ITmedia NEWS > 企業・業界動向 >

「ドコモ口座」事件の教訓はこれからのキャッシュレス業界をどう変えるか(1/4 ページ)

» 2021年02月09日 07時00分 公開

 2020年を振り返ったとき、いろいろな意味で社会的にもIT的にもターニングポイントとなる出来事が多くあった。ことキャッシュレスの世界ついて18年からの流れをなぞると、18年4月に政府が発表した「キャッシュレス・ビジョン」において、「2025年の大阪・関西万博までにキャッシュレス決済比率40%」という目標が掲げられ、それに呼応するかのようにQRコードやバーコードを使った、いわゆるコード決済サービスが多数立ち上がった。

 19年には事業者同士が多数の大型キャンペーンを連発する形で競争が激化し、同年10月には中小小売店での買い物を対象にした2〜5%のポイント還元施策が始まった。激化した競争の結果、メルペイによるOrigamiの吸収や、事業強化を目指したZホールディングス(Yahoo!、PayPay)とLINEの統合などが同年末に発表された。

 そうした激動の19年と比較すれば落ち着いていたように見える20年のキャッシュレス業界だが、確実に次の変化へのステップを着実に踏みつつある。その象徴的な出来事の一つが「ドコモ口座」にまつわる一連の事件だ。

 これはNTTドコモが提供するデジタルウォレット・ドコモ口座と接続した銀行口座の残高が不正に引き出され、買い物などに利用されたというもの。しかし問題はドコモにとどまらず、接続先の銀行のセキュリティに対する意識や、ドコモ口座において最大の接続先でもあったゆうちょ銀行のネット対応も含め、金融業界やIT企業が現在抱える問題を浮き彫りにした。

 今回はこの視点から「2020年のキャッシュレス」を整理しつつ、2021年以降にここで何が起きるのかを考えてみたい。

2020年9月に行われたNTTドコモの「ドコモ口座」問題に関する説明会見

ドコモ口座問題を振り返る4つのポイント

 ドコモ口座に関する問題を理解するには、決済サービスを提供するドコモなどの資金移動業者と、決済に利用する“残高”のソースとなる銀行側の2つの立場があることを知る必要がある。

 事件の経緯と考察については、筆者が以前にまとめた「“ドコモ口座×ゆうちょ銀行問題”が残した教訓 決済サービスの向かう先を考える」「ドコモ口座と口座振替サービス不正利用を総括。3つの問題点」の2つの記事を参考にしてほしいが、大枠でいえば次の主に4つの問題があったと考えている。

  • NTTドコモは(ドコモの)回線契約があることを前提に作られていたサービスを、リスク評価も不完全な状態で、メールアドレスさえあれば誰でも作れるキャリアフリーアカウントにまで開放してしまった
  • 資金移動業のサービスが残高チャージのために銀行口座接続を行う場合、銀行が提供する「Web口座振替」での認証作業をもって本人確認完了と金融庁が指導していた
  • 銀行によってWeb口座振替サービスのセキュリティに対する意識が大きく異なっており、特に本人確認項目の弱い銀行が集中的に狙われた
  • この手の不正引き出し事件における被害への補償方法や手順について業界ガイドラインがなかった

 いってしまえば、「ドコモ口座」というサービスを入り口に、セキュリティ的に“弱い”ポイントを結び付けられる形で利用され、一気に資金の不正引き出しが行われたという流れだ。

 注意すべきは、「ドコモ口座問題」のように報じられており、本稿でもキーワードに用いているものの、被害があったのは「ドコモ口座」だけではなかったという点だ。例えば、同じWeb口座振替サービスを利用する決済サービスの「Kyash」でも不正引き出しが発覚しているなど、仕組み自体の悪用は他のサービスでも可能だった。

 ただ、ドコモ口座が狙われた最大の理由は「キャリアフリーで簡単にドコモ口座用のアカウントが作れる」という点だ。ドコモ自体が至急の対策を行う必要があったが、ドコモ口座そのものの停止は同社内部や銀行各方面の反対もあり行えなかったのが、ドコモ口座経由の被害が拡大した要因といえる。

 まず20年10月中にeKYC(デジタル本人認証)を導入。2段階目としてSMS認証、そして最終仕上げとして2021年初頭にパスワードレス認証(生体認証などへの置き換え)の導入で本人確認を強化した。ドコモは2月3日から、銀行口座との連携やチャージの手続きを順次再開している。

キャリアフリーアカウントについては再認証を行うまで機能制限が付与される旨の注意喚起

 eKYCはもともと決済サービス各社が本人確認手段として導入しており、「Web口座振替」を利用しない場合の本人確認手段として利用されていた。本人の確認ができていないアカウントは仮運用ということで、機能が大幅に制限される。

 従来までは金融庁の指導もあり、Web口座振替利用時はeKYCをスキップすることもできたが、ドコモ口座の件を経てここが“穴”となる可能性が改めて認識された。この結果、銀行との接続のあるなしにかかわらず、全てのアカウントに対してeKYCが必須となった。

SMS認証が不正利用対策のカギに?

 関係者によれば、ドコモ口座の不正利用対策では「SMS認証」が大きなカギを握っているという。

       1|2|3|4 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.