「ドコモ口座」以外で金融機関からの不正引き出しは？　PayPayはあり、au PAYはなし

　NTTドコモの「ドコモ口座」を使い、金融機関の口座から預金を不正に引き出す事件が起きた。

　同様の不正利用は、ほかのサービスで起きていないのか。ドコモ口座での不正利用の原因や手口はまだ調査中とのことだが、本誌ではひとまず、au PAY、PayPayに状況を確認した。あわせてメルペイからのコメントもご紹介する。

PayPay、不正利用あり

　PayPay広報によれば、「フィッシング詐欺で口座番号が盗まれてしまうなど、PayPayにチャージすることは、過去に起こっていた」という。ただしその件数は非公開。

　ただし、専任スタッフやコンピューターによって24時間モニタリングしており、不正利用された場合は検知。事例によっては補償が進んでいるものもある。

au PAY、連携銀行は2つだけ

　au PAYを提供するKDDIによれば、au PAYの口座チャージができるのは現在、au じぶん銀行とローソン銀行の2行だけ。つまり今回、「ドコモ口座」で不正利用が発生した金融機関とは連携していない。

　一方、au じぶん銀行によれば、口座とau PAYを連携させる際には、口座番号など複数の項目を入力している。また乱数表などが必要だ。これらの要素で、銀行側として不正利用を防止している。

　ローソン銀行は、au PAYへ登録する際の手続きをWebサイト上で詳しく案内している。ATMでの手続きが必要で、ATMでキャッシュカードを挿入する場面が含まれており、キャッシュカードがユーザーの手元にあれば不正利用されない仕掛けとなっている。

メルペイ「確認していない」

　メルペイ広報は「現時点で、今回と関連される事案は確認していない」とコメント。

　一方で、不正利用そのものは、メルペイに限らず、他のサービスでも発生し得るものであることから、24時間365日で、チャージを含めた取引モニタリングを実施。疑わしい動きには、利用制限をかけることもあるという。また万が一、不正が発生した場合も、メルペイでは全額補償も規約に盛り込み、不正利用に対する体制作りに引き続き取り組んでいるとのこと。

銀行側の認証は

　今回、問題が起きたドコモでは、ドコモ自身が保有していない暗証番号などが用いられていることもあり、ドコモからの情報漏えいではないと説明。

　ドコモ口座は、本人確認を経ない「dアカウント」からも開設できるが、その場合は機能がある程度制限された「ドコモ口座（プリペイド）」というサービスの口座になる。そのため、銀行口座からのチャージはできない。

　ただし、口座情報が登録された段階で「本人確認を終えた」とみなし、銀行口座からのチャージができるようになる。

　口座を登録する際には、金融機関側の認証も重要だ。本誌の調べでは、不正利用が発生した金融機関の口座を登録する際は「名前」「口座番号」「暗証番号」の3つだけで済む形だった。そのため、もし、フィッシング詐欺などでそれらの情報が他者に知られていると、ドコモ口座へ登録しやすい環境だった。ちなみにドコモ口座では口座名義と照合は行われる。

　この「3つの項目だけ」の金融機関の場合、ドコモ口座以外のサービスへの登録もできる可能性がある。先述したPayPayでの不正利用も、そうした事例に当てはまる可能性は、現時点では否定できない。

　大手金融機関のなかには、三井住友銀行の場合、氏名や口座番号、暗証番号だけではなく、ワンタイムパスワードの入力を求めている。またソニー銀行はキャッシュカード裏面の番号入力を必要としている。これらの要素が不正利用を抑止する格好だ。

　ドコモ口座の不正利用は、まだ調査中のことが多く、不正利用の可能性がある金融機関は今後も増える可能性がある。被害状況や、手口、原因など、判明次第、本誌でも追ってお伝えする。