ドコモ口座不正利用「二段階認証」脆弱性露呈 セブンペイ事件再来か

ドコモ口座について、不正に預金等が引き出される脆弱性が明らかになったと報道されている。
ドコモ口座の実態は銀行口座とは異なり預金や貯金目的には利用できないネット上の電子マネーのようなものであり、前払式支払手段と似たようなものだろう。提携銀行とやりとりする仕組みとなっているが、提携銀行と口座番号や名義、暗証番号等が分かればドコモ口座を作る事ができ、その銀行とリンクしてその銀行にある預金を他行に振り込んだりする事ができる。犯罪者が何らかの方法でそれらの情報を入手すれば、理論上悪用は可能だ。さらに今回は、ドコモ以外の端末の場合には二段階認証なしで作る事ができた、PCからも操作できたという脆弱性があり、これが悪用されたものと思われる。ドコモ口座を作っていない人であっても勝手に作成されて預金が引き出されるという点も大きな脆弱性だ。(やりとりは同一名義のみにすれば良いのに家族や友達という事を考えてその規制を導入しなかったのだろう)現在ドコモはドコモ口座の新規作成を中止しており、これ以上脆弱性が広がらない措置を取っているが、思い出すのは一年前のセブンペイである。あのセブンペイも二段階認証の脆弱性を突かれて大変な損害を生みだした。便利にすればするほど脆弱性が増えてかえって不便になるのはまさにこの事だ。被害額が1,000万円と報道されていたが、そうなればセブンペイの3分の1ほどの被害額となる。昨年5月に同じ事件があったにも関わらず何も対応しなかった事も批判を浴びている。

マスコミもスポンサー相手だからか遠慮がちに報道しており、国もなんだか煮え切らない態度のようであるが、金融庁が資金決済法に基づく業務停止命令や報告徴求命令を出す可能性が高く、最悪セブンペイのようにサービス終了に追い込まれる可能性もある。そうなればドコモは資金決済法に基づき残高の払い戻し手続き等を行わなければならない。セブンペイでも専用のダイヤルを設置して半年以上対応したのだから、それと同じぐらいの規模になるのは間違いないだろう。今回の事件はセブンペイのように単体ではなく提携銀行から引き出された点でドコモは知らないと言ってくる可能性もある。「セブンは本業は小売だから仕方ないけど、ドコモは通信会社でしょ?本業じゃないの?」と思う人が多数であり、しっかりしてもらいたいものである。誰がどのように補償するのかも含めて、今回の事件の解決には時間が掛かりそうだ。