ドコモ口座事件、真の原因は「認識の甘さ」ではない 露呈した「銀行との風通しの悪さ」

いくらなんでもそれはないだろう。

情報化社会の昨今、そのように感じる問題が起きることなど、1年を通してもそうそうあるものではない。

ところが、あろうことか日本はもちろん、グローバルにみても最大手クラスの通信企業であるNTTドコモが、「お前、それはないだろう」と思わずツッコミを入れたくなる対応を取るとは、情けないを通り越して笑い話のようにさえ思えてくる。

被害総額約2542万円(9月14日午前0時時点)と、果たしてどこまで被害が拡大するのか見えていない「ドコモ口座」の不正出金の問題についてだ。

口座と名付けられているがサービスの本質は、いわゆるスマートフォン決済サービス。送金やショッピング支払いなどに使えるものだ。金利などは一切付与されないものの、自身の銀行口座からチャージできる。

サービスそのものは、よくある決済サービスの亜種。いくつかの特徴はあっても特別なものじゃない。何より“ドコモさま”の提供なんだから信頼できると思っていたら、実にグダグダだ。

何しろ被害者がドコモ口座対応の銀行口座を持っているだけで、ドコモユーザーではなくとも、加害者が捨てメールアカウントを使って自由に、いくつでも口座を作り、不正出金を行える可能性があったというのだからタチが悪い。

ここまでグダグダだと、いったいなぜこんなことになったのか、グダグダになった理由が見つかるかどうかさえ怪しいほどだ。

せっかく責任ある行動と判断ができるというのに

既報の通り、山ほどツッコミを入れたくなることがたくさんある一方で、ドコモはしっかりと責任ある行動も示している。サービスのセキュリティ設計がずさんなことは批判対象だが、まずは褒めるべきところは褒めておきたい。

とかく世間体を意識して「まずは止めて謝るところから」という、全く論理的ではないダメージコントロールを選ばなかったところは、きちんと自分たちの頭で考えて対策をしていることが伝わってきて、むしろ好感を持ったほどだ。

今回の不正引き出しの全貌が明らかになっているわけではないが、不正送金が明らかになっているケースでは、こうした銀行からの現金引き出しにかかわる基本的な部分での脆さが問題だったとみられる。

NHK NEWS WEBでは、ドコモ口座問題について「暗証番号を定期的に変えましょう」と注意喚起する記事を掲載していたが、全くもって無意味(14日時点では記事内容が修正されている)。暗証番号がバレたのなら変更は必要だが、ネットを通じての不正送金があったのなら、システム側の問題であり頻繁に変えたからと行って問題解決にはならない。

暗証番号を変えて「もう大丈夫」と思って安心してる人たちに、正しい情報を伝えた上で謝ってほしいぐらいだ。

ところで、銀行口座にネットからアクセス可能になるのだから慎重になるべき、なんてことは今さら指摘するまでもないことなのに、なぜ「そのまんまなの?」という、大きなクエスチョンマークがここで出てくる。

物理的なキャッシュカードと比べ、はるかに便利になっているのに、個人認証の仕組みはスマホ時代非対応どころか、インターネットが発明される以前からのそのままなのだから「これで大丈夫って誰が判断したの?」という話になってくる。

当たり前のことを当たり前にできない理由
さて、ドコモが問題発覚を受けて精査した結果、その対策としてドコモ口座が対応していた35行のうち13行は不正出金が容易には起きないと判断し、送金サービスを継続するというのだから、前述したように差し引き22行以外は大丈夫だとドコモと各銀行は判断したのだろう。

ずさんな本人確認に脆弱な出金の仕組み。「両者ともに悪いね」というだけでは済まないのは、ドコモが昨年5月、既にりそな銀行、埼玉りそな銀行で同様の問題が起きていたことを、他の銀行に周知徹底していなかったことが、最終的に今回の問題へとつながっているからだ。

当時の犯行グループと今回の犯行グループが同一なのかどうかは分からない(期間が空いていることを考えれば別と考える方が良さそうだが)。

しかしこの時、ドコモは問題の発生を把握し、その原因についてもある程度は知っていたはず。少なくとも、電子メールの到達をもって本人確認されるという、いまでは信じられないような仕組みが問題だったことを、提携銀行各社とはいわないまでも、セキュリティ対策の甘い提携銀行に連絡していれば、今回の問題は起きなかったのではないだろうか。

もちろん、金融機関のIT化はどこの業界よりも真っ先に行われてきたわけで、規模の大小による意識の違いこそあれ、「お前、それはないだろう」的な状態をさらしてきた銀行側にも問題はある。

しかし主体的に利便性を提供し、なるべく簡易的な手続きで使って欲しいドコモ側に利用者を速やかに増やし、決済サービス分野での生き残り、ライバルとの競争に勝ちたいという意識がなかったとは思わない。

そんな邪推も「邪推じゃないかもね?」と筆者が思ってしまうのは、ドコモと金融機関の風通しの悪さが理由だ。

今回、不正送金があった11行は、ドコモ口座との連携にCNS(地銀ネットワークサービス)を利用。そこに脆弱性があったのでは? という推測があるが、11日の記者会見でドコモの丸山副社長は「金融機関側の仕組みなので把握していない」と答えた。

実はここに問題の根っこがある。

誰もが見えるはずの景色が見えていない
ドコモ口座と連携し、銀行口座から入金するための仕組み、手続きの手順は銀行側に依存している。

「ドコモ口座というプリペイドサービスにお金を入れたいのだけど?」という時、どのような手法でお金を送金可能とするかの判断は銀行側にある。ドコモは、所定の手続きに従って情報を送り、その結果、入金されたから取引を承認しただけなのだから、本来は責任がない。

と、そんなふうに考えているかどうかは分からないが、この金融機関との距離感が、誰もが見えるはずの景色を見えなくしていた、あるいは「見ようとしなかった」(面倒くさいし、速やかに利便性の高い、簡便なサービスにしたいから)のではないか。

繰り返すが、ドコモ口座の本人確認のずさんさは責められて当然。本当にもう勘弁してくださいよ、と言いたくなるような”ポカ”であり、罪深い。

だが最も残念なのは、これほど明確な“穴”を見過ごし、しかも一度は発覚していたのに風通し悪く、見通せる景色を共有できなかったことだ。まさに木を見て森を見ず。大企業にありがちな、見えにくいものは見ない方が面倒が少ない──そんな前時代的な問題が透けて見えるならば、大きな問題はまだまだ隠れていることになる。

ドコモが巨大企業であることは言うまでもないが、メガバンクとは比較にならないとはいえ、地方銀行も大きな組織に違いない。まさか2020年にもなって「今さら大企業病かよ!」とあきれることになるとは。ドコモでさえ、この調子ならば日本全国、至るところに構造不良が隠れていても不思議じゃない。

シェアする

  • このエントリーをはてなブックマークに追加

フォローする