ドコモ口座被害1800万円に　副社長「本人確認が不十分」

全国の地方銀行などでNTTドコモの電子決済サービス「ドコモ口座」を使った預金の不正な引き出しが見つかった問題で、ドコモの丸山誠治副社長が10日、東京都内の同社本社で記者会見し、被害の状況や補償などについて説明した。

ドコモの丸山副社長は冒頭、「不正利用の被害者、ご心配をおかけした多数の方におわびする。ドコモ口座の作成で本人確認が不十分だったのが原因だと考えている」と述べ、謝罪した。ドコモが把握している被害総額は10日正午時点で66件、約1800万円という。

主な質疑応答は次の通り。

――不正の原因となった「dアカウント」はドコモの利用者でない人でもメールアドレスの登録で作成できた。なぜこのような仕組みにしたのか。dアカウントのサービス拡大を優先したのか。

丸山氏「dアカウントを持つ人であれば、回線を持たなくてもすべての顧客に開放するという戦略で事業を進めていた。いまから考えると、このような簡易的な手段は不十分だったと反省している。当時の経緯としては、多くの人に便利に使ってもらうという趣旨だった」

――りそな銀行の口座を通じて不正利用が発覚した。なぜこの段階で対策が取れなかったのか。

丸山氏「2017年から銀行口座の振替サービスをやっていた。銀行の口座と当社のドコモ口座の名義は一致していなくても構わないという条件で、かなり緩い形で運用を始めていた。いくつかの事例が発生し、セキュリティー上の問題があった。今回の件はこれとは別の問題だと認識している」

――被害のあった地方銀行は「Web口振受付サービス」を使っていた。オンラインバンキングよりもセキュリティーのレベルが低い。これをスマホ決済のように金融サービスにつなげたのが問題だったのではないか。

丸山氏「各銀行がそれぞれの事情に応じて判断する。当社のコメントは控えたい」

――1つのパスワードに大量のIDを試す「リバースブルートフォース攻撃」が原因だったのか。

ドコモの前田義晃・常務執行役員「そこは把握していない。各銀行の対策については、それぞれの銀行で実施していると認識している」

――金融機関に問題はなかったという認識か。

丸山氏「金融機関のセキュリティーとドコモのセキュリティーとして、利用者からみるとトータルで考えないといけない。今回はドコモの本人確認が十分でなかったことが一因だった。これからキャッシュレスが日本で使われ、多くの人に使われるには全体のセキュリティーをあげながら誰でも使いやすい仕組みが必要になる」

――今回の補償については。

前田氏「銀行と協議し、積極的に被害者への補償を行っていく」

――1800万円の被害の共通点はあるのか。被害のあった銀行は10行程度か。

前田氏「今後、被害が増える可能性がないとは言えない。被害の実態については、銀行からの被害の情報に基づいて確認している。被害が出た銀行は11行あった。共通点は銀行からの情報がないとわからない。今後、銀行と協議していく」

――金融庁への報告は。

ドコモの田原務・ウォレットビジネス部長「法令に基づいて報告するように指示があった。今回の事実関係、顧客対応、再発防止策を求められている。真摯に対応していく。具体的には9日に金融庁から指示があった。報告期限は17日まで」

――35の銀行について新規登録を停止した。いつ再開するのか。

丸山氏「本人確認などは1カ月後くらいに対策していく。その後に早急に再開していく」

――ドコモ口座のセキュリティーのチェックや評価はどうだったのか。チェックを強化するのか。

丸山氏「dアカウントのセキュリティーは注力してきた。2段階認証などに力を入れてきたが、すでに口座に入っている人が対象だった。悪意を持って使う人をどう排除するかのセキュリティーは不十分だった」

――現在もメールアドレスだけでドコモ口座を作れるのか。今後の不正利用につながることはないのか。

田原氏「今もメールアドレスだけでドコモ口座を開設できるが、入金することはできない。プリペイドとしてコンビニ店舗で入金する機能のみ提供している」

――約1800万円の被害が起きた時期は。

前田氏「8月以降だった」

――被害が拡大する可能性はあるのか。

丸山氏「正直わからないが、桁が変わるほど大きく増えることは想定していない」

――銀行との連携拡大への影響は。

前田氏「今回の問題で口座登録をストップしている。事業には一定の影響がある。サービスをたくさんの人に使ってもらうため、銀行と連携を増やしていくことには変わりない。銀行と協議して十分な対策を取ったうえで再開していく」

――経営責任については。

丸山氏「まずは金融庁、捜査当局と全貌を解明するのが責任だ」

――ドコモ口座の存在を知らない人も被害を受けた。被害にあっていないかを確認するにはどうすればいいのか。

丸山氏「本人が持っている通帳などで取引履歴や残高を確認してもらうしかない。暗証番号など自分の銀行口座にアクセスするための情報を他に漏らさないことが一番重要とみている。そこを注意してもらえれば特に問題はないのでは」

――1人当たりの被害額の幅はどれくらいか。

田原氏「ドコモ口座の入金金額は1カ月当たり30万円の上限がある。8月下旬から9月にかけて被害にあった人がおり、60万円に達する人もいる」