ドコモ口座事件、「3つの違和感」　ドコモが土下座すればいいの？

[西田宗千佳，ITmedia]

※この記事は9月14日正午に配信されたメールマガジンに掲載されたものです。

　9月に入って発生した「ドコモ口座」問題は、1年前の7Pay問題に勝るとも劣らない、日本のデジタル決済に関する重大事件になった。

　ただ、コメント取材を受けたり報道を見聞きしたりしていると、どうにも違和感がつきまとう。この問題の本質を、非テック系メディアは矮小化して捉えているのではないだろうか。

　そこで今回は、その「違和感」をまとめてみたいと思う。

違和感その1：ドコモを土下座させて終わりなのか

　「ドコモ口座問題」という名称から、「ドコモが悪い」という第一印象を受ける。もちろん今回の問題は、NTTドコモの「ドコモ口座」開設に際し、本人確認機能が弱かったことに原因がある。それは間違いない。NTTドコモが、ドコモ口座と銀行口座の接続に際し、厳密な本人確認を行っていれば起きなかった事象だ。ドコモには明確に、課題解決に向けた責任がある。

　そのため、テレビの報道も新聞の報道も、「NTTドコモに問題がある」という論調ばかりだ。

　だが、実際にはそれだけでは問題は起きなかったし、今後の被害も改善しない。ドコモ1社を悪人にしても、問題は解決しないし真相にも辿りつかないのだ、

　今回の問題は、ドコモ口座と「銀行のネット口座振替」の2点が脆弱であったことから発生したものだ。

　狙われた銀行口座は、明確に「口座番号・口座名義・暗証番号・生年月日のみでWeb口座振替登録を受け付けている」銀行に集中している。口座番号・口座名義・生年月日のリストを入手するのは簡単で、暗証番号はたかだか4桁の数字に過ぎず、しかも、使われるものに偏りがあることが分かっている。「本人しか持っていない要素」による認証（所持認証）が存在しないので、これは危険であることが明白だ。

　若干脱線するようだが、「キャッシュカードと4桁の暗証番号」が、ネットの「口座番号と4桁の暗証番号」より安全である理由を、ちゃんと説明できる人は意外に少ない。前者がまだしも安全なのは、「物理的なカード」という、本人が持っていることが前提になっているからだ。偽造の可能性はあるが、「口座番号と4桁の暗証番号」というただの情報よりもずっとマシであることは間違いない。

　なお、暗証番号をひんぱんに変えても意味はない。結局そんなものは「4桁の人間が思いつく数字」に過ぎず、突破が簡単であることに変わりはないからだ。だから、「本人しか持たないと期待される要素」を加えた多要素認証が求められる。物理カードの利用やスマホの活用、免許証などを使ったeKYCの話が出てくるのはそのためだ。

　閑話休題。

　9月10日夕方に行われたNTTドコモの会見は異様だった。「銀行の責任」という言葉をNTTドコモが明確に避けていたからだ。記者から「銀行との関係」を問う質問が出てもNTTドコモは銀行側のシステムの責任についてははぐらかし、答えない。

　「まるで銀行がNGワードのようだ」

　友人のライターは会見後、そんなふうにつぶやいた。筆者も同感だ。

　NTTドコモ側が対応銀行拡大のため、セキュリティのゆるい状態での口座接続を進めたのは間違いなさそうだ。一方で、銀行の側として、「ゆるいセキュリティでの接続をOKしたこと」「緩いセキュリティ状態が今も続いていること」についての説明がほとんどなく、ドコモ側としてもそこに「話し合いをすすめている」「いつかは良い状態になれば」といったコメントが続いたことに強い不信感を抱く。

　そもそも、オンライン決済に本格的な対応を進めていない銀行側が、「銀行＋現金」という決済手段に甘えていた部分はないか。投資額を小さくし、ゆっくりと場当たり的にオンライン決済の導入を進められないか、という意識があったのではないか。

　複合要因であること、その根幹に、少なくともこの記事を書いている9月12日現在で手が入っていないことについては、もっと真剣に考えるべきではないか。

　14日（月曜）以降、銀行側の対応がどうなるかは注視する必要がある。

違和感その2：リスク計算の不在

　今回の問題は、NTTドコモや銀行、システム開発事業者がネット決済にかかわるどこかにリスクがあり、そのリスクをどう見積もるのか、という点が甘かったことに起因する。

　一方、こういう問題が出ると「結局現金が安全」という話が出る。だが、それはあまりにリスクを軽視しすぎだ。いわゆる「オレオレ詐欺」の方がずっと被害額は大きいが、ネットは関係ない。現金の場合、落としたら戻ってくる確率は低い。

　そもそも、振替・振込に関わる詐欺は、これにかかわらず日常的に起きている。

　前述のように、個人の口座情報や口座名義の流出を防ぐのは極めて困難だ。だからこそ、「シンプルな情報では突破しづらい仕組み（突破できない、でないことに留意）」「仮になにかあってもトラック（追跡）が容易な仕組み」が求められる。

　だが、個人がリスクを計算するのは難しい。銀行について、「リスクを勘案して選ぶ」人はまだまだ少ないだろう。そういう意味では、個人側にも「リスク計算」は不在だ。だが、満足な情報も判断基準も提示されていない以上、それを責めるのは酷だ。

　誰にとっても「リスク計算が不在である」構造の矛盾が、あまり指摘されていない。そこに違和感を持つべきだ。

　今回の件について、NTTドコモ側は「銀行側から被害報告がないと全容を把握できない」としている。これは仕組み上その通りだろう。ドコモ口座の利用を止めておらず、1日1万3000件の振替がある状態では、ドコモ側からは、問題のある取引かを判断するのは難しい。

　銀行側も「通帳への記帳をして確認を」としている。記帳して確認しないと分からない、という段階でリスクが高い。今回の場合には偽のアカウントを作られていたので、チャージの実行についての連絡が「口座を持っている本人に届かない」という状況になるため、記帳確認が必須になる。

　おそらくだが、素早く犯罪を達成するには、限度額を一気にチャージして引き出すなど、特徴的な動きがあるはずだ。「新規に作った口座で特徴的な動きがある」というリスク要因を検知する仕組みを、銀行側・ドコモ側がそれぞれもっていてもいいはずだ。

　それがないのは、犯罪利用についてのリスク計算の甘さといっていい。

　クレジットカードの場合、「犯罪的な利用」についてはわれわれが思う以上にリスクチェックが行われている。それで全てが防げているわけではないが、筆者も実際に、クレジットカード会社側の「自動的と思われるリスク対策」に救われた経験がある。それだけ彼らは、日常的にリスクに晒されているということなのだろう。

　残念ながら、消費者にもサービサー（サービス提供者）の側にも、「犯罪に対するリスク」という視座が求められている。今回ドコモ口座が狙われたのは、「クレジットカードよりもずっとリスク管理が甘い」と犯罪者に目をつけられていたからに他ならないだろう。

　根幹の解決が進むまで目を逸らしたい、と考えている人がいるのかもしれない。

違和感その3：誰が狙っているのか

　今回の被害額は9月12日段階では2000万円弱だが、「月の限度額が30万円なので、月末に1日10万円ずつ3回、月初に1日10万円ずつ3回引き出して、最大60万円を詐取する」というやり方も見られたという。完全に、「タイミングを見て発覚までに一気に攻めた」プロのやり方だ。

　ただ、被害に遭った方には非常に申し訳ない、ある意味不適切な言い方だが、今回の2000万円弱という金額だけなら、体制を整えて一気に攻めるような「プロ集団のやり方」の収入としては額が小さい。これだけで終わるわけがない。

　そのプロがどんな集団で、どういう体制で人々を狙っているのかには、まったく注目されていないし、情報も出てきていない。このことは大きな問題だが、そこに注目し得ない点にも違和感を持つべきだ。

　前述のように、犯罪者は常に決済サービスを狙っている。おそらくは、世の中にある決済サービスをくまなく精査し、「いける」となったら一気に攻めるのだろう。複数のサービスが常に狙われていて、われわれが知らないところで詐取やマネーロンダリングが行われている、と考えるべきだ。

　昨年の7Pay事件以降、こうした被害はサービス事業者側が全額補償するのが基本になった。消費者としては助かる部分だが、一方で、犯罪者にとっては狙いやすくもなった、といえる。

　だとするならば、ドコモ口座の問題を「ドコモの問題」と考えるだけでなく、金融サービスから日々お金を掠め取る組織との闘い、と考えて、もっと全体的な精査を進める必要があるのではないか。

　オレオレ詐欺に代表される特殊詐欺犯も含め、こうした犯罪に対し、各所はどう対応していくのだろうか？　7Pay事件も、「出し子」はつかまっても組織の根幹につながる人物の逮捕には至っていない。

　筆者は捜査の専門家ではないので、どうすればいいかはまったく分からない。だが「根っこを押さえるために何をするのか」という対策が必要なのは間違いない。場合によっては、警察側の組織に手を加え、横断的対策を強化する必要があるのではないか。

　そういう部分も含めて「ドコモが悪い」で終わってはいけない事件なのだ。