2020年電子決済サービス不正引き出し事件
2020年電子決済サービス不正引き出し事件 | |
---|---|
場所 | 日本 |
日付 | 2020年9月に発覚 |
原因 | セキュリティ上の不備など |
被害者 | 175件 (2020年9月22日時点) |
損害 | 31,521,530円 (2020年9月22日時点) |
2020年電子決済サービス不正引き出し事件(2020ねんでんしけっさいさーびすふせいひきだしじけん)は、2020年9月に発覚した複数の電子決済サービスを通じて、銀行口座の残高が不正に引き出された事件。被害者の銀行口座が第三者によって勝手に電子決済サービスに登録され不正に口座残高の引き出しが行われた。2020年9月22日時点で約3152万円の被害が確認されている[1]。
概要
[編集]2020年9月初め頃からSNSなどでドコモ口座への不正引き出しが報告され[2]、9月15日時点で2676万円の被害が確認されている[3]。第三者が何らかの方法で被害者の個人情報を取得し、銀行口座を勝手に電子決済サービスに登録して不正に口座残高を引き出したと考えられている。
不正引き出しの被害は、当初NTTドコモ利用者、ドコモ口座利用者などと考えられていた。だが9月15日以降、ドコモ口座以外に、PayPay、Kyash、LINE Payなどの決済サービスでも不正引き出しの被害が確認され始める[4]。電子決済サービス側からの個人情報の流失は無く、他から流失した個人情報をもとに電子決済サービスを手段として犯罪が行われていたと考えられている。後に、個人情報は、ソフトバンク販売代理店から持ち出されたものが悪用された疑いが高まった[5][6](後掲)。
手口
[編集]犯人はまず、被害者の「携帯電話番号、氏名(口座名義)、生年月日、金融機関名、口座番号」を不正に入手。後掲の、ソフトバンク販売代理店から流出した顧客情報が悪用されたと見られる[5][6]。
次に、上記情報を用いて、ドコモ口座、PayPay、Kyash、LINE Payなどの電子決済サービスに勝手に関連付け。その後、銀行口座から関連付けた電子決済サービスへ残高を送金(チャージ)した[7]。
セキュリティ上の脆弱性と対策
[編集]セキュリティ上の脆弱性
[編集]今回の事件では、ドコモ口座等の電子決済サービス側と銀行側、双方にセキュリティ上の脆弱性があり、それを突かれたもの。
- 電子決済サービス - メールアドレスのみでアカウント作成が可能(フリーメールでも可能)。eKYC等による本人確認やSMS認証による回線確認が無く、1人の人間が無制限にアカウントを作成出来てしまう。特にドコモ口座は、当初はNTTドコモ回線契約者限定であったものをキャリアフリーに変更した経緯があり、利用者拡大を急ぐあまりにセキュリティ対策が劣後したとの指摘がある[8][9]。
- 銀行 - 今回被害に遭った銀行はいずれも、地銀ネットワークサービスが提供する「Web口振受付サービス」という共同利用型サービスを使用していた[10]。このサービスは、最小の場合は「口座名義人名(カナ)、生年月日、金融機関・口座番号、キャッシュカード暗証番号」によって銀行口座と電子決済サービスの関連づけ登録が出来てしまう(認証項目は金融機関によって異なるが、今回は認証項目が少ない銀行がターゲットとなった)[11]。
この結果、犯人は電子決済アカウントを大量に作成し、多数の金融機関口座とひも付け、不正送金を繰り返した。
なお今回、ソフトバンク代理店からキャッシュカードの暗証番号は流出していなかったが、これはリバースブルートフォース攻撃(逆総当たり攻撃)によって突き止められたのではないかとの指摘がある[12][13]。
対策
[編集]今回の事件を受け、電子決済サービスと銀行、それぞれがセキュリティ対策の強化を講じている。
- 電子決済サービス - アカウント作成時にeKYCやSMS認証によって本人確認を徹底。重複作成を防ぐ[14][15][16][17]。また日本資金決済業協会は、2020年12月3日に「銀行口座との連携における不正防止に関するガイドライン」を策定[18]、2021年1月28日に「銀行口座との連携における不正防止に関するガイドライン(前払式支払手段)」[19]を策定した。
- 銀行 - WEB口座振替の利用登録時に「記憶情報(知識情報)」だけでなく、IVR(Interactive Voice Response、電話自動音声応答)認証[20]や通帳の最終記帳残高等、いわゆる「所持情報」を取り入れ、二要素認証を採用する[17]。金融庁は2020年度内に義務づける方針[21]。また全国銀行協会は、2020年11月30日、銀行側が注意すべき点を取りまとめた「資金移動業者等との口座連携に関するガイドライン」を策定し[22]、2021年5月28日、「資金移動業者と銀行の間の口座連携に係る覚書の条文例」を発表した[23]。
被害
[編集]決済サービス | 件数 | 被害額 | 確認日 | 引き出し元銀行 | 出典 |
---|---|---|---|---|---|
ドコモ口座 | 145件 | 26,780,000円 | 2020年9月16日 | 七十七銀行、中国銀行、東邦銀行、鳥取銀行、滋賀銀行、大垣共立銀行、紀陽銀行、みちのく銀行、ゆうちょ銀行(82件、15,460,000円)、イオン銀行、第三銀行 | [1][24][25][26] |
PayPay | 18件 | 2,653,041円 | 2020年9月22日 | ゆうちょ銀行(13件、1,354,041円)、愛知銀行(3件、1,200,000円)、イオン銀行(2件、99,000円) | [27][28] |
Kyash | 4件 | 530,000円 | 2020年9月15日 | イオン銀行(1件、300,000円)、ゆうちょ銀行(3件、230,000円) | [29][30] |
メルペイ | 4件 | 1,050,489円 | 2020年9月18日 | ゆうちょ銀行(4件、1,050,489円) | [31][32] |
LINE Pay | 2件 | 498,000円 | 2020年9月16日 | ゆうちょ銀行(2件、498,000円) | [33] |
PayPal | 2件 | 10,000円 | 2020年9月16日 | ゆうちょ銀行(2件、10,000円) | [24] |
支払秘書
(ウェルネット) |
35件 | 2,696,440円 | 2020年9月16日 | ゆうちょ銀行他 | [24][34] |
経緯
[編集]2019年5月、りそな銀行の口座からドコモ口座を通じて預金が不正に引き出された[35]。
2020年9月始め頃、利用した覚えがないのに銀行口座から「ドコモコウザ」という名義で数十万円(30万円など)のお金が引き出されたという報告が、SNS上で複数行われた[2]。
2020年9月5日、0時よりNTTドコモは「ドコモ口座」において、七十七銀行の銀行口座登録・銀行口座変更を停止[36][2]。
2020年9月8日、0時より中国銀行、大垣共立銀行の銀行口座登録・銀行口座変更を停止[36]。また、イオン銀行、池田泉州銀行、大分銀行、紀陽銀行、滋賀銀行、仙台銀行、第三銀行、但馬銀行、鳥取銀行、北洋銀行、みちのく銀行、伊予銀行、東邦銀行、琉球銀行の銀行口座登録・銀行口座変更を停止[37]。
同日ドコモは、同社システムへの不正アクセスでは無いことを報じた[38]。
2020年9月9日、9時40分ゆうちょ銀行の銀行口座登録・銀行口座変更を停止[39]。
2020年9月10日、0時より35行全ての提携銀行における銀行口座登録・銀行口座変更を停止[40][41]。同日、金融庁は報告徴求命令を出し、実態の解明、報告を命じた。同日16時30分よりNTTドコモは本件に関する記者会見を本社で開き、丸山誠治副社長が謝罪し、セキュリティの不備を認めた[42][43]。被害が確認された銀行は11行[44]、66件で合計被害額は約1800万円[45]。(丸山誠治副社長は2022年5月11日に副社長を退任[46]、子会社のNTTコノキュー社長に就任)
2020年9月15日、0時時点でドコモ口座経由の不正引き出し被害が確認された銀行は11行、143件で合計被害額は2676万円[3]。この他一連の不正引き出しがドコモ口座以外にPayPay(17件約141万円)[27]、Kyash(4件53万円)[29][30]、LINE Pay(2件49.8万円)[33]などでも確認された[4]。
2020年9月16日、0時時点でドコモ口座経由の不正引き出し被害は、145件で合計被害額は2678万円確認されている[1]。
2020年10月7日、18時点でドコモ口座経由の不正引き出し被害は、125件で合計被害額は2842万円[47]。減少したのは、申告内容を確認し本人の利用等であることが判明したものがあったため[48]。
2020年10月25日、18時時点でドコモ口座経由の不正引き出し被害は、129件で合計被害額は2891万円[49]
捜査・被疑者逮捕など
[編集]捜査は埼玉県警を中心に10府県の警察が合同捜査本部を設置して行っている[50]。
2021年1月1日、2019年3月に「ドコモ口座」に他人の銀行口座をひも付け、預金約100万円を不正に出金したとして、警視庁と6県警の合同捜査本部は、住所不定・無職37歳の男性をこの事件の主犯格として電子計算機使用詐欺や窃盗などの疑いで再逮捕する方針と報じられた[51][52]。この男性は2020年11月にPayPayで他人口座へ不正入金した疑いで逮捕、12月に起訴されている[53]。
2021年1月6日、上掲の37歳男性を電子計算機使用詐欺容疑などで再逮捕した。2019年3月に他人名義のスマートフォンで開設したドコモ口座に東京都在住40代男性の銀行口座情報を登録し、10回にわたり計約100万円を入金、その後コンビニエンスストアのATMで引き出した疑いがある。被疑者は「全く身に覚えがない」と容疑を否認している[54][55]。
2021年1月19日、警視庁は、同じく不正チャージした残高から、家電量販店やコンビニエンスストアでたばこや電化製品等、500万円分を大量購入したとして、中国人留学生の男女2人を電子計算機使用詐欺容疑で逮捕[56][57][58]。同日、さらに中国籍の20代の男女3人を電磁的記録不正作出・同供用と詐欺の疑いで逮捕[59]。この日の逮捕者は計5名。いずれも本件事件での「買い子」とみられる[60][61]。
2021年2月8日、中国人留学生の男女2人を詐欺の疑いで再逮捕[62]。
2021年2月15日、警視庁サイバー犯罪対策課は、ソフトバンクの顧客情報を持ち出したとして、同社の訪問販売代理店を経営していた東京都世田谷区の35歳男性を不正競争防止法違反(営業秘密の領得、使用)で逮捕[5]。2015年から2018年の期間、当該人物が関わった二次代理店(訪問販売代理店)でソフトバンク・Y!mobileの携帯電話サービス、SoftBank光、SoftBank Airの契約手続きを行った際に得た「氏名、住所、生年月日、連絡先電話番号、携帯電話番号、携帯電話機の製造番号(IMEI)、交換機暗証番号、料金支払い用の金融機関名および口座番号」6,347件を不正に持ち出した[63][64][65]。1月に逮捕した主犯格男性の関係先からこのリストが押収されており、一連の犯行の元ネタになったと見られる[5][6]。
関連被害
[編集]2020年9月15日、上越市の80代女性の元に警察官を名乗る男から「あなたの口座が不正引き出しの被害を受けている」という内容の電話があり、その約1時間後に自宅を訪れた男が女性が目を離した隙にカードを盗み、その後現金28万7,000円が引き出される被害が発生した。新潟県警は同様の不審な電話に関する通報が複数あるとして注意を呼び掛けた[66]。
脚注
[編集]- ^ a b c “ドコモ不正、被害2678万円に 145件:東京新聞 TOKYO Web”. 東京新聞 TOKYO Web. 2020年9月16日閲覧。
- ^ a b c “ドコモと七十七銀行、「ドコモ口座」への口座登録をストップ--不正利用の発覚で”. CNET Japan (2020年9月7日). 2020年9月10日閲覧。
- ^ a b “ドコモ口座の不正引き出し、被害は143件、総額2676万円に増加”. ITmedia NEWS. 2020年9月15日閲覧。
- ^ a b “ゆうちょ、8事業者との口座連携を停止 ドコモに続きPayPayでも不正引き出し発覚”. ITmedia NEWS. 2020年9月16日閲覧。
- ^ a b c d “顧客情報漏洩の疑い、元ソフトバンク代理店社長を逮捕:朝日新聞デジタル”. 朝日新聞デジタル (2021年3月4日). 2023年5月17日閲覧。
- ^ a b c “不正引き出し3600件悪用 ドコモ口座など、警察庁把握 - 日本経済新聞”. www.nikkei.com. 2023年5月17日閲覧。
- ^ “緊急解説 なぜ起きた?「ドコモ口座」不正引き出し(2020年9月11日) - YouTube”. www.youtube.com. 2021年1月3日閲覧。
- ^ ““ドコモ口座×ゆうちょ銀行問題”が残した教訓 決済サービスの向かう先を考える”. ITmedia Mobile. 2023年5月17日閲覧。
- ^ “「ドコモ口座」事件の教訓はこれからのキャッシュレス業界をどう変えるか”. ITmedia NEWS. 2023年5月17日閲覧。
- ^ “「ドコモ口座」で相次ぐ不正出金、なぜ地銀だけが狙われた? 専門家の見解は”. ITmedia NEWS. 2023年5月23日閲覧。
- ^ 日経クロステック(xTECH) (2021年2月1日). “「ドコモ口座」問題の舞台裏、銀行と決済サービス事業者が自ら招いた不正出金”. 日経クロステック(xTECH). 2023年5月17日閲覧。
- ^ 日本放送協会. “ドコモ口座 不正引き出し問題はなぜ起きたのか|サクサク経済Q&A|NHK”. NHK NEWS WEB. 2023年5月17日閲覧。
- ^ “「ドコモ口座」不正出金で注目 「リバースブルートフォース攻撃」ってどんなもの?”. ねとらぼ. 2023年5月17日閲覧。
- ^ “ドコモからのお知らせ : ドコモ口座をご利用のお客様における本人確認のお願い(チャージ可能な銀行口座を登録済みでドコモ回線をご利用でないお客様向け) | お知らせ | NTTドコモ”. www.docomo.ne.jp. 2023年5月17日閲覧。
- ^ “ドコモ口座、回線契約のないユーザーにも本人確認 eKYCも導入”. ITmedia Mobile. 2023年5月17日閲覧。
- ^ “メルペイの利用における本人確認、不正利用対策強化について”. 株式会社メルペイ (2020年9月16日). 2023年5月17日閲覧。
- ^ a b 株式会社インプレス (2020年10月23日). “ドコモ口座と口座振替サービス不正利用を総括。3つの問題点【鈴木淳也のPay Attention】”. Impress Watch. 2023年5月17日閲覧。
- ^ “「銀行口座との連携における不正防止に関するガイドライン」を策定・公表しました。 | 一般社団法人日本資金決済業協会|トピックス”. www.s-kessai.jp. 2023年5月23日閲覧。
- ^ “「銀行口座との連携における不正防止に関するガイドライン(前払式支払手段)」を策定・公表しました。 | 一般社団法人日本資金決済業協会|トピックス”. www.s-kessai.jp. 2023年5月23日閲覧。
- ^ “IVR認証について | セキュリティについて”. 山梨中央銀行. 2023年5月17日閲覧。
- ^ “【独自】金融機関の3割「多要素認証」せず…金融庁が義務付けへ”. 読売新聞オンライン (2020年12月25日). 2023年5月17日閲覧。
- ^ “資金移動業者等との口座連携に関するガイドラインの策定について | 2020年”. 一般社団法人 全国銀行協会. 2023年5月23日閲覧。
- ^ “「資金移動業者と銀行の間の口座連携に係る覚書の条文例(初版)」について | 2021年”. 一般社団法人 全国銀行協会. 2023年5月23日閲覧。
- ^ a b c 日本放送協会. “ゆうちょ銀行 不正引き出し これまでに109件 1811万円被害確認”. NHKニュース. 2020年9月16日閲覧。
- ^ 日本放送協会. “「ドコモ口座」通じた不正引き出し10行に拡大 本人確認強化へ”. NHKニュース. 2020年9月16日閲覧。
- ^ “ドコモ口座不正、第三銀行でも数件被害”. 高知新聞. 2020年9月16日閲覧。
- ^ a b PayPay. “「PayPay」利用時の本人確認および不正利用防止に向けた対応について - PayPayからのお知らせ”. PayPay. 2020年9月15日時点のオリジナルよりアーカイブ。2020年9月16日閲覧。
- ^ PayPay. “「PayPay」利用時の本人確認および不正利用防止に向けた対応について - PayPayからのお知らせ”. PayPay. 2020年9月22日時点のオリジナルよりアーカイブ。2020年12月7日閲覧。
- ^ a b “一部金融機関の新規登録および入金の一時停止について - Kyash PR”. pr.kyash.co. 2020年9月15日時点のオリジナルよりアーカイブ。2020年9月16日閲覧。
- ^ a b “弊社に関する一部報道について - Kyash PR”. pr.kyash.co. 2020年9月15日時点のオリジナルよりアーカイブ。2020年9月16日閲覧。
- ^ “メルペイの利用における本人確認、不正利用対策強化について”. 株式会社メルペイ. 2020年9月16日時点のオリジナルよりアーカイブ。2020年9月16日閲覧。 “また、本日より、ゆうちょ銀行に関する新規の銀行口座登録・銀行チャージを一時停止いたします。加えて、当社サービスにおける、ゆうちょ銀行との連携において発生いたしました事案について以下の通り報告いたします。なお、現時点で他の金融機関様についての被害は確認されておりません。 ・対象金融機関:ゆうちょ銀行 ・対象件数 :3件 ・被害金額 :計498,113円”
- ^ “メルペイの利用における本人確認、不正利用対策強化について”. 株式会社メルペイ. 2020年12月7日時点のオリジナルよりアーカイブ。2020年12月7日閲覧。 “・対象金融機関:ゆうちょ銀行 ・対象件数 :4件 ・被害金額 :計1,050,489円”
- ^ a b “ゆうちょ銀行に関する新規銀行口座登録・チャージの一時停止と 本人以外による利用事案のご報告について”. LINE Pay. 2020年9月16日時点のオリジナルよりアーカイブ。2020年9月16日閲覧。
- ^ “NEWS - WELLNET|DEPARTURE TO THE FUTURE”. www.wellnet.co.jp. 2023年5月17日閲覧。
- ^ 日本放送協会. “「ドコモ口座」去年5月にも同様の不正引き出し”. NHKニュース. 2020年9月15日閲覧。
- ^ a b “一部銀行の銀行口座登録および銀行口座変更の申込受付停止について”. docomokouza.jp. 2020年9月7日時点のオリジナルよりアーカイブ。2020年9月10日閲覧。
- ^ “一部銀行の銀行口座登録および銀行口座変更の申込受付停止について(2020年9月9日追加分)”. docomokouza.jp. 2020年9月9日時点のオリジナルよりアーカイブ。2020年9月10日閲覧。
- ^ “ドコモからのお知らせ 一部銀行の口座情報を使用したドコモ口座の不正利用について”. NTT docomo (2020年9月8日). 2020年10月5日閲覧。
- ^ “一部銀行の銀行口座登録および銀行口座変更の申込受付停止について(2020年9月9日追加分②)”. docomokouza.jp. 2020年9月27日時点のオリジナルよりアーカイブ。2020年9月10日閲覧。
- ^ “【重要】全ての金融機関における銀行口座登録の申込受付停止について”. docomokouza.jp. 2020年9月10日時点のオリジナルよりアーカイブ。2020年9月10日閲覧。
- ^ “【重要】銀行口座登録の申込受付停止および一部銀行のチャージ停止について(2020年9月10日15時更新)”. docomokouza.jp (2020年9月10日). 2020年9月10日時点のオリジナルよりアーカイブ。2020年9月10日閲覧。
- ^ “NTTドコモ、16時30分から会見 口座不正引き出しを説明”. 日本経済新聞 電子版. 2020年9月10日閲覧。
- ^ “ドコモが10日夕方に会見へ 口座不正引き出しで対応説明” (jp). Mainichi Daily News. (2020年9月10日) 2020年9月10日閲覧。
- ^ “ドコモ口座不正、被害は11銀行に|全国のニュース|京都新聞”. 京都新聞. 2020年9月10日閲覧。
- ^ 株式会社インプレス (2020年9月10日). “ドコモ口座不正利用、被害額は約1800万円。「本人確認が不十分だった」”. Impress Watch. 2020年9月10日閲覧。
- ^ “報道発表資料 : 役員の異動について | お知らせ | NTTドコモ”. www.docomo.ne.jp. 2023年5月23日閲覧。
- ^ “ドコモ口座 被害申告公表値について 10月7日18時時点” (pdf). NTTドコモ. 2023年5月17日閲覧。
- ^ 株式会社インプレス (2020年10月8日). “「ドコモ口座」不正利用の被害額は2842万円に”. ケータイ Watch. 2023年5月17日閲覧。
- ^ “ドコモ口座 被害申告公表値について 10月25日18時時点” (pdf). NTTドコモ. 2023年5月17日閲覧。
- ^ 日経「ドコモ口座で不正出金、容疑者逮捕 20年秋と別手口」
- ^ “「ドコモ口座」不正で詐欺G主犯格の男を再逮捕へ、警視庁など合同捜査本部”. TBS NEWS. 2021年1月3日閲覧。
- ^ 共同通信「ドコモ口座不正、再逮捕へ」『Reuters』2021年1月1日。2021年1月3日閲覧。
- ^ “【独自】本人確認すり抜け「ドコモ口座」悪用、99万円不正引き出し…37歳男を逮捕へ”. 読売新聞オンライン (2021年1月1日). 2023年5月17日閲覧。
- ^ “ドコモ口座で不正出金容疑 他人の預金99万円、男逮捕―警視庁:時事ドットコム”. 時事ドットコム. 2021年1月6日閲覧。
- ^ “ドコモ口座で不正出金、容疑者逮捕 20年秋と別手口”. 日本経済新聞 (2021年1月6日). 2021年1月6日閲覧。
- ^ INC, SANKEI DIGITAL (2021年1月19日). “ドコモ口座不正チャージ、買い子か 容疑の中国人留学生逮捕 警視庁”. 産経ニュース. 2023年5月17日閲覧。
- ^ 「ドコモ口座不正疑いで中国人逮捕」『Reuters』2021年1月19日。2023年5月17日閲覧。
- ^ “ドコモ口座不正引き出し事件、容疑の中国籍男女を逮捕:朝日新聞デジタル”. 朝日新聞デジタル (2021年1月19日). 2023年5月17日閲覧。
- ^ “ドコモ口座事件、さらに中国籍3容疑者逮捕へ 捜査本部:朝日新聞デジタル”. 朝日新聞デジタル (2021年1月19日). 2023年5月17日閲覧。
- ^ “ドコモ口座不正 5人逮捕 - 日本経済新聞”. www.nikkei.com. 2023年5月17日閲覧。
- ^ “ドコモ口座による預金引き出しで中国籍の男女5人が逮捕、海外の犯罪組織が関与か(久保田博幸) - 個人”. Yahoo!ニュース. 2023年5月17日閲覧。
- ^ “ドコモ口座不正引き出し、中国籍の「買い子」2人を逮捕:朝日新聞デジタル”. 朝日新聞デジタル (2021年2月8日). 2023年5月17日閲覧。
- ^ “訪問販売代理店でのお客さま情報の不正取得について | 企業・IR”. ソフトバンク. 2023年5月17日閲覧。
- ^ “ソフトバンク訪問販売代理店でユーザー情報の不正取得 2015年~2018年に6347件”. ITmedia Mobile. 2023年5月17日閲覧。
- ^ 株式会社インプレス (2021年3月4日). “ソフトバンク二次代理店役員が顧客情報を不正取得、6347件”. ケータイ Watch. 2023年5月17日閲覧。
- ^ “ドコモ口座便乗、詐欺電話に注意 新潟で28万円被害:中日新聞Web”. 中日新聞Web. 2020年9月18日閲覧。