ドコモ口座に端を発した口座振替サービスを悪用した銀行口座からの不正引き出し事件。NTTドコモが会見をした9月10日時点での被害は件数66件、総額1800万円だったが、9月23日には172件、総額2776万円まで拡大した。また、ドコモ口座だけでなく、PayPayやメルペイなど他の口座振替サービスでも同様の被害が起きており、ゆうちょ銀行のデビッド・プリペイドカードでも不正な引き出しが行われていたことも明るみになった。次々と明らかになるネットを介した銀行口座からの不正出金、その不正の実態はいまだ多くの謎に包まれている。
不透明な被害実態と公表経緯
今回の問題が初めて世の中に出たのは9月4日の金曜日だと思われる。この日、仙台市に本店がある七十七銀行が「『ドコモ口座』を利用した当行口座の不正利用の発生」というお知らせをサイトに掲載し、「(株)NTTドコモが提供する『ドコモ口座』において、不正に盗み出した口座番号やキャッシュカードの暗証番号等のお客さま情報を使用した当行口座の不正利用がありました」と発表、ドコモ口座への振替を停止することを伝えた。また、NTTドコモにおいてもドコモ口座のサイトに「一部銀行の銀行口座登録および銀行口座変更の申込受付停止について」とするお知らせが9月4日に掲載された。このお知らせでは七十七銀行のほかに中国銀行(本店・岡山市)と大垣共立銀行(本店・岐阜県大垣市)も対象として記載されている。
翌週の9月8日火曜日にはその中国銀行、大垣共立銀行、さらに滋賀銀行(本店・滋賀県大津市)、東邦銀行(福島市)でもドコモ口座を利用した不正利用があったことを明かし、ドコモ口座への振替サービスを中止することを発表した。その後も同様のお知らせをする銀行は続き、9月9日水曜日のNHKの報道では5行に加え、鳥取銀行(本店・鳥取市)、紀陽銀行(本店・和歌山市)、みちのく銀行(本店・青森市)、さらにイオン銀行とゆうちょ銀行でも不正出金があったと伝え、対象銀行は10行にのぼった。この時点で問題が発生した銀行はほとんどが地方銀行だったことから、セキュリティの甘い地銀が総当たり攻撃を受けて認証を突破され不正なドコモ口座と紐づけられたとの報道もみられた。いつ被害が発生したのか、どのような経緯で発覚したのかなど被害の詳細は明らかでなかった。
NTTドコモは9月10日木曜日に会見を開き、丸山誠治副社長が「本人確認が不十分だった」と謝罪、ドコモ口座を開設するdアカウントの認証が十分ではなかったと認めた。会見の中でドコモは、口座が不正に利用された銀行は11行、被害金額は1800万円にのぼるとした。また、被害がいつから発生しているのかとの記者の質問に対しては、ウォレットビジネス部長の田原務氏が、dアカウントをオープン化した昨年10月以降としたのに対し、常務執行役員の前田義晃氏は今年8月以降と述べるなどドコモ側の説明に食い違いもみられた。ドコモ口座をめぐっては、昨年5月にりそな銀行の口座から不正な出金が行われていたことも今回の一連の事件の中で明るみになった。ドコモはリスクを認識していたにもかかわらず、昨年10月にはdアカウントをオープン化して誰でもドコモ口座を開設できるようにしていたのだ。
ドコモの問題からゆうちょ銀行の問題へ
ドコモ口座をめぐる問題はドコモ口座と地方銀行の口座振替をめぐるセキュリティの問題のように当初とらえられていたが、状況が変わったのは9月15日火曜日に高市早苗総務大臣(当時)が行った会見だった。会見で、ゆうちょ銀行が提携している口座振替サービス12社のうち、ドコモ口座以外でも5社のサービスで不正出金が行われていることが公表されたのだ。ゆうちょ銀行はそれまで被害実態を明らかにしてこなかったが、9月16日水曜日になって被害は109件、1811万円にのぼり、うちドコモ口座を介した不正出金は82件、1546万円、他はpaypay、メルペイ、Kyash、LINE Pay、paypalを介して出金したことを田中進副社長が会見して明らかにした。ここに至り、ドコモ口座をめぐる被害の多くはゆうちょ銀行の口座から不正出金されたことが判明し、また、ドコモ口座にとどまらずネットの口座振替そのものが犯罪の温床になっていることが明らかになった。
さらに、ゆうちょ銀行の口座をめぐっては、9月16日にSBI証券が発表を行い、同証券の証券口座からゆうちょ銀行の5つの偽造口座と三菱UFJ銀行の1つの偽造口座に計9864万円が不正に出金したと明らかにした。SBI証券の証券口座に紐づける銀行口座は、証券口座と同じ名義人の口座1つに限られているが、何者かがSBI証券のサイトに不正アクセスし、証券口座に紐づけられている名義人の口座を犯人が偽造した同じ名義人名の口座と差し替えたとみられている。さらに、ゆうちょ銀行が運営するデビットカード・プリペイドカードでも不正に口座からお金が引き出されていたことが判明、もはや、ゆうちょ銀行そのものが犯罪の温床になっているのではないか、との声も漏れる。
利用者が気づかなければ発覚しない
いわゆるネットパンクにおける不正送金は毎年、相当の被害があり警察庁のまとめによると2019年のインターネットバンクの不正送金は1872件、被害額は約25億2100万円に達している。これら被害の中に今回のようなネットバンク以外の口座からネットを介して不正に出金されたケースが含まれているのかどうか定かでないが、従来はネット金融犯罪というとネットバング口座の不正送金という印象が強かった。しかし、今回の事件によって、もはやすべての口座がネットと結びついて不正に出金される恐れのあることが判明した。そして、驚くべきことは、こうした銀行強盗に等しい金融犯罪に対して金融機関や通信事業者には被害を覚知する能力がなく、利用者側が履歴を確認して被害を申し立てなければ事件そのものも発覚しない可能性が高いということだ。犯罪者は端末を操作するだけで不当利得を得られ、被害者が気づくまで犯行が発覚しない極めてリスクの低い犯罪の場を事業者が「提供」しているのだ。
ゆうちょ銀行の田中進副社長は16日の記者会見で「恐縮なお願いではございますが、お客様の皆さまには通帳とかゆうちょダイレクトの取引明細を確認いただき、身に覚えのない取引があった場合は当行のコールセンターか銀行、郵便局の窓口にご連絡を頂戴したい」と呼びかけ、NTTドコモ常務執行役員の前田義晃氏は10日の記者会見で「今回の被害の実態に関しましては銀行様からの被害に遭われているという情報にもとづいて確認をさせていただいている」と述べている。
「これからキャッシュレスが日本の中で使われ、裾野が広がって多くのお客様に使っていただくためには私どもも含めて皆さんで知恵を出して全体のセキュリティを少しでもあげながら、かつ誰でも使えるようにしていくということが必要であるというふうに思っております」とNTTドコモの丸山副社長。今回の事件は金融をめぐる日本の企業のセキュリティに対する認識の実態をあぶりだした。ゆうちょ銀行は9月24日に池田憲人社長が会見して謝罪し、不正引き出しの被害は2017年からわかっているものだけで約380件、総額約6000万円にのぼることを明らかにした。事件の真相は深い闇の中にある。
(フリーライター・三好達也)