ドコモ口座事件のメモ
ドコモ口座を悪用した不正出金について。事件概要は以下参照。
どの情報が必要だったか?
今回の件で重要なのは、最低限
・口座番号
・暗証番号
の2点を盗んだか、推測や総当り等で発見された結果で有ること。
口座番号からは口座名義を特定できるので*1、
それにより名前ヨミを取得可能。
暗証番号については不明だが、総当たりの場合、短時間でやるにはロックがかかる。
それなりに長期間かけて集めた可能性もあるが、難易度を考えるとフィッシングされた可能性もそれなりに高いように思う*2。
また、どの手法でも総当り自体はドコモ口座経由とも限らない点にも注意。
ドコモ口座はあくまで出金先として確定しているだけなので、知らない間に他のサービスで試してから抜かれている可能性も否定できない。
一番緩い銀行は上記3点で登録可能なので、そこから抜かれた様子。
次点の上記+生年月日+電話番号も、
・生年月日はFacebook等SNSから特定された可能性がある。
・電話番号は昔の電話帳で特定できる場合がある。地銀の場合成功率が多少上がる。この場合主に中年以上の世帯であることも推測できる。
という点で、取得可能なケースがあったように思う。
被害者数が目立って数千人とも出ていないので、こういった地道な結果な可能性が考えられる。
重要なのは、口座振替を受け付ける情報を指定してるのは各地銀であること。
ドコモ口座は、単純に出金元として便利だったに過ぎない。
ドコモ口座が使われた理由は?
ドコモ口座は、少なくとも直近1年ほどの段階で「捨てメールアドレス」「窃取予定の口座名義人」の名前で開設可能で、口座振替を以って本人確認としていた。
ただし、他の事業者でも口座振替登録を以って本人確認としていたこともあり、こういった取扱い自体は禁止されていなかったと思われる。
上記に「本人確認情報提供サービス」もあり、ある程度そういった利用を想定したフシもある。
ただし、他同サービス利用の事業者によっては「メガバンクは本人確認とするが、銀行によっては別途免許証等の本人確認」としている場合もあり、この事態を警戒していた事業者があるようにも思う。(自分が見た限りではPayPay・LINEPay・Pringあたり)
逆に、メルカリは口座振替のみを本人が本人確認として扱っているように見える*3。問題の七十七銀行も対応に含まれる。(※9/10 01:35追記)
今後の対策をするなら
・口座振替申込みは既存本人確認できているユーザと確定しているか
・口座振替時に電話発信認証等で確実に窃取できない本人確認を行う
のどちらかに振る必要があるように思う。(どちらもドコモ以外の対応である)
ドコモ口座で抜かれた金の行き先
上記手口の都合上、ドコモ紐付けは行われていない可能性が高いので出口は
・他名義ドコモ口座へ出金(20万/月上限)
・他銀行へ払い出し ※そのアカウントの名義と一致する必要あり
となる。
別途ドコモ回線(基本飛ばし契約)か、ドコモ回線付dアカウントを窃取した場合は、
・Visaプリペイド利用
・セブンATM出金
も選択肢として増えるが、上限設定とリスクを考えるとおそらく使われてない。
他サービスと比較してアカウントを作りやすい、出金先も自由が効いた結果と思われる。