「ドコモ口座」から始まった不正利用が拡大、「多すぎる銀行」に吹きすさぶ逆風 (下)

　「ドコモ口座」の不正利用問題が、「ドコモ口座」の緩いセキュリティに問題があることは言うまでもない。顧客獲得を第1にしてセキュリティを緩く設定した結果、大きな代償を払うことになった事例は昨年、セブンイレブンでも発生していた。

【こちらも】「ドコモ口座」から始まった不正利用が拡大、「多すぎる銀行」に吹きすさぶ逆風 (上)

　今回の事件が深刻なのは、NTTドコモと銀行のセキュリティ対策以前に、「暗証番号」が何らかの手口で把握されていると考えられることだ。銀行は暗証番号に全幅の信頼を置いてATMを運用している。暗証番号の押し間違いに制約がなければ、たかだか4つの数字の組み合わせでしかない暗証番号を、解明すること自体は難しくない。バリアは「3回間違うと無効に」なってしまい、キャッシュカードの再作成が必要なことだ。

　ところが今回の事件では、ほとんどのケースにおいて正しい暗証番号が使われていたようで、「リバースブルートフォース」と呼ばれる手法を想定する向きもある。

　キャッシュカードを利用する際には、特定の口座に暗証番号を打ち込み、3回間違うとゲームオーバーになる。リバースブルートフォースの手法は、暗証番号に対して口座番号が有効かどうかを試す方法だ。逆転の発想のような手法が使われることは想定されていないので、何回間違えてもゲームは続く。

　今は検索ソフトを組み込んだありふれたPCがあれば正解に辿り着く。キャッシュカードという厄介な媒体を用意する必要もないから、小知恵の廻る輩には有難い話だ。こうして解読されていたのだとすれば、暗証番号すら犯行の抑止力にはなり得ない。

　犯行の対象になった「Web口振受付サービス」は、契約企業の収納業務を銀行が代行することで、銀行に手数料収入をもたらす。低金利で今までのような貸出利息が見込めなくなった銀行にとって、手数料収入の魅力は大きい。本来拡大したいサービスにミソが付いた形だ。

　15日には、ゆうちょ銀行でもキャッシュレス決済サービスで「ドコモ口座」やペイペイなど6社の不正引き出しが確認されたことが明らかになり、16日にはSBI証券の顧客の6つ口座から約9864万円が流出したことが公表された。SBI証券の事例では顧客の知らない間に、口座にあった金融資産が売却されてニセの口座に送金され、当該口座からも出金されているという。この場合も顧客から「不審な取引がある」という申し出で発覚した。

　ドコモ口座との関連や、他に類似のケースがあるかどうかを含めた全体像は不明だが、金融犯罪が新たなフェーズに突入したことは間違いない。菅新首相が「多すぎる」と指摘している銀行にどんな手を打つのか、このままでは金融庁も面目が立たないだろう。（記事：矢牧滋夫・記事一覧を見る）