ドコモ口座詐欺とは何か？と、その対策

イーグルフライやリアルインテリジェンスでは資産を増やすだけではなく、守る「資産防衛」も重視しています。今、ドコモ口座詐欺事件が大きな問題となっていますが、一般報道では分からないことが多いので詳しく解説します。また、各報道に間違っている部分も多そうです。

ドコモ口座事件とは何か？

ドコモ口座詐欺とは、地方銀行などの口座から第三者にオンライン決済システムであるドコモ口座を勝手に作られて、そこに資金が移動され盗まれるという事件です。

今回の事件は、ドコモ口座を持っている人が詐欺の対象ではなく、ドコモ口座を持っていない人が詐欺の対象とのことです(実際にはドコモ口座を持っていても安心ではないように思います)。現在、問題が大きくなったことから、ドコモはこの詐欺の被害を全額保障することを決定しました。

第三者が勝手に口座を作れてしまう一番の原因は、銀行やドコモから個人情報が流出したのではなく、銀行とドコモ口座の両方の本人確認手段が甘いため、成りすましが比較的簡単だったからです。

一般の報道では、口座番号、名前、暗証番号を何らかの手段で不正に入手し、利用して引き出したとされています。これはある意味正しいのですが、このレベルの認識だと、私たちは今回のようなリスクを回避できません。

詐欺に対処するためには、詐欺の手口を知っておくことが極めて大切です。

暗証番号等取得の手口

例えば、口座番号(会員番号)と暗証番号4桁の銀行のシステムでは、一定の回数、暗証番号を間違えるとロックされる仕組みになっています(3回間違えるとロックされるところが多い)。

したがって、口座番号を固定して、暗証番号を変えて口座へアクセスしようとしても適当な暗証番号を入れるとすぐにロックされますが、暗証番号を固定して、口座番号を変えて、その暗証番号を使っている口座を特定するのは簡単です。IPアドレスを使い分けながらアタックするとシステムも感知ができません。

また、例えば、1日に3回暗証番号を間違えるとロックされるシステムで、毎日2回ずつトライしたとしても、比較的短期間に口座にアクセスできることが多いです。なぜなら、簡単に思いつく暗証番号があり、多くの人(たぶん半数近くの人)は、そのような安易な暗証番号にしているからです。

例えば、10人に1人の暗証番号は1234なので、10口座に1つは、最初の1回でアクセスできてしまうのです(6桁になっても123456という暗証番号は圧倒的に多いです)。

上位20位の暗証番号(絶対使ってはいけない暗証番号)

1234、1111、0000、1212、7777
1004、2000、4444、2222、6969
9999、3333、5555、6666、1122
1313、8888、4321、2001、1010

4桁の暗証番号は1万通りあるわけですが、この20個の暗証番号で全体の26%になるそうです。つまり、口座を特定して1日に2回のトライをこの順番でやっていけば、10日以内に26%の人の口座にアクセスできるということです。

その他にも暗証番号には次の傾向があります。

・生年月日
・生まれ年
・1桁目が1が30%～40%
・1桁目が0が20%～30%

安易な暗証番号を使わないことは極めて大切です。大手銀行は口座にアクセスするために2段階認証などが必要となりますので、第三者のアクセスは難しいです。今回、地銀が狙われたのはアクセスしやすいからでしょう。

口座番号、名前、暗証番号が分かれば、次は本人に成りすましてNTTドコモでドコモ口座を開設します。そしてドコモ口座と銀行を連携します。連携したらドコモ口座にチャージして商品などを購入、という流れです。

何が問題か

現在、第三者がドコモ口座を作れてしまう理由は、運転免許証の提出などの厳格な本人確認手続きがないことです。特にドコモ回線契約者(ドコモユーザー)以外でも、ドコモ口座を作ることができるようにしたことが脆弱さを生みました。

ドコモユーザー(ドコモの携帯端末を使っている人)は、端末契約時に本人確認しますが、ドコモユーザー以外の人がドコモ口座を作るのに本人確認が甘く、運転免許証などの本人確認をしません。

また、二段階認証をする時に、ドコモユーザーがドコモ口座を作る時は、携帯端末にセキュリティコードが送られてきますが、ドコモ回線を契約していない人には、成りすましに使った登録メールアドレスにセキュリティコードが送られてくるため、詐欺師のPCのみで操作が完結してしまいます。

このような理由から、ドコモユーザーは対象外という報道がありました。しかし、よく考えてみるとドコモユーザーであっても、成りすましで作るドコモ口座は架空の住所で作れてしまうと思いますので、被害を受けるように思います。

ドコモ口座を乗っ取るのが目的ではなく、ダミーのドコモ口座を作るのが目的だからです。名義、口座番号、暗証番号といった銀行口座の情報がそろっていれば、メールアドレスの数だけ、ドコモ口座を開設できるようでもあります。

最近のスマートフォン決済では、スマートフォン自体が認証されているので成りすましが難しいため、現時点では詐欺の対象にはなっていないと思われます。

今回、フィッシングで取得した情報を元にしている疑いもあるという報道もありました。フィッシングとは、銀行からきたように見える偽メールのURLにアクセスしようとすると偽サイトにアクセスして、そこに入力した情報を抜かれるという流れです。

しかし、地銀からのフィッシングメールはピンとこないですし、他行のフィッシングの情報だけでは不十分なのでこれは違うような気がしています。

どのように対処したら良いのか

それでは、そのように対処すれば良いかということになります。

1. 自分が被害を受けていないか確認する
   被害を受けていることが分かれば保障されます。口座残高が少なければ問題ないというわけではないようで、借り入れとなっている可能性もあるようです。
2. 暗証番号は推測されない一般的でない番号に変更する
3. 銀行口座は、セキュリテイが高い口座を使う
4. 認証が甘そうな口座の暗証番号を変える

最近、フェイスブックアカウントをのっとられたりすることなども多発しているので、これらも二段階認証に切りかえることが大切です。ちなみに、大掛かりな不動産詐欺などになると、本人に成りすます手口も凄いです。

自動車運転免許を持っていない人に成りすます場合、教習所に通って自動車運転免許取得し、自動車運転免許証を本人確認資料とするケースなどもあります。運転免許証は本物ですが、写っている人物が偽者ということになります。

資産を守るためには、このような詐欺の手口を知っておくことが大切です。