。あのーでもよくやられる手法なんですよ。あの例えばえーっとペーペーがクレジットカード不正で使われた時は利用限度額を下げる。で下げることによってそれで監禁のためにわざわざコストをかけてやる犯罪者が減るという考え方ですね。何で下げることは確かに対策にはなるただ根本的な解決策ではないですね。あのー本人確認はそもそもしないもの、ドコモ口座のドコモ以外の人っていうのはなのでまこれは町その理想な銀行で昨年あったと言われるえ蒲生これに対してドコモがちゃんと解決せずに放置していたから今回の事件に繋がったことは明らかです

終わったって言うかもう買っていったけどそれでもセブン系でもその予め元々社内では問題が指摘されていたけれども、その社内の情報をあげる感じあの獲物とか体のこの競争の中でなかなか言い出せない空気があって忖度だとかって言われたじゃないですか重なりますね。

そうだと思いますあのセブン系の時も一緒にあれ攻めを作った人たちはちゃんと二要素認証とかのSMS認証をちゃんとしようとしてたですでも会社の判断でセブンイレブンアプリという古いアプリに載せちゃった。この古いアプリこの古いアプリがその二音素認証とかSMS認証をやってなかったなので、そのトップの判断で左右に無理やり入れちゃったからやられてしまうからですね。今回も古い口座振替っていうサービスはその水道電気に使ってたそこにキャッシュレス決済でまアプリがあれば誰でも使えてしまうという孫の新しいかつ匿名性が高いようなサービスを結びつけちゃったんで、無理が

じゃあということでどう対策すればいいのかはお知らせの後。

＜CM＞

今夜のメインセションはドコモ利用者以外お被害に遭う可能性。ドコモ口座を悪用した預金の不正引き出しが拡大。問題が起こった背景と対策を考えるというテーマでITジャーナリストの三上洋さんと同じくITジャーナリストの富永彩乃さんをスタジオにお迎えしています

前半のとてもわかりやすいまとめ

ここまで色々話を伺ってねあのーだいぶ分かったんですけれども複雑だったのであの最初の辺りの話も忘れたって方がいるかもしれないのでもう一回あの僕なりに理解したものをあのー整理ますので間違いがあったら人からあの子指導してください。まずあの今回ドコモ口座であのーさまざまな被害を受けたと報じられてますがこれはそのドコモ口座というサービスを使ってない方でも被害に遭い遭いえます。でどういったような方がその被害にあうのかと言うとま口座番号や名義が何かしらの仕方で犯人に知られている人、でもソレもどの人が被害になっているかということは自分では確認することができません。だから極端な話あのドコモ口座のサービスの対象になっている口座を持っている方であれば被害には会う可能性があったということになる訳ですね。

なぜそのようなことになっていたのかというとそのドコモ口座と銀行の口座を紐付けるそうしたのことができてしまうその仕組みのドコモ口座側でそもそもメールアドレスだけで口座を開設できてしまうというそうした非常にずさんな状況がまず初めにあった。それから銀行口座と紐付ける際に銀行口座によっては本人確認というものの手続きをほぼしないような仕方でまドコモ口座と紐付けが可能なような状況があったということにもなる。じゃ暗証番号などどうパスしたのか?っていう点で言うと一つの仮説として出ているのはたくさんの方の口座を総当たり色んな番号を入れてあのー試していくことによってどなたかは当たってしまうだ!からある意味ロシアンルーレットで当たってしまった方は被害にあうその順番待ちをしてしまうような状況がま最近まで確立されていて、今、銀行側とそれからドコモ側が一生懸命対策中さーどうなるかって。この理解やってますかあってましたか

良かったですね素晴らしいということなんですけど

じゃどうすればいいのか?っていうようなことでいろんな課題があるんですがその前にそのー今僕が説明した話だとその自分自身の卵性番号とかあるいはその口座番号を誰かに教えてなければ大丈夫というわけではないというに説明したんですよねはいそれぞれですところが今日改憲でですねえドコモの丸山誠司副社長がこの問題の防衛策について問われた場面でこういった発言があったんです

ドコモの会見から見える問題

テレビ朝日の平本と申しますよろしくお願いいたします。あの今回のドコモ口座でのこの問題あのー一番驚きだったのはドコモ口座を持って要は持ってないからそもそもここの存在をす知らない人でもただ銀行でお金預けてるあのー善良な市民が、もしかしたら急にお金を三十万に浮かれてるかもしれないということが一番驚き、この問題だったんじゃないのかなと感じているですけれども。自分の口座が今、このどこ問題で被害に合ってないということを確認しし。たい場合には通帳を見ておかしな引き出しがないということを確認するしかないでしょうかというのが一つと、あのーこの被害に遭わないために何かこちらの消費者側があのー防衛策としてできることというのはあるもんなんでしょうかこの２点を教えてください

あのー結論から申し上げるとまあの今おっしゃられた通りえーっと本人がお持ちの通帳あるいはまあもし電子取引をやられてる方であればあまそちらの方で段落と確認できると思いますのでそこで取引履歴等をチェックいただくしかないという風に思います。でま一番重要なのはご自分がお勿論まこのケースというと暗証番号ですとかそのいわゆるその自分の銀行口座にアクセスするあるいはそこを操作する為に必要な情報をあのー決して。他に漏らさないということが一番重要であるという風に認識してございますので、そこのところさえ注意して頂ければあのお特に問題はないのかなという風に思っています。

防衛策ががあればと思ってます

えーっと防衛策も今申し上げたことのほとんど延長線上になるですが。やはりあの!ご自分のあのパスワード暗証番号とはきちっとあの秘匿をしていただくということと、それからあのーまそういうものをにアクセスしようとする方々やっぱりあのフィッシングメール等が結構あの一つの形としてあるので、そういうメールには十分注意をいただくあるいはそういうことを排除するようなセキュリティツールを使っていただくというのが、一般論になりますが早道かなという風に。考えます

はい。てわけで暗証番号を抑え漏れてなければ基本的には大丈夫という出身のことを、今日の改憲では言われたんですが富永さんそうなんですか

いえま今話題になっているのは自分が漏れてなくてもまこういった暗証番号をね当てはめてあの曲にアクセスできてしまうというのは問題なんていうのでこれまだちょっと認識がまだ擦り合わせてないのかな?っていうのは思いますね。

だからここでその課題とあるの地であるのはドコモ口座のそのセキュリティ側の甘さと、それからの地銀などを中心としたま銀行側のそのー認証システムというものの改善という点に加えて、その問題に対して対応しますという会見で問題を把握していないのではないかというようなそのドコモの経営陣側のその対応やガバナンス能力の低さというようなこともこれでてきてしまうた訳ですか

もう今回の会見はもう本当に、言うことはドコモが本人確認しません、でしたごめんなさい以外のこと何一つやってないですよ、そうやって頭を下げよというだけなのでへこれ改善するちゃんと原因究明するつもりがあるのか?どうか?っていうのはちょっとなどですね。だって暗証番号すれば思っていれば大丈夫ですって全然違うでしょうね。ま多分多分一応便代名詞てあげるとですね一般的な対策としてはそれでも思ってくださいって言うつもりだったとは思いますが、でもま明らかにあそこで言うべき発言ではないですね。

でなおかつ今例えばそもそも四桁の数字のあのー認証っていうのは時代的にも古くないかというようなことも色々言われたりもしていますよね。この辺のそのセキュリティー対策の位置付けについてはどうですか

はいあの四桁がすべてダメというわけではないですよ。今必要とされているのはですね複数の要素で認証しましたというと。まず私達のパスワードとかっていうのは知識ですよね。自分が頭の中にあることこれが一つの要素。二つ目の要素は持ってること所持です。キャッシュカードを持ってます電話期末ぶつぶつが手元にある。なのでパスワードを入れた上で電話番号にショートメールが来れば知識と所持という二つの要素で認証してる。二つの要素があればいいでしょって言うと。もう一つ三つめの良さ生体ですなので例えばでは最近指紋で下ろせるところもありますのでこういう複数の要素を取っていけばいい訳ではい。実は私たちのキャッシュカードってその二音素認証キャッシュカードは物理的なカードですよねそしてもう一つ知識の暗証番号を入れるなので二つの要素があるので彼の場合は四桁の数字でも大丈夫っていう話です。

うんなるほど。登録本会はその要素というものが一個になったその四桁数字だけになるとこれちょっとがガバガバだよね。いつも出た訳ですから知識一つだけでやってしまうたので一要素しかなかったので犯人にやられてしまうたというこの要素の少ないままでいいという風にしたのは地銀の引き落としの情報渡しの時の一つの甘さってことにもなる

その通りです

今後の課題 行政・立法を交えたルールづくり、保障など

ちょっと富永さんこれ今後の課題なんですけれどもま銀行側の課題とドコモ側の課題とまそれからあのより広くその情報環境のま行政とかはルールづくりの課題などもあると思うんですが、それぞれどんな課題がありますかね

そうですねドコモ側はもうやはりを複数のアカウントひとりがこうモテないように一人にひとつの感じが作れないようにするようにしていく事が、あと番号での日本人認証ですね子供がでも人ですしあとは地方銀行の方でも本人認証の方は必ずするって言った、義務付け怒らはま行政がしていく必要が本をあると思います。

うんなるほどまどこに置いてもやっぱりそういったあの認証を深めていくということとまルールづくりということになる訳ですかね

でもやはりユーザー側からするとまちょっと面倒くさくなるなとは思うんですけど。もうユーザーは?もうやっぱりこれは必要なことだとなんかこれこれ本人確認ないだけど大丈夫かな?っていったまたこのま疑いを持つとかじゃ自分のセキュリティーの認識をちゃんと持つっていうのが大事だと思いますね。何か今回あのー?私の親世代の中高年の方とかはなんか俺現金主義だし大丈夫とかはスマホを使ってないしあのー多分被害に全然あってないね合う可能性が全然ないって思ってる方ほど多分狙われる可能性が高いので、もう必ずここはあのー自分の通帳記帳していただいて、不正利用されてないかっていうの確認等ですね。もうそのまま持ってない方こそ必ずチェックしてほしいと思います

今回持ってるか持ってないかって関係ないです関係ないですよね。

ネットバンキングやってるかってなんかもう関係ないのでもうこれはみんなに親の中でもま聞いてるわねリスナーさんの親世代の方にもちょっと確認した方がいいよっていうかが欠けていたそうですよね。

そうですね銀行でさらにそのテストになったりもするからすごいね余計に時間がかかりますよ。などなど課題ありますねでも今キャッシュレス決済推進って世界政府言っててるじゃないですかその辺を上をいや季節デジタル家を作るとか責任やるとかって課題も見えたりする中でただその政府もあのー色んな給付金の手続きがデジタルでなかなか完結できないとかそもそもコロナの感染者数の確認ファックスでやってるとか、結構泣かない山積みですよね

もう明らかにデジタル後進国っていう感じですねでこれもその古い仕組みと新しいシステムの齟齬っていうのが結構いつもあって、そのマイナンバーカードもそうでマイナンバーカードも大本の仕組みがかなり古いですね。そこに色んなものを乗せていかなければならないので、ちょっと面倒くさかったり、そういう例えばブラウザも特定のブラウザーなきゃいけないとかっていうことも起きたりする

インターネットエクスプローラーは何だかな?ほか以上みたいな以上じゃないからいいか

インターネットエクスプローラーだって言って今もう誰も使ってないのにどうやってやるのみたいなところがあってないなあの改善されつつあります今努力でね。でもやっぱりそういう古いシステムと新しいものそしてセキュリティというものをこう両立させるのは凄い難しいですよね。

なるほどこれ行政のルールを作るとするならばあのどんなルールがあるいはどんな指導が必要だという風にも思いますか

本人確認の最低ルールみたいなものの一つが作ることですよね。今言った例えば三要素の二つは必ずやりなさいみたいなそのルール作りが必要かもしれはいまああとはですね保証のルールも彼にちゃんと決めたのはありそうな気がしますね。あの今回も今日ドコモは全て保証します。掛かった利子や手数料も保証しますと言いましたが言うまで本当にするのかなってみんな考えちゃった訳です。決して副菜っていうのは現金よりも完全に便利に使えることがメリットなので絶対に保証するだと保証が前提じゃないキャッシュレス決済事業者はもうやめなさいっていうぐらいな補償のことを強く言うべきなのかなという気もします

富永さんはどう見ますか？

そうですがやはりあのー三上さんが言ってるように、保証がやはり皆さん気になるところでこれ発表するまでみんなどんなだったらどうなっちゃうのっていうのをま言ってたのでここはあのーもうほ、法律行政は白日にそこはねあのー保証しなさいっていうのは言ってくれたかユーザも安心ですしまどんどん淘汰されていくと思うんですよ。今いっぱいペイがあるのでまソレがちゃんとその条件をクリアできるところだけ生き残っていくと思うので、ユーザーがもうそのソレをちゃんと見極める力をこう見てもう、これから育てていくというか、ね色々使ってみてもわかることもあると思うんですけども。

あとは個人的には保証とまた別の賠償っていうものをどうするのか?というのもありますよねサービスが使えないその間取引ができない不安に陥られたとか、色んな作業をしなくちゃいけなかったという課題に対してどのように対応するのかが一点と、あるこうした問題に対してその例えば報告書を出すことを義務付けるとか、第三者を交えて様々な調査をすることを義務付けるとか何かこう問題が発覚した時のその対応の仕方の最低ルールみたいなものもおお可能で例えばしゃ会社の不祥事って他にも色々ありますけれどもそうしたらその観点が必要かなと思いますがそこはどうですか?

今そこを考えられているのがセキュリティーのところですね。不正アクセスとか企業の情報漏えいとかそういうセキュリティがあった時に、一定のルールで報告書を出しましたとか、ある程度情報交換しなさいよということは言い始めています。トラブル対応っていうところもねある程度こうベースラインを決めてこれは最低やりなさいよということは必要かもしれないですね。

その辺のさらに行政はま立法などもね必要になってくる場面もありますのでまあの銀行、ドコモに加えてま行政政治の動きも含めて見ていきたいと思います。、がまずは皆さん自分の口座はどうなってるか確認してください。