被害者となる条件が「対象の銀行口座所持」という、前代未聞のドコモ口座を利用した不正チャージ事件。
今回の記事では不正チャージに至る犯人の手口と、対象の銀行口座を所持していた場合の対策を解説します。
まず注意すべきこと
まず認識しなければならないことは、今回の事件が「ドコモのサービス利用と無関係」だということです。
つまりドコモと未契約、もしくはこれまでドコモ口座が未利用でも被害者となり得る可能性があるのです。
被害者全員がドコモ口座持たず スマホ決済使わない人が標的
https://t.co/1Zicmw0IEFドコモのスマートフォン決済などを利用したこともないような人が、被害にあっていたことになる。
1つの銀行口座に対してひも付けられる「ドコモ口座」は1つ。
— 産経ニュース (@Sankei_news) September 10, 2020
つぎに認識すべきこと
つぎに認識すべきことは「ドコモ口座は銀行口座ではない」ということです。
ドコモ口座は、あくまで「ネットやアプリ上で送金や買い物ができるバーチャルな財布」です。
そのため銀行口座と違って「誰でも」「簡単」に利用開始でき、事件の時点で本人確認はありませんでした。
引用元:ドコモ口座
事件のおおよその流れ
現在確実視されているのは「1・2・3番目」で、4番目と5番目は可能性があるとされる手口です。
事件のおおよその流れ
- 犯人がdアカウントとドコモ口座を作成する
- ドコモ口座にターゲットの銀行口座を指定する
- 銀行口座からドコモ口座にチャージする(口座振替:ドコモコウザとして記載される)
- dアカウントから銀行口座の連携を外す(チャージ限度額が1アカウント30万円のため)
- 別のdアカウントに先程と同じ銀行口座を連携させ、口座が空になるまで繰り返す
金融取引被害に遭いました。メインバンクから、「ドコモコウザ」名義で、4回に渡って30万円ものお金が引きだされ、行方不明に。銀行は「ドコモから情報が漏れたんだろう」ドコモは「銀行から情報が漏れたんだろう」でまともに調べてくれず。警察がなんとか捜査はしてくれるそうですが…😭
— なっつるん@事情により低浮上 (@ymnykatsura) September 3, 2020
不正チャージの可能性がある銀行口座
ドコモ口座の公式で「ドコモ口座の対応金融機関」として公開されている、全35行の銀行一覧です。
不正な預金の引き出しが確認された銀行は、2020年9月16日0時時点において「11行」となっています。
(被害が発生した全11行のうち、銀行名が公開されているのは10行。のちに判明した1行は非公開)
| 銀行名 | 読み仮名(五十音順) | 所在地 | 不正引き出し | チャージ停止 |
|---|---|---|---|---|
| イオン銀行 | いおん | 東京都 | 被害確認 | 停止済み |
| 池田泉州銀行 | いけだせんしゅう | 大阪府 | 停止済み | |
| 伊予銀行 | いよ | 愛媛県 | 停止済み | |
| 愛媛銀行 | えひめ | 愛媛県 | 停止済み | |
| 大分銀行 | おおいた | 大分県 | 停止済み | |
| 大垣共立銀行 | おおがききょうりつ | 岐阜県 | 被害確認 | 停止済み |
| 紀陽銀行 | きよう | 和歌山県 | 被害確認 | 停止済み |
| 京都銀行 | きょうと | 京都府 | 停止済み | |
| 滋賀銀行 | しが | 滋賀県 | 被害確認 | 停止済み |
| 静岡銀行 | しずおか | 静岡県 | 停止済み | |
| 七十七銀行 | しちじゅうしち | 宮城県 | 被害確認 | 停止済み |
| 十六銀行 | じゅうろく | 岐阜県 | 停止済み | |
| スルガ銀行 | するが | 静岡県 | 停止済み | |
| 仙台銀行 | せんだい | 宮城県 | 停止済み | |
| ソニー銀行 | そにー | 東京都 | ||
| 第三銀行 | だいさん | 三重県 | 停止済み | |
| 但馬銀行 | たじま | 兵庫県 | 停止済み | |
| 千葉銀行 | ちば | 千葉県 | 停止済み | |
| 千葉興業銀行 | ちばこうぎょう | 千葉県 | 停止済み | |
| 中国銀行 | ちゅうごく | 岡山県 | 被害確認 | 停止済み |
| 東邦銀行 | とうほう | 福島県 | 被害確認 | 停止済み |
| 鳥取銀行 | とっとり | 鳥取県 | 被害確認 | 停止済み |
| 南都銀行 | なんと | 奈良県 | 停止済み | |
| 西日本シティ銀行 | にしにほんしてぃ | 福岡県 | ||
| 八十二銀行 | はちじゅうに | 長野県 | ||
| 肥後銀行 | ひご | 熊本県 | ||
| 百十四銀行 | ひゃくじゅうし | 香川県 | 停止済み | |
| 広島銀行 | ひろしま | 広島県 | 停止済み | |
| 福岡銀行 | ふくおか | 福岡県 | ||
| 北洋銀行 | ほくよう | 北海道 | 停止済み | |
| みずほ銀行 | みずほ | 東京都 | ||
| みちのく銀行 | みちのく | 青森市 | 被害確認 | 停止済み |
| 三井住友銀行 | みついすみとも | 東京都 | ||
| ゆうちょ銀行 | ゆうちょ | 東京都 | 被害確認 | 停止済み |
| 琉球銀行 | りゅうきゅう | 沖縄県 | 停止済み |
銀行名10行の引用元:NHK
どのような被害を受けるのか?
このたびの事件で受ける被害は「ターゲットとなった銀行口座からのチャージ」です。
このチャージは「ドコモコウザ」という名で行われ、何度も少額づつ手続きされるようです。
「ドコモ口座」の被害者「信じてもらえず憤り」補償求める #nhk_news https://t.co/GTgKGgDCxh
— NHKニュース (@nhk_news) September 9, 2020
またこの方は総合口座だったため、残高がマイナスになってもチャージされたそうです。
銀行(七十七銀行)では、定期預金との総合口座にしていたため、残高がマイナスになってもお金が引き出され続けました。
そのマイナス分は七十七銀行からの貸付と言う形になるので、その利子を要求する電話が銀行からかかってきます。— なっつるん@事情により低浮上 (@ymnykatsura) September 8, 2020
補償はされるのか?
現時点でドコモと各銀行の発表内容は「銀行口座の連携に必要な情報を漏らしていない」ということです。
これは見方によって、ドコモと各銀行のどちらにも責任の所在がハッキリしていないとも言えます。
引用元:ドコモからのお知らせ
つまり「不正なチャージを本人以外が行った」という明確な証拠がない限り、補償が難しいかもしれません。
やろうと思えば自身でドコモ口座にチャージして「不正チャージの被害に遭った」とも言えるわけですし……
RTした件呟いてる本人ではないのですが、わたしのリア友も同じ手口で「ドコモコウザ」へ数十万引かれたとの事。
警察、銀行、docomo相談したけど現状どこにも取り合って貰えないとの事です。
本人確認なしで口座番号と暗証番号だけで操作可能な仕組み怖すぎる。
いつ自分も食らうかわからない。— 紫陽花 (@kirakira_fb) September 5, 2020
ドコモの会見動画を見てみる
2020年9月10日の夕方に行われた、ドコモの会見動画です。
https://www.youtube.com/watch?v=pSLcuZzM-jU
私達が取れる対策
今回の事件で被害に遭う可能性があるのは、前述した35行に銀行口座を開設している方全員です。
とはいえ記載の銀行の中にはセキュリティ意識が高く、未だ被害が報告されていない銀行もあります。
それでも該当する場合、必ず一度は残高をチェックしておくべきだと言えるでしょう。
私達が取れる対策のまとめ
- 被害を確認するために、銀行へ行って記帳する
- 可能であれば、Web経由の口座振替を停止する
- 安全を期すのであれば、対象の銀行から資産を抜いておく
- 資産を抜くのが難しい場合、ドコモ口座をあえて作成する
- 作成したドコモ口座に、ドコモ口座対応銀行を連携させる
(ドコモ口座と銀行口座を連携させておくと、別のアカウントで連携できなくなる)
いつまで警戒すべきか?
2020年9月10日00時33分の記事によると「ドコモ口座と全35行との新規登録が停止する」ようです。
しかしながら「チャージ停止」ではないため、すでに連携済みの口座から継続して引き出される可能性も。
仮にこの事件が落ち着いたら、一応念のために銀行口座の暗証番号を変えておくと良いかもしれません。
不正利用相次ぐ「ドコモ口座」、利用可能な全35行で新規登録停止へhttps://t.co/gPA7iTFIaP#経済
— 読売新聞オンライン (@Yomiuri_Online) September 9, 2020
いつまで記帳すべきか?
とりあえず、まずは被害の確認のため記帳はしておくべきです。
そして不安であれば、記帳の頻度は毎日行わなわなければなりません。
記帳でわかることは過去と記帳した時点において、まだ被害に遭っていないということだけ。
決して、今後被害に遭う可能性が0になったわけではありません。
なぜならドコモが行った対策は「ドコモ口座と銀行口座の新規連携停止」のみ。
つまり「ドコモ口座とすでに連携済みの口座からのチャージ」は防ぎようがないのです。
強いて今安全と言えるのは「ドコモ口座へのチャージを停止している銀行の利用者」くらい。
もっともこれもチャージが再開された場合、暗証番号を変えていない限り被害に遭いますが……
過去の不正引き出しについて
2020年9月10日01時54分の記事によると、ドコモ口座は過去にも不正引き出しに関与しているようです。
このとき引き出し先となった「りそな銀行」は、今回不正チャージの可能性がある35行の対象外です。
「ドコモ口座」去年5月にも同様の不正引き出し #nhk_news https://t.co/d7LUN91Gr9
— NHKニュース (@nhk_news) September 9, 2020
過去の補償金額について
昨年の2019年5月15日に発生したという、ECショップでのd払いとdポイントの不正利用に関する情報です。
上記のりそな銀行が関連しているかはわかりませんが、この方の被害総額は「約15万」だったとのこと。
しかしドコモが行った補償は全額ではなく、15万円の約66.4%に相当する99,673円に留まりました。
やっと終焉が近付いてきた。2019/5/15のECショップでのd払いとdポイントの不正利用から始まり、ドコモ口座の身に覚えのない開設と携帯払いに紐付けされた不正利用。総額15万円相当。福岡県警サイバー犯罪対策室と弁護士と共に闘ってきた結果…。#docomo #d払い #フィッシング詐欺 #補償 #拡散希望 pic.twitter.com/R7SU4IusAp
— Hiroyuki Asou | 麻生裕之 (@Hiroyuki_Asou) October 24, 2019
今回の事件に関して予兆は無かったか?
2020年9月4日の時点で「d払いのお知らせ一覧」に公開されていた情報です。
d払いアプリとドコモ口座で、それぞれ異なるdアカウントでログインを行っている事例があったようです。
つまりこのときには、犯人が別のdアカウントとドコモ口座で銀行口座を登録していた可能性があります。
引用元:d払い
ドコモはなぜチャージ機能を停止しないのか?
まずドコモがチャージ機能を停止しない、もしくは停止できない表向きの理由から解説します。
それは先日の会見の内容を鵜呑みにするなら「1日のチャージ件数が1万3000件ある」ことです。
ドコモ口座はバーコード決済の「d払い」とも連携しているため、チャージを止めると大きな影響が出ます。
そのため「現在利用しているユーザーの利便性を損なわない」という背景は、理解できなくはありません。
しかしチャージを止めることによる一番の弊害は、キャッシュレス決済サービスのシェアを失うことです。
チャージを停止しないで喪失するユーザー数は、今回の事件をある程度理解している少数に留まるでしょう。
しかしチャージを停止すると、使い勝手の悪さに不満を抱いた多数のユーザーを喪失する要因となります。
今ドコモは各サービスの冠をドコモから「d」に変更し、キャリア契約に依存しない会員化を進めています。
キャッシュレス決済は最も生活に密接するサービスですから、ここを握れるかどうかが経営上の課題です。
仮にある程度キャッシュレス決済のシェアが確保できれば、自社サービスと合わせた収益が見込めます。
しかし一度シェアを失えば、キャッシュレス決済の手数料はおろか自社サービスの収益も落ち込みます。
つまり被害が拡大していない現時点においては「サービスを停止するリスク」を負いたくないのが実情。
ただでさえドコモはキャッシュレス決済のシェアが少ないため、一度コケたらおそらく立ち直れません。
「たとえ不正チャージによる被害額を全て補償してでも、将来の利益を確保することが重要だ」
ドコモが頑なにチャージを停止しない理由について、自身はこう考えているのではないかと推測します。
※「シェアが少ない」という根拠は、下記2つのデータを参考にしています
①コード決済事業市場シェア(利用金額ベース)においてPayPayが圧倒しており、ほかのサービスが僅差
②マイナポイントに登録したキャッシュレス決済サービスのアンケートにおいて、dカードのシェアが6位
参考元①:公正取引委員会
他の決済サービスは安全なのか?
9月15日にゆうちょ銀行が一部の決済サービスとの連携を「一時停止」しています。
停止対象となるサービスのうち「PayPay」と「LINE Pay」には、不正出金の被害報告があります。
さらに「Kyash」でも不正出金が確認されており、他の決済サービスも安全とは言いきれません。
ゆうちょ銀行が8つの決済サービスに対する即時口座振替を一時停止 「PayPay」「LINE Pay」では不正出金も確認https://t.co/3efAoW1QzV
— ITmedia Mobile (@itm_mobile) September 15, 2020