umesoのブログ

答えがでるまで 考えて 考えて 考える

3分でわかるドコモ口座の不正利用と対策方法

ドコモ口座を利用して、他人の銀行口座からお金を引き出すという、セキュリティが心配になる事件がおきました。
私も不安になった今回の事件を、3分で理解できるように簡単にまとめ、対策を考えました。

どんなことが起きたか

難しい言葉を使わないで、簡単に3行でまとめます。

簡単な説明図
簡単な説明図

  1. 悪意のあるユーザーがドコモ口座を開設(本人認証なし、メールアドレスのみで開設)
  2. 他人の銀行口座(氏名、口座番号、4桁の暗証番号で認証ができる)に接続
  3. 銀行口座からお金を引き出し、ドコモ口座へ入金する

今回、最も重要なことは、私たちがドコモ、ドコモ口座を使っているかは関係ないことです。
銀行口座情報(氏名、口座番号、4桁の暗証番号)のみで認証できてしまう銀行口座を持っている人は被害にあう可能性があります。

被害にあったかを確認する

ドコモからのお知らせ : ドコモ口座を利用した不正利用についてのお問い合わせ窓口設置について | お知らせ | NTTドコモ

通帳の明細にて心当たりのない「ドコモコウザ」や「デイーバライ」からの引き落としがある場合はご連絡ください。

まずは通帳を記帳して、身に覚えがない引き落としを確認してください。
身に覚えがないものがあれば、すぐにドコモのお問い合わせ窓口に連絡をしましょう。

対策

結論から言うと、個人でできる対策は

  1. 銀行口座情報(氏名、口座番号、4桁の暗証番号)を漏れないようにする。
  2. 銀行口座の暗証番号を変更する
  3. 被害が出ていない銀行口座に変更する

になると思います。
それぞれを説明していきます。

1.銀行口座情報(氏名、口座番号、4桁の暗証番号)を漏れないようにする。

銀行口座情報は、ぜっったいに漏れないように普段から気をつけましょう。

  • 信頼できないサービスには銀行口座情報は教えない
    • サービスを運営する会社から銀行口座情報が流出したり、悪意のある社員が銀行口座情報を盗む可能性がある
  • 銀行口座情報4桁の暗証番号は絶対に教えない
    • 基本的に4桁の暗証番号が自分以外で必要になることはないです。暗証番号が必要となったら詐欺と思ってください。
  • フィッシング詐欺に気を付ける
    • 不正ログインされましたなどといって、偽物のURLから詐欺サイトに誘導され、銀行口座情報を入力しないように!
  • なりすまし詐欺に気を付ける
    • 家族だろうが警察だろうが銀行口座情報を教えない!

2. 銀行口座の暗証番号を変更する

こちらを変更するだけでも、銀行口座情報の1つが変更できるため、効果があります。
変更する際は推測されやすい番号は避けてください。

既に被害に会ってしまった場合は、必ず暗証番号を変更するようにしましょう

3. 被害が出ていない銀行口座に変更する

色々と面倒ですが、確実な方法です。

ドコモ口座の不正利用について知りたい。 | よくあるご質問 : 三井住友銀行
三井住友銀行はワンタイムパスワードが必要なため、問題ないと回答しています。
銀行口座情報が もし漏れても、もう1つ別の情報(ワンタイムパスワード)が必要な場合は、不正利用ができません。

ドコモ口座以外でも同様の不正利用が発生

今回の事件はドコモ口座に限ったことではありません。
ドコモ口座は本人確認がないため、不正利用がされやすかったのだと思います。

ゆうちょ銀行、不正引き出し発生のサービスは「調査中のため非開示」 - ケータイ Watch

ゆうちょ銀行は、「ドコモ口座」以外の5社で不正な預金引き出しが発生したことは事実と認めた。その上で、被害が発生したサービスについては現在調査中として、明らかにしていない。

ゆうちょ銀行は同様の被害がドコモ口座以外でも発生しています。
また、つぎつぎと被害報告がされている状況ですので、念のため通帳を記帳して身に覚えのない引き落としがないかを確認するほうがいいかと思います。

まとめ

今まではカード、通帳などを本人が持っていることで、なりすまし てお金を引き落とすことができませんでした。
しかし、いまは銀行口座情報さえわかれば、お金が引き落とすことができてしまう状態ですので、銀行口座情報の取り扱いには注意してください!

今後は考察として、この事件をエンジニアはどう対応するかを考えていきます。

ではまた!