続・ドコモ口座事件
NTTドコモの電子決済サービスである「ドコモ口座」で、不正利用が発覚してから間もなく一カ月が過ぎようとしています。
この事件を発端に、ゆうちょ銀行やウェルネットをはじめ、セキュリティや認証の甘さを突いた事件が発生、発覚が続いています。
今回は「続」というほどでもありませんが、改めてドコモ口座事件の手口の図解と、ドコモ口座がオンライン上での本人確認として「eKYC」を導入するということで、「eKYC」の解説をしたいと思います。
▼2020/09/11のドコモ口座事件に関してのnoteはこちら▼
続・ドコモ口座事件 その手口を図解
①犯人はスミッシングやフィッシング等の手口で、被害者の口座情報などを入手
②被害者になりすまして、メールアドレスだけで口座の開設ができるドコモ口座で口座開設
③”①”で不正入手した情報を使って、ドコモ口座と被害者の銀行口座を紐づける
④被害者の銀行口座から紐づけたドコモ口座へ不正にチャージ
⑤d払いでタバコや家電製品などを購入し、転売することで換金
今回はもちろんドコモが口座開設のハードルを下げてしまったことも事件の原因の一つだと思っていますが、上の図にも書いてある通りで既に①の時点で被害者にも落ち度があると私は考えています。
そもそもの話ですが、ドコモ口座がなくとも、口座番号や暗証番号等を盗まれている時点で、悪用されるものです。今回はたまたまドコモ口座の隙を突いての不正利用でしたが、タイミングが異なれば別の手口で悪用されています。
これは前から私もたびたびnoteにも書いていますが、日本人のリテラシーの低さが一因となっているわけで、そもそもスミッシング・フィッシングされていなければこんな事件起き得ないのです。もちろんドコモにも落ち度はあります。
しかしこのような事件をいちいちメディアが騒ぎ立てて、利用者の不安を駆り立てるようなワイドショーで取り上げるので、日本のキャッシュレス化さらにはデジタル化が進まないのだと思っている。もちろんドコモに落ち度はあります。あと、銀行もそうです。「ドコモさんだから大丈夫でしょ」と他人任せなスタンスも、今回の事件の一因です。
いずれにしても、今回の事件でドコモのd払いはスマホ決済競争から一歩後退したことは間違いないでしょう。今後の巻き返しに期待します。
▼スミッシングに関するnoteはコチラ▼
「eKYC」とは何か
eKYC
『electronic Know Your Customer』の略
もともと「KYC」という言葉自体は銀行口座開設などで必要になる本人確認手続きの総称として使われていたようです。
その言葉にe(electronic)が付くことによって、「電子(オンライン)での本人確認」という意味になります。電子化することで、より便利にスピーディに本人確認を行えるようになりました。
オンラインにおける本人確認の手段の総称であり、何か特定のセキュリティ認証サービスではありません。
※ここら先は私もそこまで知らなかったので、調べた内容となります。
eKYCは便利さを求めてというだけではなく、テロ資金対策や振り込め詐欺の対策として、本人確認を厳重にしていくという流れがあり、企業サービスでの導入が進められています。
『KYC』及び『eKYC』の根拠となる法律は、2007年に施行された「犯罪による収益の移転防止に関する法律(犯罪収益移転防止法)」です。
『eKYC』は、2018年11月に金融庁より法律施行規則の一部改正命令で公開されました。「オンラインで完結する自然人の本人特定事項の確認方法の追加」として、以下に4つが記載されています。
1.本人確認書類の画像+本人の容貌の画像送信
2.ICチップ情報+顧客の容貌の画像送信
3.銀行等への照会
4.顧客名義口座への少額振込
つまりオンラインにおける本人確認手段、ということなのですが、既に我々の使っているアプリでも広義のeKYCは行われていることが分かるかと思います。
私の大好きなPayPayはじめとするスマホ決済アプリ、口座残高確認やオンラインバンキングをはじめとする銀行系アプリ、古物をやりとりするためのメルカリ、運転免許を持っていることが大前提となりますがカーシェアのアプリ。
特にお金が絡んでくるサービスに関しては、SMS認証や2重認証が基本的には行われていると思いますが、今回問題になっているドコモ口座はメールアドレスのみというの確かにお粗末すぎたかもしれません。
今回の事件で改めて、オンラインでの本人確認の重要性が再認識されたという意味では、事件が発生してよかったのではないかと感じています。今後あらゆる業種業態のオンラインサービスを安心・安全に使っていくうえで、必須の仕組みであると理解しました。
この記事が気に入ったらサポートをしてみませんか?