2020年9月、ドコモ口座経由で銀行の口座から不正に現金が引き出される事件が発生しています。
2020年9月8日時点ではあまり大きく取り扱われていませんが、実はこれは大事件です。
だって、勝手に自分の口座からお金が引き出されちゃうんですよ、あり得ないです。
しかも、多いケースだと一度に数十万円!!
また、ドコモ口座自体がマイナーなため、間違った情報がとても多く出回っています。
docomoユーザだけが被害に遭うとか、ドコモ口座使ってなければ問題ないとか、嘘ばっかり。
そもそも、ドコモ口座という名前から、ドコモ口座は銀行口座と勘違いしている人が多すぎ。
実は今回の事件、ドコモのスマートフォンを利用しているかどうかは関係ありません。
というか、スマートフォンを持っていようがいまいが全く関係ありません。
また、ドコモ口座の利用も関係ありません。
というか、電子マネーを利用したことがあろうかなかろうかも関係ありません。
要は、「ドコモ口座にチャージできる35の銀行は、すべて勝手に口座からお金を引き出される恐れがある」ってことです。
これ、かなりヤバイですよね。
私は幸か不幸かドコモ口座を利用していて、それなりに経験があります。
今回の事件について、まだ不明な点が多いのですが、注意点をまとめておきます。
Contents
ドコモ口座を利用した銀行口座不正利用の問題点
2020年9月に発生した「ドコモ口座を利用した銀行口座不正利用」は、実はとても大問題です。
結論から言うと、「ドコモ口座にチャージできる35の銀行は、すべて勝手に口座からお金を引き出される恐れがある」ということです。
今回問題になっているのは、「ドコモ口座へ銀行口座からチャージする」という経路です。
ドコモ口座は、「口座」という名前がついているので勘違いされがちですが、実は銀行口座ではありません。
ドコモ口座は、チャージした金額を上限に、d払いやプリペイド方式のVISAカードを経由して各種支払いが可能です。
つまり、どちらかというと電子マネーに近い存在です。
なので、ドコモ口座を利用する場合は、原則チャージをして利用可能な状態にする必要があります。
チャージの方法は色々あるのですが、今回問題となったのは、銀行口座からドコモ口座にチャージする方法です。
この「銀行からドコモ口座にチャージする」ステップがザルで、「第三者が、勝手に赤の他人の銀行口座から、不正に作ったドコモ口座にチャージ」することができちゃいました。
これ、言い換えると「第三者が勝手に自分の口座からお金をおろすことができる」ってことです。
ありえないですよね。
ドコモ口座の不正利用被害にあう可能性がある金融機関
今回のドコモ口座を利用した不正利用は、「ドコモ口座へ銀行口座からチャージする」というシステムを悪用しています。
なので、ドコモ口座へチャージできる金融機関は、程度の差はあれ不正利用される可能性があります。
ドコモ口座へチャージ可能な金融機関は、次の35銀行です。
- みずほ銀行
- 三井住友銀行
- ゆうちょ銀行
- イオン銀行
- 伊予銀行
- 池田泉州銀行
- 愛媛銀行
- 大分銀行
- 大垣共立銀行
- 紀陽銀行
- 京都銀行
- 滋賀銀行
- 静岡銀行
- 七十七銀行
- 十六銀行
- スルガ銀行
- 仙台銀行
- ソニー銀行
- 但馬銀行
- 第三銀行
- 千葉銀行
- 千葉興業銀行
- 中国銀行
- 東邦銀行
- 鳥取銀行
- 南都銀行
- 西日本シティ銀行
- 八十二銀行
- 肥後銀行
- 百十四銀行
- 広島銀行
- 福岡銀行
- 北洋銀行
- みちのく銀行
- 琉球銀行
このうち、2020年9月9日時点で不正利用が発覚しているのは、七十七銀行、中国銀行、東邦銀行、滋賀銀行、鳥取銀行、大垣共立銀行、紀陽銀行、みちのく銀行、イオン銀行、ゆうちょ銀行の10銀行です。
現在調査中なので、これから被害銀行はどんどん拡大する可能性があります。
銀行によりセキュリティのレベルが違うので一概には言えませんが、「ドコモ口座への銀行口座からのチャージ」が悪用されている以上、この35銀行については不正利用される可能性があると考えるのが自然です。
ちなみに、今回の不正利用を受け、ドコモ口座の公式には、「一部銀行の銀行口座登録および銀行口座変更の申込受付停止について」というお知らせが発表されています。
- 2020年9月5日(土)0時停止:七十七銀行
- 2020年9月8日(火)0時停止:中国銀行、大垣共立銀行
サービス停止の理由について記載は一切なく、不正利用についての注意喚起もありません。
【2020年9月9日追記】
取引停止銀行が追加され、計18銀行の「チャージ先口座の新規登録」、「チャージ先口座の変更」ができなくなりました。
取引停止された銀行は、逆に言うと「被害に遭っているリスクが高い銀行」と言い換えることができます。
なので、ゆうちょ銀行、イオン銀行、池田泉州銀行、大分銀行、紀陽銀行、滋賀銀行、仙台銀行、第三銀行、但馬銀行、鳥取銀行、北洋銀行、みちのく銀行、伊予銀行、東邦銀行、琉球銀行は、特に利用明細のチェックが必要です。
【2020年9月10日追記】
全ての銀行において、「チャージ先口座の新規登録」、「チャージ先口座の変更」ができなくなりました。
あくまで停止されたのは新規登録と変更のみで、既に登録済みの口座は生きています。
つまり、既に被害に遭っていた場合は、これからも抜かれる可能性があるってことです。
ドコモ口座が不正利用された理由と原因
今回、ドコモ口座経由での銀行口座不正利用は、9月3日にはTwitterで問題になっていました。
一番最初に発覚したのは仙台市の七十七銀行での不正引き落としでしたが、当初は
- 七十七銀行:うちは悪くない、ドコモが悪いんじゃね?
- docomo:うちは悪くない、七十七銀行が悪いんじゃね?
と、どちらも自分の非を認めていませんでした。
この責任のなすりつけあいが、初動の遅れにもつながってます。
まあ、ドコモに関しては現時点でも「うち悪くないし」ってスタンスだけど。
少しでも問題を感じれば、ユーザーにメールなどで注意喚起したり、ドコモ口座自体を全凍結するはずですからね。
これだけ問題が大きくなっても、まだドコモ口座へのチャージ、送金、ATMでの引き出しが可能なのは理解できません。
ドコモ口座への銀行口座経由チャージが狙われた理由は、現時点では不明です。
ですが、
- dアカウントは誰でも、本人確認なしで、いくつでも作れる
- dアカウントがあればドコモ口座を作れる=ドコモ口座は本人確認なしで作れる
- 被害にあった銀行では、ドコモ口座へ銀行口座からチャージする際、口座番号と暗証番号がわかればそれだけでOKだった
- どうも、「暗証番号を固定して口座番号を変える方法」を使えば、無限アタックができたらしい
この辺りが原因だったぽいです。
推測の部分も多いですけどね。
まあ、この辺りはそのうち明らかになると思います。
問題なのは、9月8日時点で、まだ悪用される可能性が継続しているってこと。
なんでドコモ口座を即時全凍結しないのか意味不明。
ドコモ口座の不正利用被害に遭わない方法
ドコモ口座経由での銀行口座不正利用の被害に遭わないためにはどうしたらいいのか?
現状、ドコモ口座へ銀行口座からチャージ可能な35の銀行については、残念ながら不正利用の可能性があります。
スマートフォンがドコモ以外でも、ドコモ口座を持っていなくても、電子マネーが嫌いで使ったことがなくても関係ありません。
単純に、対象の35銀行の口座をもっていれば、不正利用の被害に遭う可能性があります。
もちろん、しっかりとしたセキュリティを確保している銀行は問題ないかもしれません。
被害が発覚した銀行が、特別にしょぼいセキュリティだったのかもしれません。
ですが、被害があった仕組みが判明していない以上、上記35の銀行は危ないと考えるべきかなと。
あと、気になるのは、「銀行口座と暗証番号」がわかれば勝手にドコモ口座に銀行口座からチャージできるようなのですが、犯人はどうやって銀行の口座番号と暗証番号を手に入れたのかってこと。
考えられる方法は3つで
- 銀行がやらかして口座番号と暗証番号を流出させた
- 銀行以外が口座番号と暗証番号を流出させた
- ドコモ口座自体が口座番号と暗証番号を流出させるツールになった
なのですが、いずれも大問題です。
私は1つの銀行が被害に遭う可能性があったので、速攻でお金を他銀行に移しました。
今回のケース、被害にあった場合は補償を受けられない可能性が結構高いと思います。
補償があったとしても、「ドコモが悪いvs銀行が悪いvsユーザーの暗証番号管理が悪い」ともめるのは確実。
自己防衛のためにも、35の銀行を使っている場合は、とにかく銀行の利用履歴をチェック、「ドコモコウザ」という見慣れない引き落としがないか確認しましょう!
被害があれば速攻で銀行、ドコモ、警察に届け出。
被害がなければ、とにかく銀行口座の暗証番号を変更しておくのがおすすめです。
不正の原因が「口座番号と暗証番号の流出」であれば、これで防げます。
ただし、ドコモ口座自体がクラッキングツールだった場合はお手上げですけどね。
う〜ん。
ほんとにヤバい案件。
【2020年9月9日追記】
「ドコモ口座を既に利用していれば不正利用の心配ない」は間違い
ヤフーのニュースに、「ドコモ口座利用者は不正用の心配なし」とか書かれてますが、これは間違い。
「同一の銀行口座を複数のドコモ口座に登録することはできない」というのが根拠みたいですが、実はドコモ口座は口座登録しなくても使えます。
私も口座登録してないし。
なので、正確には「ドコモ口座に口座登録を既にしているユーザーは、その口座については不正利用の心配なし」です。
今回の件、大手メディアでも嘘や間違いが多いので要注意です。
今回のドコモ口座不正利用の原因の1つは、「ドコモ、銀行が相手を信用しすぎた」こと
今回の不正利用の原因は、ドコモ口座へ銀行の口座からチャージができるというシステムです。
実は、ドコモ口座へチャージできる銀行口座の登録手続きは、途中でドコモのシステムから各銀行のシステムに切り替わります。
ドコモからすると、「銀行のシステムに引き渡した後は知らね。銀行さんでしっかりした本人確認とかするよね。」※実は一部銀行では口座番号と暗証番号だけで設定できた
銀行からすると、「天下のドコモさんだから、ドコモ口座作成者の本人確認とかしてるよね。」※実は本人確認なし、メールアドレスだけで作り放題
この認識の違いが問題の根本にある気がします。
実際、不正発覚の初動では、お互い自分は悪くないし的なスタンスだったし。
https://twitter.com/ymnykatsura/status/1301515369786605569
このような経緯を考えると、不正利用された後の補償もかなりもめそう。
ドコモが悪いのか、銀行が悪いのか、はたまたユーザーの暗証番号管理が問われるのか。
被害にあった銀行と被害を防げた銀行の差は?
今回、被害を受けた銀行と被害を防げた銀行があります。
この差はいったい何だったのか。
詳細は調査中ですが、どうもドコモ口座へ銀行登録する際のセキュリティの違いが大きかったようです。
前述したとおり、ドコモ口座への銀行口座登録は、登録途中でドコモのシステムから各銀行のシステムに切り替わります。
切り替わった後、銀行によっては「口座番号+暗証番号で登録OK」、「口座番号+暗証番号+その他認証コードが必要」と取り扱いが違いました。
今回被害にあった銀行は、「口座番号+暗証番号で登録OK」の銀行だと言われています。
一般的な銀行では、オンライン振込の時にはワンタイムパスワードの利用など、高いセキュリティ技術が利用されています。
口座番号と暗証番号だけで振込できるとかありえないです。
ですが、「チャージのための口座登録」に関してはハードルがかなり低いことがあります。
今回問題となったのはまさにこれで、「口座番号と暗証番号だけでOK」というのは、かなり問題ありですよね。
このセキュリティの甘さを犯罪者につかれた形です。
あと、今回はドコモ口座が犯罪のツールとして使われましたが、「銀行口座からチャージできる〇〇Payなどのキャッシュレス決裁」についても危険性があります。
特に、既に被害にあっている口座は、口座番号と暗証番号が犯罪者に知られています。
なので、他の〇〇Payへのチャージが、「口座番号と暗証番号の登録だけでOK」な銀行は、色々な電子マネー経由でお金取られ放題になる可能性もあります。
これ、相当ヤバいです。
「チャージのための口座登録が口座番号と暗証番号だけでOK」なセキュリティの緩い銀行は、全ての決済方法について銀行チャージを即時停止すべきです。
まあ、ドコモ側の「誰でも、本人確認なしで、簡単にドコモ口座が作れる」って仕様もどうかと思いますけどね。
被害上限は1か月で30万円
ドコモ口座への銀行口座からのチャージは、1か月で30万円が上限です。
一度にチャージできるのは10万円が上限なので、被害額はMaxで10万円×3回=30万円ってことになります。
口座残高が丸ごと抜かれることはありませんが、30万円は大きいですよね。
口座残高が10万円未満の時は、小出しでしっかりと抜かれるようです。
https://twitter.com/tokkuri_tktk/status/1302547126635753472
ドコモ側の対応がまあまあ上から目線な件
今回の不正利用については、「ドコモ口座が簡単に他人名義で作り放題」というのが原因の1つであることは明らかです。
ですが、ドコモの対応はなかなかの上から目線。
ドコモからのお知らせには、こんな記載が。
NTTドコモ公式サイト:https://www.nttdocomo.co.jp/info/notice/page/200908_02_m.html
う~ん。
文章には「お客様」という表現があるのですが、強烈な違和感を感じます。
だって、ドコモのスマートフォンやサービスを使っているかどうかに関係なく被害が発生しているので、発信する相手は「ドコモのお客様」だけではないですよね。
最低でも、対象の35銀行の口座をお持ちのお客様だよね。
あと「うちは悪くないし」ってのがにじみ出る文章。
発表すべきは「ユーザーが何に注意すべきか」なのに、その視点が全くないのが恐ろしいです。
銀行の対応がなんか他人事に感じる件
なんか、一部の銀行は、今回の事件を他人ごとと受け止めているように感じます。
たとえば、被害があった中国銀行のお知らせはこんな感じ。
中国銀行公式サイト:https://www.chugin.co.jp/news/789.html
このお知らせで、今回の事件の重大さがわかる人がどれだけいると思います?
なんか「うち悪くなしい」的なことを言いたいだけに感じます。
大切なのは
- ドコモ口座を持っていなくても、中国銀行に口座を持っているだけで不正引き落としの被害にあう可能性がある
- なので、すぐに通帳記入をして明細を確認して欲しい
- 不正引き落としされた場合、明細に「ドコモコウザ」と記載される
こういうことだと思うんですけどね。
ドコモの公式にしても銀行の公式にしても、ユーザーのこと全く考えてないのがよくわかります。
ってか、「既にドコモ口座に当行口座を登録済みの場合は、チャージ機能を引き続きご利用いただけます」って正気ですか?
そこは即座に停止だと思うし、PRするのはこれではない。
なんか感覚がずれてる。
まあ、こういう時に企業の本質がわかるので、皆さんよく覚えておきましょうね。
ついにゆうちょ銀行でも被害発生を確認!
2020年9月9日、ついにゆうちょ銀行でも被害が確認されました。
これで、被害が確認されたのは、七十七銀行、中国銀行、東邦銀行、滋賀銀行、鳥取銀行、大垣共立銀行、紀陽銀行、みちのく銀行、イオン銀行、ゆうちょ銀行の10銀行となりました。
この中で、実はゆうちょ銀行での被害は大きな意味があります。
ゆうちょ銀行は、ドコモ口座へチャージする際には、口座番号、暗証番号に加えて、生年月日も必要と、他の被害があった銀行より1項目必要事項が多かったんです。
にも関わらず被害があったということは、「犯人が被害者の生年月日まで知っていた、または知ることができた」ということになります。
口座残高が0円でも被害に遭う可能性がある
口座残高が0円だと被害に遭わないから大丈夫!と考えがちですが、実は違います。
条件が合うと、口座残高が0円でも被害にあう=口座残高がマイナスになることがあるんです。
この、残高0円なのに更に引かれてマイナスになることを、「総合口座の当座貸越」と言います。
総合口座の当座貸越とは、銀行のサービスの一つで、「普通預金の残高がない場合でも、定期預金の残高があれば、定期預金を担保として借入れができるシステム」です。
一般人にとっては、なんて余計なサービス。
これされると、残高0円でもドコモ口座経由で不正にあうと、気が付けばマイナス30万円ってこともあり得ます。
なので、総合口座(普通預金と定期預金がセットになっている口座)を利用している場合は注意が必要です。
あと、銀行によっては、「残高0になったら自動的にローン組んであげるぜ」的なサービスがあります。
例えば、スルガ銀行の「自動貸越サービス」がそれ。
https://www.surugabank.co.jp/surugabank/kojin/service/jidoukashikoshi_toza/
私も知らなかったのですが、コメントで教えていただけました、ありがとうございます。
という訳で、「残高0だから大丈夫だぜ!」はちょっと危険。
実際、マイナス17万円になってる被害者がいたようです。
https://twitter.com/arakistic/status/1303578146281676800
【2020年9月10日追記】
現時点では、心配されたほど被害状況が拡大していない
色々なところでドコモ口座の不正利用が取り上げられ、各銀行の被害状況もわかってきました。
結果は、「意外と被害は少ない」というのが第一印象。
現時点では、
- 七十七銀行、中国銀行、大垣共立銀行、鳥取銀行:数件
- 東邦銀行、滋賀銀行、紀陽銀行:みちのく銀行:1件
と、心配されたほどの大規模被害はありませんでした。
被害総額は約1,000万円、被害件数が約34件なので、1件当たり約30万円の被害ということになります。
犯人はドコモ口座のチャージ限度額30万円を目いっぱい使ってます。
今後、調査が進むとさらに被害が増える可能性もありますが、初動対応がお粗末だった割には被害が少ないと思います。
なんせ、最初の被害確認が9月3日ですからね。
銀行側の最低限の対応も完了しているので、ひとまず慌てて銀行からお金をおろしたりする必要はないと思います。
ただし、テレビでの報道が少なすぎなのは、どういうことかな~。
35銀行全てでドコモ口座への新規口座登録を停止
NTTドコモは、ドコモ口座への新規銀行口座登録、変更を、全ての銀行で停止すると発表しました。
停止措置は、9月10日午前0時からとなっています。
もともと35の銀行口座からチャージ可能なドコモ口座ですが、既に18の銀行は新規登録を停止していました。
今回の措置で、ドコモ口座への新規銀行口座登録は全て停止されたことになります。
う~ん。
ドコモさん、危機管理がへたくそ過ぎませんか。
ここは最低でも「全ての銀行口座からのチャージ停止」ですよ。
チャージ先口座の新規登録、変更だけ停止しても意味ないです。
だって、既に第三者の口座が登録されていたら、この後も抜き放題ってことになりますよね。
こういう時は全ての可能性をつぶさないとダメです。
というか、ここまで悪評が知れ渡ったドコモ口座は、どのみち廃止しかないです。
最近はドコモとしてもドコモ口座はお荷物的な存在だったし。
ちょっと前まではドコモ口座に結構力入れていて、「ドコモ口座にチャージすると20%増量」とか「ドコモ口座経由で支払すると20%還元」みたいなキャンペーンが多くあったのですが、ここ数年は全くなし。
ドコモもやる気ないなと思っていたらこの大失態。
「原因が判明するまでは、スパッとドコモ口座の機能をすべて凍結」が最善の手だと思うんですけどね。
これ、目先のこと考えて大損する典型的なパターンではないかと。
2019年5月にりそな銀行で同様の被害が既に発生していた!
2019年5月、りそな銀行で同様の手口を使った被害が発生していたようです。
この被害を受けてか、りそな銀行はドコモ口座のチャージ対象銀行から撤退、今回の被害から逃れています。
ある意味賢い。
一方、この事件を受けてドコモは
- 銀行口座からのチャージ上限を最大100万円⇒30万円に減額
- 銀行口座への払い出しを1回10万円(回数制限なし)⇒1回2万円(5回まで)に制限
という対応をしています。
一番の問題点であった「メールアドレスがあれば、偽名でいくつでもドコモ口座を作成可能」という根本的な問題は放置して、「抜かれるお金の上限を100万円から30万円にしました!(キリッ)」という対応。
変更適用は2019年9月1日だったのですが、なぜこのように変更したかの説明は、私が知る限り一切なしでした。
これ、当時の対応ばれたら相当叩かれそう。
というか、被害は2020年9月以降だと思ってたのですが、実はそれ以前にもお金を抜かれている可能性があるってことです。
これも大問題!!
今までは、9月以降の口座をチェックすればOKだと思ってたのですが、過去にさかのぼって「ドコモコウザ」名義で引き落としがないか確認したほうがいいと思います。
被害に遭った銀行の大半は「Web口振受付サービス」を採用していた
被害に遭った銀行の大半は、「Web口振受付サービス」を採用していたことがわかっています。
「Web口振受付サービス」とは、地銀ネットワークサービス株式会社が提供するシステムで、「銀行口座からお金を受け取りたい企業」と「地方銀行」で連携し、決済をスムーズに行うサービスです。
【地銀ネットワークサービス株式会社「Web口振受付サービス」】
https://www.chigin-cns.co.jp/services/web_service/summary.php
処理の流れとしては、
- ドコモ口座のシステムで口座登録の手続きをする
- 「Web口振受付サービス」に遷移する
- 「Web口振受付サービス」を通じて、銀行は口座からの引き落とし(チャージ)処理を行う
こんな感じ。
なので、ドコモ口座に銀行口座を登録する場合、実は途中でドコモのシステムから銀行側のシステムに切り替わってるんです。
問題なのは、この「Web口振受付サービス」によるチャージ口座の登録がザルだったこと。
なんと、「口座番号、口座名義、4桁の暗証番号」の3点セットがあれば誰でもチャージ先の口座として登録できる仕様でした。
前にも書いてますが、銀行でオンライン振り込みをしようとした場合、ショートメッセージを利用したり、特別な認証番号を利用したりと、かなり高度なセキュリティが求められます。
なのに、「Web口振受付サービスを利用した引き落とし口座、チャージ先口座の登録」だけがユルユルで、そこを犯罪者につかれたって形です。
口座番号と口座名義は普通に出回ることがあるので、たった4桁の暗証番号だけが頼りだったなんてありえません。
それでも、今までこのシステムが成り立っていたのは、「銀行に引き落とし口座、チャージ口座の設定依頼をする企業が、ちゃんと本人確認をしてくれていたのでセキュリティが確保されていた」だけです。
今回、ドコモ口座の本人確認がユルユルだったので、この前提条件が崩れ、結果的に不正利用につながりました。
ドコモ口座の、「誰でも、簡単に、第三者名義のドコモ口座が作れる」という仕様も大問題ですが、根本的には「Web口振受付サービス」のユルユル仕様が原因です。
お客様のお金を預かる銀行としては、責任を取らざるを得ないと思います。
ただし、ゆうちょ銀行のように「口座番号、口座名義、4桁の暗証番号」にプラスして生年月日も必要な銀行も被害に遭っています。
基本的に、先行して取引中止となった18銀行以外は被害に遭った可能性は低いと思われますが、真相解明まではもう少し時間がかかりそう。
【先行して取引中止となった18銀行】
七十七銀行、中国銀行、大垣共立銀行、ゆうちょ銀行、イオン銀行、池田泉州銀行、大分銀行、紀陽銀行、滋賀銀行、仙台銀行、第三銀行、但馬銀行、鳥取銀行、北洋銀行、みちのく銀行、伊予銀行、東邦銀行、琉球銀行
被害者への補償については検討中
今回の被害を受け、ドコモから被害の補償について発表がありました。
ドコモからのお知らせ:https://www.nttdocomo.co.jp/info/notice/page/200908_02_m.html
「被害に関する調査、対策については、銀行と連携して対応してまいります。」だそうです。
全く補償がない訳ではなさそうですが、あくまで銀行と連携ということです。
正直、今回の事件は地銀の「Web口振受付サービス」がユルユルだったことが最大の原因です。
なので、ドコモが「なんでうちが補償する必要があるの?」と考えるのはわからなくもないです。
ですが、ドコモ口座の本人確認もザルだったこと、2019年5月の不正発覚時に対応しなかったことを考えると、ドコモ側の責任追及も避けられません。
被害額がそこまで大きくないと想定された時点で、「全て補償します!」とした方が得策だと思うんですけどね。
ブランドイメージに傷がつく(もう付いてるけど)方がダメージでかいはずです。
それでもこの表現をするってことは、更に何かるあるのかって疑っちゃいます。
2020年9月10日(木)NTTドコモの記者会見
2020年9月10日(木)、NTTドコモが今回の不正利用について記者会見を実施しました。
記者会見時点での被害は、66件、約1,800万円ということです。
ただし、この数字は増える可能性があるとのこと。
昨日の発表からは増えていますが、それでも意外と被害は小規模だったという印象です。
また、被害者には、被害額全額+諸経費(電話番号や口座がマイナスになったときの利子など)も全額補償すると明言されたので、とりあえず泣き寝入りはしなくて済みそうです。
会見で気になった内容を何点かまとめてみます。
なぜ銀行からドコモ口座へのチャージ自体を中止しないのか?
銀行からドコモ口座へチャージをしているユーザーは約13,000件/日と非常に多いので、銀行口座からのチャージを停止すると多くのお客様に迷惑がかかる。
また、10月9日以前に第三者の口座登録がされている場合、チャージを停止しないと引き続き不正利用の可能性があるが、犯罪の性質上、時間をおいて被害に遭うという可能性は低いと考えている。
ドコモ回線と紐づいていない=メールアドレスだけで作られたドコモ口座だけを停止すればいいのではないか?
メールアドレスだけで作られたドコモ口座を停止すると、問題なくご利用されているお客様に迷惑がかかってしまう。
このため、ユーザーを限定した制限は考えていない。
万が一不正利用があった場合はしっかりとした補償対応を実施する。
2019年5月にりそな銀行で被害があった反省が生かされていなかったのではないか?
2019年5月にりそな銀行で被害があった際は、「ドコモ口座の名義と銀行口座の名義が異なっていもOKの仕様だった」←信じられない!
被害発生後、「ドコモ口座の名義と同一名義の銀行口座以外は登録できない仕様」に変更した。
会見を観た感想は、「ダメだこいつら」です。
要約すると、「現在ドコモ口座を使っているユーザの方が大切で、ドコモと何ら関係がない人の銀行口座から勝手に引き出されるのは仕方ないよ。あとで補償するからいいよね。」ってことです。
企業の姿勢としてあり得ないです。
まあ、こんな会社だからこういう問題が起こったんだなと納得。
あと、従来はドコモユーザーしか使えなかったサービスを、ドコモユーザー以外も使えるようにした際、セキュリティよりも利便性を重視したらしいです。
全体的に、危機感がない会見でした。
被害金額は大きくなりませんでしたが、今回の事件は「ある日突然自分の口座からお金が勝手に盗まれる」という前代未聞の事件です。
金融機関の信頼を根本から覆す大事件なのですが、ドコモの人にその感覚がないと感じます。
【2020年9月11日追記】
9月10日(木)NTTドコモ記者会見まとめ
9月10日に開催された記者会見について、こちらに詳しくまとめました。
ドコモ口座の不正利用で銀行から不正に残高が引き出される被害が続出!原因と対策は?
【2020年9月12日追記】
被害額は12銀行、73件、1,990万円に拡大
9月11日(金)0時時点での被害が、12銀行、73件、1,990万円に達しました。
どんどん増えますね。
この件についてのポイントは2つ。
- 被害は本人からの申告で発覚したのか、ドコモや銀行の調査で発覚したのか不明な事。
- 被害銀行が10銀行から12銀行に増えたのに、追加の2銀行について発表がない事。
まず、被害を誰が見つけたのか明確に発表しないのか意味不明。
もし、銀行やドコモ側で調査して利用者に教えてくれるなら、利用者が銀行口座を確認する手間がだいぶ省けます。
完全にお任せにはできないけどね。
9月10日のドコモ記者会見の内容を踏まえると「ドコモや銀行でチェックはしない」と判断できます。
となると、やっぱり利用者が銀行口座を定期的にチェックする必要があります。
次に、利用者が銀行口座をチェックする必要があると考えると、追加で被害が確認された銀行を公表しないのが意味不明。
この状態だと、35の提携銀行全てをチェックする必要があります。
まあ、やっぱりドコモは「ユーザが不安に思うこと、定期的に口座をチェックする手間がかかること」を何とも思ってないようです。
ゆうちょ銀行がドコモ口座へのチャージを停止
9月11日(金)、ゆうちょ銀行は、ドコモ口座へのチャージを全て停止しました。
今後、ゆうちょ銀行から不正にお金が抜かれることが無くなりました。
なぜにドコモがこれを全銀行に対してしないのか、ホントに理解できません。
本来は、不正に引き出されたお金が使われるのを防ぐため、ドコモ口座の全停止をすべきです。
諸事情で無理であれば、少なくとも銀行からのチャージは全て停止しないと、「これからも不正に引き出される可能性がある=口座をチェックする必要がある」ってことです。
ドコモは、「今後引き出される可能性は低い」とかいってますが、可能性が0でないと意味ないんですよね。
対応は銀行によってかなり異なる
今回のドコモ口座不正利用への対応は、銀行によって異なります。
- 銀行側では何もせず、ドコモ口座への新規口座登録のみ停止しているケース
- ドコモ口座へのチャージ自体を、銀行側で自主的に停止するケース
- ドコモ口座へのチャージについて、セキュリティを上げて接続継続しているケース
とりあえず、(1)は論外なのでこんな銀行は解約したほうがいいです。
銀行によって取り扱が違うので、マメに公式サイトをチェックしてください。
また、被害の確認についても対応が異なります。
銀行によっては、「ドコモ口座からの引き落としがあるユーザに個別確認します」と明確に示している銀行があります。
たとえば中国銀行。
https://www.chugin.co.jp/news/797.html
「当行にお届けの電話番号へご連絡し、「RKデイ―バライ」と表示されている口座からの引き落としが、お客さまによる正当なお取引きであるかどうかの確認をさせていただきます。」
利用者のことを考えた、素晴らしい対応ですよね。
ちゃんと公表するのがいいです。
以前、中国銀行にダメだししたのですが謝ります、ごめんなさい。
でも、被害額が約500万円とまあまあ大きい。
ドコモが問い合わせ窓口を設置
9月11日(金)、ドコモは、ドコモ口座の不正利用について専用の問い合わせ窓口を設置すると発表しました。
受付は12日9時からで、受付時間は9時~20時となっています。
専用フリーダイヤル:0120-885-360
【2020年9月14日追記】
被害総額はどんどん増えて2,542万円に!
ドコモは9月14日(月)、事件以降2回目の記者会見を開きました。
9月14日(月)正午時点での被害額は、120件、2,542万円と、どんどん増えます。
まあ、チャージ止めてないんだから増えるよね。
また、前回の記者発表では、被害は2020年8月以降としていましたが、実は2019年10月が最初だったことも判明。
これも実は大変なことで、仮に1年被害に遭っていると仮定すると、30万円×12月=360万円!!
なかなかに痺れます。
あと、被害銀行は12銀行と発表していましたが、1つは間違いで、正確には11の銀行が被害に遭っているとのことです。
それでもドコモ口座はそのまま運用します(キリッ
会見で、ドコモは「回線利用者の方々を中心に正常な状態でお使いいただいているので、ドコモ口座自体を止めることは考えていない。今後、被害化拡大していくようであれば考えなければならないが、現時点ではそこまで拡大しているとは考えてない。」としています。
ドコモの考える被害は、「実際に口座からお金が抜かれる事」なんでしょうね。
今回の事件は、「ある日突然、ドコモと何にも関係ない人の口座から、お金が盗まれ、しかも通帳チェックしないと気付けない」という不安を全国民に与えました。
まさに前代未聞の、金融機関の信頼を根本から覆す大事件なのです。
でも、ドコモとしては、これは「被害ではない」ということ。
この会社、同じことまた繰り返しますよ。
【2020年9月15日追記】
ゆうちょ銀行はドコモ口座以外のサービスでも不正出金被害があるらしい
なんか、色々な意図を感じる報道がありました。
なんと、ゆうちょ銀行では、ドコモ口座以外でも同様の不正出金被害があるらしいです。
ゆうちょ銀行では、12社とドコモ口座と同じような契約を結んでいるのですが、うち6社で被害が発生しています。
なんとその確率50%!!
高市総務大臣は「ドコモだけではない!」と強調していますが、「ドコモが悪い」という批判をそらす意図が見え見え。
他の会社がやらかしたからドコモの責任が軽くなることはないのですが、監督庁がこのありさまだと、結局何も変わらなそう。
あと、ちゅうちょ銀行側の対応もかなり???です。
まず、今回の件が発覚したのは、総務省が9月10日にゆうちょ銀行にヒアリングしたからなのですが、じゃあ、聞かれるまで黙ってたってこと?という疑惑が残ります。
被害が発生しているサービス6社のうち、チャージを停止したのは2社のみ、残り4社はサービス継続というのも意味不明。
さらに、被害が出ているサービス名、被害額については、「防犯上の理由でお答えできない」らしいです。
いやいや、サービスを即時停止すれば、新たに被害が出ることないですよね。
そうすればサービス名を公表、消費者に注意喚起もできます。
不正利用されているチャージを停止せずに、「サービス名の公表は防犯上の理由でお答えできない」とはこれいかに。
ゆうちょ銀行が2要素認証を導入していない複数のチャージを停止
ゆうちょ銀行は、2要素認証を導入していない支払い決済システムについて、新規登録、チャージサービスを停止すると発表しました。
今回停止されるのは、PayPay、Kyash、LINE Pay、PayPal、ウェルネット(支払秘書)、楽天Edy、ビリングシステム(PayB)、メルペイ、ゆめカード(ゆめか)です。
また、不正利用があったサービス6社のうち、2社が「PayPay、Kyash」であることも発表されました。
PayPayは2020年1月以降に17件・141万円の被害、Kyashは3件・23万円の被害が確認されています。
事件の根本的な原因は、銀行側の「お客様の大切な口座から引き落とし登録をする際の確認がザルだった」ことなのですが、これがはっきりしてきましたね。
被害額は約2,700万円に増加
ドコモは、15日0時時点の被害額を143件、2,676万円と発表しました。
全日と比較して、件数は+23件、被害額は+134万円です。
How to get a Ticket
こんにちは。
記事にまとめて頂いて、良く理解できました。
ようやくドコモと一部銀行は重い腰を上げて、まともな対応をしつつあるみたいですね。民営化してからもう35年も経つのですが、日本電信電話公社からのDNAは、まだまだ着々と受け継がれている感じです。
9月13日午前1時現在で、私が口座を持っている銀行の対応をホームページで確認してみました。
①みずほ銀行: 情報が見当たらない。「ドコモ口座」で検索しても何もヒットしない。
②三井住友銀行: 被害報告はないとのこと。ドコモ口座への新規登録は停止。登録済口座からドコモ口座へのチャージは引き続き可能。従前から、ドコモ口座へ登録するにはワンタイムパスワードで認証していたため、不正利用は困難である。
③ゆうちょ銀行: ドコモ口座への新規登録は停止。ドコモ口座へのチャージは停止。
④イオン銀行: 同上
⑤静岡銀行: 同上
⑥ソニー銀行: ドコモ口座への新規登録は停止。登録済口座からドコモ口座へのチャージは引き続き可能。
6行だけですが、対応はバラバラです。
合格は③④⑤ですね。
②も、チャージを停止はしていませんが、口座登録時にワンタイムパスワード認証を行っていたので不正登録はない、との判断でしょうから、まぁ頷けます。
⑥はダメですね。②と同じように、口座登録時に厳しい認証を行っているから大丈夫、と判断した可能性はありますが、それならばその旨をきちんと説明すべきです。説明がないと、口座保有者としては、安心なのか、リスクがあるのか、全くわかりません。
最悪なのが①です。公式な発表が無いなんて、メガバンクなのにそんな対応があるのでしょうか。信じられません。これまた大昔の話ですが、この銀行が大規模なシステムトラブルを起こして多数の人が迷惑したのに、「実害は出ていません」なんて社長が会見で話しているのを聞いて憤慨した記憶は未だに残っています(社長の名前まで覚えてます!)が、やはりそのDNAを受け継いでいるのでしょうか。
被害を受けた方は補償が受けられる方向のようで、それは当然で良かったと思いますが、その原資は利用者から受け取るお金(銀行ならローンの金利や各種手数料、ドコモなら通信料金)なのですから、結局はみんなが広く薄く負担していることになります。7&Iの教訓を生かして、セキュリティを重視した制度設計をして欲しいと思います。
今回の事件、私は大問題だと思うのですが、報道と温度差がすごくあります。
私の感覚がおかしいのかな。
各銀行での対応について情報提供ありがとうございました。
みずほの「アナウンスなし」はひどいですね。
私は、住信SBIネット銀行、auじぶん銀行がメインなので、どちらもドコモ口座対外でした。
他にゆうちょ銀行、三井住友銀行、地元地銀を持っていましたが、今のところ大丈夫っぽいです。
いえいえ、くるみっこさんの方がもちろん正常と思います。
マスコミも最初はドコモ発表を伝えるのみでしたが、日経を見ると、最近はセキュリティ専門家からの疑念の声を掲載しています。「即刻すべてのチャージを停止すべき」とはっきり言っている専門家もいましたね。いい傾向と思います。
ドコモが記者会見で言ってた「チャージを止めると、1日13,000件の利用者に迷惑がかかるから、止めない。」というのは、「だから、35行の預金口座保有者(少なくとも8000万口座以上ありそう)は、被害を受ける恐れがあるので、毎日毎日残高をチェックして、被害を受けてないか確認してね、自分で。」という意味になるのですが、それに誰も触れないのが不思議でした。記者も勉強不足と思います。ああいうのって、記者じゃなくて、その道の専門家を連れてくればいいのに、と思います。
[…] ドコモ口座の不正利用で銀行から不正に残高が引き出される被害が続出!原因と対策は? […]
くるみっこさん、
わかりやすい記事ありがとうございます。
本日のNTTドコモ記者会見を私も見ていました。
記者の質問に対するNTTドコモ側の回答が適切で無いと思える箇所が何カ所もあり、モヤモヤしていましたが、くるみっこさんの記事を読んで、モヤモヤの中身がハッキリ分り、大変感謝しています。
とりあえず、自分の銀行口座は今日の時点では大丈夫でしたが、NTTドコモが今の対応のままだと、明日は引き抜かれているという事があるわけですよね?
何とか、Twitterなどでの、皆の発言でNTTドコモ(と銀行)の対応を変えていきたいです。
コメントありがとうございます。
私も強烈な違和感と不快感を感じました。
別途まとめをUPしたので、参考にしてください。
すみません。
夜中、日付変わって、日付スタンプ11日になっているのに気付きました。
本日=9月10日の記者会見です。
ドコモじゃないし、口座もないし…関係ないと思っていたら…
凄く分かりやすい記事でした。ありがとうございましたm(_ _)m
痛いニュースを見て、調べてたら来ました。
今回の件、大変なことになってますね。
僕が気になってるのは、ドコモ口座の不正利用に関する説明ページが、ドコモユーザー向けにしか書かれてるように見えないことです。本来ドコモユーザーしか見ないだろうから筋が通ってない訳じゃないけど、今回の被害者の中にはドコモとは一切関係のない人もいると思います。
これからドコモはそのことも考えて対応していった方が良いと思う。もはや店と客だけの問題じゃなくなってるもん。
コメントありがとうございます。
記者会見みたら、色々とわかりますよ。
ドコモの体質、ここまでヒドイとは思いませんでした。
くるみっこさん、ご無沙汰しております。
コロナのせいで、フィギュアスケートは3月の世界選手権の中止以降、ショーも何もなくなってしまい、寂しく過ごしています。
このドコモの事件は最初やはりドコモ口座持ってないから関係ないと思ってたのですが、くるみっこさんが急ぎでツイッターにも上げてくださったので気になって、
ブログ記事を読ませて頂いて、びっくり!
ゆうちょと住友に口座があるので慌てて昨日、行ってきました。
まとまったお金は定期預金に入れて一次退避させたり、他銀行に移動させたり対応しました。
それにしても、ドコモの対応がひどいですね。銀行の方も、店舗の行員に話しても
この事件のこと自体を知らない有様で、ここもダメかと。
大企業を信頼して安心してたら痛い目に遭いますね….、何事もしっかり自衛しなくてはいけない時代を実感しました。
くるみっこさんのおかげで、状況を正しく理解できました。
いつも助けて頂いてありがとうございます!
おひさしぶりです!
今回の事件、実はかなりの大事件なのですが、あまり報道されないのが不思議です。
早くフィギュア観に行きたいです!
今回の事件は暗証番号の不正取得ではなく、ひとつの固定した(犯人が任意に選んだ)暗証番号で口座番号総当たりログインできないか試していくリバースブルートフォース攻撃が行われたのではないか
たまたま犯人があなたの暗証番号を選んだ場合、あなたの口座番号にたどり着くのは時間の問題です
取引停止している「18銀行に口座を持っている人、全員」が被害の対象となる可能性があります
みなさん「ドコモコウザ」から引き落とされてないか、すぐに通帳記帳して確認してください
Twitterからこちらの記事を拝見させて頂きました。
私は千葉銀行 ゆうちょ銀行を使っていてdアカウントとかの作成もしたことないですし、銀行チャージというものもしたことがありません。
基本的に会社からのお給料とかを振り込んで貰うためだったり持っているお金を貯金として預入れる為に使っています。
または携帯(au)の代金の引き落としに使っているのですが…
その場合でも不正利用の可能性はありますでしょうか?
色々な記事読んで見てもいまいちピンと来なくて…
お金が振り込まれた時に引き落とされたらと思うと怖いです…
関係ないです。対象口座を持ってる時点で被害に遭う可能性が大いにあります。
yuさん、どぉも
色々な記事を読んで、こちらの主様の懸命な記事を読んで、それでもピンとこないなら大丈夫です。
抜かれても気付かないので、大丈夫。
TwitterのTEL欄にきて内容読んだあと速攻で確認しにいったらまだ無事でした……うちの家族全員同じ銀行にいれてるので家族にも電話して知らせておきました……とっとと直してほしいもんですけどね。ただでさえコロナとかで生活苦しいのに。本当に助かりました。ありがとうございます!逐一確認しておかなくては……
こちらのブログは、毎日のようにお邪魔させてもらってますので、くるみっこさんが、野球観戦も、宝塚観劇も、全然出来ていないというのは、存じております。
私も、アイスショーが軒並み中止になって、取れていたチケットは全部払い戻し…。
大相撲は、この状況で東京になんか行けないし、宝塚は友の会入ってないから、チケット取れないし…で、全く何もなくなりました
コロナが少ーし収まって来たかな…と思ったら、こんな事件だし。
クレジットカードも、気を付けないと、いけませんよね。
くるみっこさん、ご無沙汰してます。
私はドコモユーザーですが、ドコモ口座なんて作ってないから関係無いと思ってましたが、そうではないのですね。
この記事を読まなければ、そんな事、全く分からなかったです。
教えてくださって、ありがとうございます!!
キャッシュレスは便利ですが、こういう危険と隣り合わせなのですね…。
怖すぎます!!
ゆうちょ銀行に口座持ってます(メインバンクではありません)が、普通に使えるようになるまで、だいぶかかりますかねぇ…。
どのタイミングで、もう大丈夫って判断したらいいんだろう…?
なんかドコモの対応を見ていると、もうドコモやめようかなと思ってしまいますね…。
おひさしぶりです、お元気ですか??
最近は新型コロナウイルス感染症の影響でほとんどの試合、公演が中止になって生きがいが無くなってます。
今回の事件、ドコモの対応ひどいですね。
NHKでの放送してましたが、初期に被害に遭った方にかなりひどい対応したみたいです。
上の方と同じく、Twitterから来ました。
ニュースなどを調べても全容が掴めなかったので、とても分かりやすく説明していただき助かりました。ありがとうございます。
取引停止した18の銀行の中に昔使っていて現在残高ゼロで放置している口座があるのですが、ネット上では真偽不明ながら「銀行残高が0円でも被害に遭う恐れがある」という情報も出回っており、警戒しています。
お役に立てたようで良かったです。
今回の事件、何が問題かわかりにくいですよね。
「銀行残高が0円でも被害に遭う恐れがある」のは、多分「総合口座の当座貸越」のことだと思います。
先ほど記事に追加したので参考にしてみてください。
記事読みました。
わかりやすかったです、ありがとうございます。
「普通預金の残高がない場合でも、定期預金の残高があれば、定期預金を担保として借入れができる」とありますが、他の銀行はわかりませんが、スルガ銀行は自動貸越サービスがあり、定期預金がなくてもこれを契約していると残高がない状態でも引き落としが可能です。チャージも対象かは確認してませんが、おそらく対象かと…
もし確認できましたら確認&追記をお願いします。
コメントありがとうございます。
調べてみると、ご指摘のとおり、スルガ銀行には「自動貸越サービス」というものがあるみたいですね。
https://www.surugabank.co.jp/surugabank/kojin/service/jidoukashikoshi_toza/
全ての銀行で利用できるわけではありませんが、要は「残高0になったら勝手にローン組むよ!」的なサービスです。
これはこれで、ちょっと怖いサービスですね。
とても参考になりました、ありがとうございます!
記事読ませて頂きました。とても分かりやすかったです。
確認なのですが、ドコモ口座にチャージ可能な35銀行に含まれない銀行であれば、問題なしということで大丈夫でしょうか?
現時点では、ドコモ口座にチャージ可能な35銀行のうち、取引停止している18銀行がヤバイとおもいます。
取引継続中の17銀行については、銀行口座からチャージする際に「口座番号、暗証番号、プラスアルファの認証」が必要でセキュリティレベルが高い銀行と想定されます。
わかりやすくて良かったです
ただ誤字が複数ありましたので今一度みなおしを
ご指摘ありがとうございます。
見直したんですが見つけられませんでした、ごめんなさい。
できたら直に誤字の箇所を指摘された方がより
わかりやすいのでは?
例えば、「速攻」が「即行」ですか。
ブログ主さんの考えであえて「すばやい攻撃」という意味で記されたのかもしれませんし、
変換違いもよくあります。
ああ、誤字だなと思ってそこは大目にスルー
して読めばいいじゃないですか。
内容の間違いは訂正する必要がありますが。
「この度の事件はこのコンテンツの解説が分かり易い!」ってリツイートが回ってきました。相当アクセスが伸びてるんじゃないですか?
コメントありがとうございます。
ドコモ口座は利用者が少ないので仕組みが分かりにくいんですよね。
特に「ドコモ口座」と名前に口座という単語がついてるのに実は銀行口座じゃない点とか。
私はたまたま普段からドコモ口座使っていて、問題点の把握ができました。
なので、注意喚起の意味も含めてUPしました。
あと、銀行、ドコモの対応がひどすぎってのもあるかな。