ドコモ口座を利用した不正預金引き出しについてのドコモの会見をみて問題点を考えてみる

2020年9月10日、NTTドコモの不正預金引き出し事件について、会見が開催されました。

会見は、最初に状況説明、その後に質問という流れです。

説明はNTTドコモ丸山副社長が中心でしたが、なぜに社長ではないのかが最初の疑問。

会見の冒頭で、今回の事件は「ドコモ口座における本人確認が不十分であったことが原因」とはっきり明言されました。

また、被害については、基本的に全額補償することも発表されています。

ですが、ドコモ側の事件に対する認識がかなり世間一般と離れていることが露呈した会見でもありました。

私は会見を聞いていて、怒るを通り越して呆れたくらい。

会見直後は呆れてまとめ記事を作る気力も無くなったのですが、一晩よく寝てちょっとだけ復活。

せっかくここまでまとめを作ってきたので、会見についても再度確認、要点をまとめてみようと思います。

ドコモ口座不正利用についてのまとめはこちら。

気がつくとかなり長くなってます、ごめんなさい。

ドコモ口座の不正利用で銀行から不正に残高が引き出される被害が続出！原因と対策は？

NTTドコモからの状況説明

ドコモ口座を利用した預金不正引き出しの流れ

NTTドコモが会見で示した、今回の不正利用の流れは次のとおりです。

1. 第三者が口座番号、口座名義、暗証番号などを不正に入手
2. 不正入手した口座名義を元に、犯人が被害者に成りすましてドコモ口座を作成
3. 不正した口座番号、暗証番号を元に、銀行からドコモ口座にチャージ

また、不正にドコモ口座へチャージされたお金は、d払いなどを通じて商品を購入、換金などをしたのではないかとのことです。

被害の対象者

会見の冒頭で、ドコモが「被害にあった人」として説明したのは次のとおりです。

ドコモ口座の顧客には、大きく分けると「ドコモ回線を持っている人」と、「ドコモ回線を持っていない人」の2種類ある。

このうち、「ドコモ回線を持っている人」については、回線契約時に免許証などによる本人確認を実施していること、ドコモ口座開設には回線認証を利用した本人確認を実施していることから、厳格な本人確認ができている

今回の不正対象となったのは、「ドコモ回線を持っていないがドコモ口座を作った人」である。

ドコモ回線を持っていないため、回線認証による本人確認の代わりに、メールによる2段階認証を利用し、ドコモ口座を作成していた。

この際、「メールを利用した2段階認証」が本人確認として十分ではなかったと考えている。

う～ん。

結論から言うと、これは大嘘。

ドコモの言い分では、被害にあう可能性がある人は、「ドコモ回線を持っていないがドコモ口座を作った人」ですが、これは違います。

被害にあう可能性がある人は、「ドコモ口座にチャージ可能な35銀行の口座を持っている人」です。

ドコモ回線を持っていようがいまいが、ドコモ口座を作っていようがいまいが関係ないです。

ドコモの目線が、「ドコモの商品を使っているか否か」だけなのがよくわかります。

また、100歩譲って「ドコモ口座を持っている」という条件下で考えても大嘘。

「ドコモ回線を持っていてドコモ口座を作っている人」も、被害にあいます。

だって、ドコモ口座は1人で何個でも作れちゃいます。

例えば、ドコモ口座を既に持っている私の名義でも、第三者が勝手にメール認証のみのドコモ口座を簡単に作れます。

これ、勘違いなのか分かっていないのか。

少なくとも、会見に出るだけの理解力はないです。

この点を質問で指摘した女性記者（名前が聞き取れず）は素晴らしいです。

不正利用に対するNTTドコモの対応

不正利用の被害件数、被害額

9月10日正午時点で、銀行からの「申告」をまとめたものによると、被害件数66件、総額約1,800万円。

記者からの質問についての回答

気になった記者からの質問に対する回答をまとめてみます。

長い会見なので、一言一句正確には表現できていません。

正確には、YouTubeにアップされている動画を確認してください。

Q：「ドコモ回線を持っていない人がドコモ口座を作成する際の認証」を、なぜメールアドレスによる認証だけにしたのか？

そもそも、ドコモ口座は「ドコモ回線を持っている人」向けのサービスとして開始した。

その後、サービス対象者をドコモ回線保有者以外に拡大した際、簡易な手段を採用するという戦略を取った。

この判断は、ドコモ口座に限ったことではなく、より多くの人にサービスを使ってもらうということを優先した結果であるが、今となっては、安全に関する意識が不足していたと感じている。

Q：2019年5月、りそな銀行で今回と同様の不正引き出し事件が発生しているが、なぜこの時点でSMS認証などの導入をしなかったのか？

銀行口座からのチャージは2017年から実施しているが、当初は「銀行口座名義とドコモ口座名義は同一でなくてもかまわない」という仕様だった。

その後、いくつかの問題が生じ、セキュリティ的な問題もあると判断して、「口座名義の一致を確認する」、「チャージ上限額を調整する」などの対策を実施した。

また、2019年5月りそな銀行での不正利用があった時点では、ドコモ回線保有者しかドコモ口座を利用できなかった。

対策後、「ドコモ回線保有者のドコモ口座」について不正は発生していない。

このため、りそな銀行での不正利用と今回の事件とは別の案件と認識している。

Q：りそな銀行での不正が発覚した後、2019年10月のキャリアフリー化でセキュリティーが更に緩くなったのでは？

2019年10月、ドコモ回線を持っていないユーザーもドコモ口座が利用できるようになった。

ドコモ回線を持っていないユーザーに対する本人確認がメールのみであったのは、セキュリティ的に問題があったと認識している。

ドコモ回線を持っていない方にも、手軽にサービスを利用してもらいたいという考えがあった。

Q：被害にあった地銀が採用していた「Web口振受付サービス」は、本人確認がしっかりしている公的機関の利用を前提としている。そのサービスを利用したことが問題では？

銀行が決めることなので、ドコモがコメントすることはない。

Q：金融機関側に問題がなかったという認識か？

金融機関側のセキュリティとドコモ側のセキュリティは、ユーザー側から見ると同じもの。

今回の事件は、ドコモ側の本人確認が不十分だったということが一因になっていると考えている。

※明確な回答なし

Q：銀行側の口座振替処理について、セキュリティの問題点などをチェックしていなったのか？

銀行のセキュリティについては、明らかな問題がなければ、ドコモ側で関与しない。

基本的に銀行側の仕様に基づいて接続している。

Q：被害銀行は増える可能性があるのか？被害にあった人の傾向があるのか？

増える可能性がないとは言えない。

被害情報は、銀行からの報告に基づいて確認している。

被害にあった人の共通点は特にない。

Q：新規口座登録の停止ではなく、銀行口座からのチャージ自体を止めないと、引き続き被害が出るのでは？

9月10日0時をもって、ドコモ口座にチャージできる新規口座登録は停止している。

それ以前に、もしかしたら不正に登録された口座があるかもしれないが、事件の性質上「時間をおいて被害が発生する」とは考えていない。

銀行口座からドコモ口座へのチャージは、1日約13,000件ほどある。

このため、チャージ自体を止めることはドコモ口座利用者に対する影響が大きく、現時点では考えていない。

Q：メールアドレスだけで登録されたドコモ口座を停止しないのか？

現在利用中のユーザーに影響が出る判断はしない。

不正利用された場合は被害に対する補償をしっかりする。

Q：現在停止中の新規口座登録はいつから再開するのか？

対策が完了次第、早急に再開を考えている。

Q：メールアドレスだけでの認証は、顧客の安全性よりビジネスの拡大を優先したのでは？

そういう意識はない。

多くの方にサービスを使っていただきたいと考えていた。

「メルアドのみでも、そのお客様を守ることはできたかもしれないが、そのお客様が不正なお客様さまかどうかということを排除する仕組みがなかったということが最大の問題であると認識している」

※原文のまま、何言ってるのか意味不明

Q：現状でもメールアドレスのみでドコモ口座が開設できるのは問題では？

現状でも、ドコモ口座はメールアドレスのみで開設できる。

ただし、銀行からの入金はできず、コンビニでの入金などに対応している。

このため、今回のような事象は発生しないと考えている。

Q：1,800万円の被害はいつからいつまでに発生したのか？

2020年8月以降の被害である。

※2019年10月以降と混乱あり

Q：ドコモ口座は「銀行口座の確認をもって本人確認」としている。なぜ自社で本人確認をしないのか。

本人確認の手段として、クレジットカードの情報、口座の情報などを持っている人は、基本的に本人であると考えている。

合わせて、ドコモ回線を持っていないユーザーに対しては、メールによる本人確認を実施していたが、この点が甘かったと考えている。

※回答になっていない

Q：口座がマイナスになった時の利子、問い合わせ電話代なども補償するのか

お客様に被害があったものは全て補償する。

Q：補償はドコモがするのか、銀行がするのか、それとも案分するのか。

サービスはドコモと銀行が連携して提供している。

被害者が困らないよう、ドコモとして積極的に対応する。

Q：今後、被害拡大の可能性があるのか？

正直分からない。

だだし、現時点での発表から大きく桁が変わるようなことはないと考えている。

Q：銀行側から、ドコモ口座のセキュリティについてチェックはなかったのか？

昨年までは、銀行口座名義とドコモ口座の名義の同一性をチェックしていなかった。

この点について銀行からの指摘があり、対応している。

Q：口座の新規停止を一斉に行わかなったのはなぜか？

回答なし。

Q：当初は「ドコモから情報流出はない」という対応だったのが、「本人確認に問題があった」と姿勢に変化があったのはなぜか？

事件の発生後は情報が十分でなく、「ドコモからの情報流出」がネットでも話題になっていた。

ドコモとしては、「ドコモから情報が出た訳でない」という点を表明した。

今から考えると、全貌を掴んだ対応ではなかったと反省している。

Q：りそな銀行での不正利用、昨年の7Payでの事件などが生かされていないのではないか？

悪意を持ったユーザーの本人確認が欠落していた。

事件の全貌解明に全力を注ぐのがドコモの責務だと考えている。

Q：個人が複数のdアカウントを作れるのが問題ではないか？

色々なニーズがあるので、一概に回線とdアカウントの関係を1人1アカウントにするのは短絡的と考える。

Q：ただ銀行にお金を預けている人が突然30万円抜かれるのが衝撃だが、被害があったかの確認は、一人一人が銀行口座を確認するしかないのか？

結論から言うと、各個人が通帳で履歴をチェックするしかない。

重要なのは、暗証番号などを他に漏らさないことで、この点を注意すれば特に問題ないと考えている。

Q：被害にあわないため、消費者ができる対策はあるのか？

防衛策としては、自身のパスワード、暗証番号などはきちんと秘匿する、フィッシングメールなどに注意するなどがある。

※答えになっていない

Q：ドコモユーザー以外も被害にあう可能性がある。ドコモユーザー以外に情報提供する予定は？

善良な市民の方、ドコモと関係がない方に迷惑をかけたのは、お詫びのしようがないくらい反省している。

何らかの形で、被害がある可能性の方とコミュニケーションを取りたいと考えている。

Q：一人当たりの被害額はどのくらいか？

銀行口座からドコモ口座へのチャージは、一月30万円が上限となっている。

8月末に被害にあったケースでは、2か月で60万円に達しているケースがある。

Q：被害にあった銀行は、「口座番号、口座名義、暗証番号」だけで認証できた銀行か？

銀行によって微妙に違う。

生年月日も含まれるケースもある。

ドコモの記者会見をみて感じた3つの感想

会見を見て感じたのは、次の３点です。

会見の冒頭で説明すべき内容が欠けている

会見の冒頭で説明すべき内容が、決定的に欠けています。

会見では、

1. 被害の原因
2. 被害の現状
3. 被害の対象者
4. 被害の確認方法
5. 今後の対応

少なくともこの5点は明確にすべきですが、全然ダメ。

ほとんどの内容について、記者から質問されて後から答えてました。

１．被害の原因

被害の原因については、「ドコモ口座における本人確認が不十分であったことが原因」とされました。

実際には、一番の問題点は、「Web口振受付サービスによるチャージ口座の登録がザルだったこと」なのですが、ドコモがこれを言うのは難しいですからね。

あと、どうやって「口座番号、口座名義、暗証番号」を入手したかについては、「不正に入手された」としか表現されませんでした。

ドコモ口座自体が「暗証番号を入手する手段」として使われたかどうかが気になりますが、これまだ調査中ということでしょう。

２．被害の現状

被害の現状については、9月10日正午時点で、銀行からの「申告」をまとめたものによると、被害件数66件、総額約1,800万円とのことです。

ただし、「いつから」という発表はありませんでした。

期間って大事だと思うんですけどね。

３．被害の対象者

これはについては大嘘。

会見の冒頭では、「ドコモ回線を持っていないがドコモ口座を作った人」が被害者の対象者としていましたが、実際は、「ドコモ口座にチャージ可能な35銀行の口座を持っている人」です。

1人女性記者が指摘していましたが、ドコモの人はイマイチよくわかってなかった感じ。

ユーザーのこと考えるなら

1. 被害にあう可能性があるのは誰か？
2. 被害を受ける可能性がある期間はいつか？
3. 今でも被害を受ける可能性があるのか？

この3点は必要です。

冒頭の説明の後、記者からの質問である程度判明していましたが、これは本来であれば自分たちから示さないとダメですよね。

まとめると、

（１）被害にあう可能性があるのは誰か？

「ドコモ口座にチャージ可能な35銀行の口座を持っている人」、中でも先行して取引停止になった18銀行は要注意。

（２）被害を受ける可能性がある期間はいつか？

2020年8月～2020年9月

（３）今でも被害を受ける可能性があるのか？

ある。

新規口座登録は停止しているが、9月9日までに口座登録されていると、現時点でも勝手に引き出される可能性あり。

４．被害の確認方法

この点について、会見冒頭では一切触れられませんでした。

記者からの質問で、「個人個人が銀行の取引履歴を確認するしかない」と回答があったのですが、これも不十分。

被害にあう可能性がある人のことを考えるなら、「2020年8月以降の銀行取引明細で、【ドコモコウザ】という履歴があるか確認してください。」これくらい言わないとダメ。

なお、ドコモ側からの「被害にあってますよ」的なお知らせはない模様。

（５）被害の補償があるのか？

基本、被害は全額補償らしいです。

ただし、気になるのが「ドコモではチャージが不正に行われたのか判断できない」という点。

どうやって不正引き落としだと認定するのかちょっと怖い。

会見をみて強烈な違和と不快感を感じる

最初に会見を見た時、強烈な違和感と不快感を感じたのですが、何度も見直して理由がわかりました。

まず、ドコモと一般ユーザでは視点が全く違うんです。

• ドコモ：「ドコモ口座やドコモ回線をご用中の人」、「ドコモのサービス継続」のことを考えている
• 一般人：「対象の35銀行から勝手にお金が下ろされるのでは？」と心配している

これです。

まだ被害が発生する可能性があるのに、なぜに銀行からのチャージを停止しないのか。

ドコモの言い分では、「銀行チャージを1日13,000人が利用しているのでチャージ停止は影響が大きい」とのことです。

じゃあ、35の銀行を利用している人が「不正利用されていないか確認するため、銀行口座をチェックする」のは影響がないと考えているのでしょうか。

そもそも、ドコモは誰に対して会見をしたと考えているのでしょう？

私は、「日本に住む全ての人（海外居住者含む）」が対象だと思ったんですが、どうやら違ったようです。

質問する記者がおとなしすぎ

会見の中で、被害銀行が10銀行から11銀行に増えたという話があった際、増えた1銀行はどこですかという質問に対し、ドコモ側は「増えた銀行名は答えられない」と回答しました。

記者さんはおとなしく引き下がりましたが、これは違うでしょ？

被害にあった銀行名というのは、銀行を利用しているユーザーからすると大問題です。

「答えられない」と言われてすごすご引き下がるのではなく、なぜ答えられないのか、いつ公表されるのかを突っ込まないと。

この件以外でも、記者が全体的におとなしすぎです。

質問と回答が明らかにかみ合っていないのに、追及することなく「ありがとうございました」ってなんですか？

あと、ステイタスとかフェーズとかインシデントとか、不必要な横文字使う人いますね。

意識高そう。

まとめ：ドコモ口座を利用した不正預金引き出しについてのドコモの会見をみて問題点を考えてみる

2020年9月10日に実施された、NTTドコモの不正預金引き出し事件の記者会見をチェックしました。

会見の時間は約1時間40分。

この不毛な会見を長時間チェックするのはかなり苦痛でした。

会見を見て、

• 被害継続の可能性があるのに銀行口座チャージを止めない理由
• そもそも今回の事件が起きた理由

がよくわかりました。

今回の事件は、被害金額の大小はあまり関係ないんです。

記者さんの言葉を借りると

「ドコモと何ら関係ない、善良な市民の銀行口座から、ある日突然30万円を超える大金が、勝手に引き落とされる」という点です。

しかも、口座履歴をチェックしないと被害に気付けないとう極悪さ。

これ、日本の金融システムの根幹にかかわる大問題で、失った信用は計り知れません。

自分が銀行に預けているお金が勝手に引きだれるなんで知ったら、皆さん冷静にいられますか？

トラブルが起きたことはともかく、現時点で被害継続の可能性があるものを、会社の都合で放置するとかありえません。

補償すればいいでしょという問題ではない。

ドコモは事の重大さを全く理解してないことが、会見でよくわかりました。

少なくとも、お金に関する業務を取り扱う資格ないです。

皆さんの感想などがあれば、ぜひコメントしてください。

How to get a Ticket