9月9日、NTTドコモが提供する電子決済サービス「ドコモ口座」を使った預金の不正引き出しが相次いだことから、ドコモは、連携する金融機関の新規登録を停止すると発表した。この問題は通常の情報漏洩問題とは趣が異なる。驚きなのが、NTTドコモの携帯サービスを利用していない人が被害者となっている点だ。不正の手口を簡単に解説すると以下のとおり。
①犯人が適当なメールアドレスで「ドコモ口座」を開設
②犯人はドコモ口座と提携している銀行の氏名と口座番号(被害者)をどこかで不正入手し、パスワードを解読(方法は不明)
③犯人は自ら開設した「ドコモ口座」に被害者の口座から不正出金してお金を得る
犯人は、自ら勝手にメールアドレスを生成して、「ドコモ口座」を開設して、全くドコモのサービスを利用していない第三者の口座番号、パスワードを解読して、「ドコモ口座」に不正に出金させていたのである。すなわち、ドコモと携帯電話の契約をしていないし、ドコモのサービスを全く利用していない第三者の金融機関口座が狙われたのである。
不正出金は誰のせい?
ドコモとしては、今回は、銀行の口座番号とパスワードが解読された問題であり、自社のサービス自体に問題がなかったと言いたいところである。そのため、今回の不正出金問題が明らかとなった時点において、ドコモとしては、銀行側の問題として捉えていたように感じる。
しかし、今回の問題は、犯人が「ドコモ口座」を隠れ蓑にできる、という点を悪用したものである。「ドコモ口座」は、メールアドレスのみで開設でき、本人確認が徹底されていなかった。犯人は、この本人確認の脆弱性を悪用して、犯人が作った「ドコモ口座」にお金を不正に送金させたのである。ドコモは、その後、社長自ら会見を行い、「ドコモ口座」の本人確認が不十分でなかった点を謝罪している。今回の問題は、ドコモの本人確認の不徹底、銀行のパスワードなどの情報管理の不徹底、という両者の情報管理体制に問題があったといえる事案である。
情報を持つことの怖さ
ベンチャー企業、上場企業を問わず、自社のサービスに関して資金決済サービスを活用する企業が増加している。過去にも、セブンペイ問題やPAYPAYでも、不正利用の問題が発生している。自社運営のECウェブサイトにおいても、クレジットカード情報の漏洩などの問題も多発している。個人にとって、最も怖いのが、自らの資産やクレジットカード情報が不正に悪用されて損害を被ることである。
気を付けてほしいのは、「自社がどのような情報を保有しているのか」という点である。私は、ある企業が運営するECサイトにおいて、不正アクセスによりクレジットカード情報が数万件漏洩したケースを対応したことがある。その際、問題だったのは、被害企業自身が、お客様のクレジットカード情報を保有していることを認識していなかったことであった。同社ではECサイトにおいて、クレジットカード決済を導入していたものの、自社がお客様のクレジットカード情報を保有しないようにシステムを設計していたことから、自社がクレジットカード情報を保有しているとは考えていなかった。しかし、実際には、自社のサーバーを一旦クレジットカード情報が通る設定となっており、知らぬ間に自社サーバーにクレジットカード情報が保有している状況であった。
このように自社が知らぬ間にお客様の重要情報を保有していることがある。情報セキュリティーに関するシステムに明るくない企業にとって、自社のサービスの利便性を高める際に、自社の情報保有状況を適切に把握するように第三者によるチェックを入れるように心がけたい。
今回のドコモ問題では、ドコモ側としては、金融機関がセキュリティー対策を十分に施しているから、「ドコモ口座」の開設はある程度簡易な方式でも問題ない、と考えていたのではと推察できる。企業としては、自社と他社サービスを繋ぐ際に、本当に相手方会社のセキュリティー対策に依拠してよいのか、慎重な精査が必要な時代となっていることに留意したい。