なぜ、ドコモ口座は「本人確認が不十分」だったのか 「ドコモユーザー以外にも開放」戦略の“誤算”(ITmedia ビジネスオンライン)
【リンク先抜粋】
ドコモによると、被害にあったのは連携する銀行のうち11行にある66件の口座。被害総額は約1800万円(10日午後時点)。被害者には、銀行と連携して全額保証を行う方針という。
今回の不正出金の流れはこうだ。まず(1)第三者が銀行口座番号、キャッシュカード番号などを何らかの方法で不正に入手、(2)それらの情報を使って被害者になりすまし、ドコモ口座を開設し、(3)ドコモ口座と銀行口座を連携、(4)預金をドコモ口座へ送り、(5)ドコモ口座とd払いを連携して商品などを購入、現金化している──とみられるという。
ドコモ口座の開設方法には、ドコモ回線を契約している場合と、ドコモ回線を契約していない場合の2種類がある。今回の不正出金では、後者が標的になった。
ドコモユーザーの場合、ドコモ口座を開設するには「回線認証」など本人確認の仕組みが設けられている。一方、回線を契約していない人には、メールによる2段階認証を導入していたが、dアカウント取得時に登録したメールアドレスにセキュリティコードが送信される仕組みだったため、「本人確認が甘かった」(丸山副社長)。
名義、口座番号、暗証番号といった銀行口座の情報がそろっていれば、メールアドレスの数だけ、ドコモ口座を開設できる──という状況だった。丸山副社長は「口座を持っている顧客の情報をどう守るかという観点で設計・運用していたが、ドコモ口座に悪意で口座を開く人を排除できるか、という観点が抜けていた」と説明した。