あなたも被害者かも?電子決済サービス不正引き出し事件

貯金
2020.11.25

こんにちは、ミストです。
みなさんは2020年9月に世間を騒がせたNTTdocomoのドコモ口座と、その後に発表されたゆうちょ銀行のmijicaの不正流出事件はご存知だと思います。

俺はドコモもmijicaも使ってないから関係ないにゃ

むむっ、知らないうちに被害にあっているかもしれんぞぃ

実は、ミストさんの友人で「俺はドコモもmijicaも使ってないから関係ないっしょ」って確認もしていない奴がいたんです。この記事と同じことを伝えたら、あわてて確認を始めました。

今回は他人事ではない内容と確認方法を記事にしてみました。

この記事はこんな方に向いています

  1. 自分には関係ないって思っている方
  2. 確認方法がわからない方
  3. ゆうちょ銀行口座をお得に確認したい方

NTTdocomoの場合

NTTdocomoが提供している「ドコモ口座」が不正に作成され、ゆうちょ銀行を含む地銀等の口座と勝手に連携し出金された事件です。
128件2,800万円以上の不正出金が行われましたが、10月28日全ての被害者への補償が終わったと発表がありました。また、ドコモ口座を作る際にも本人確認が必要になり、不正に口座開設は出来なくなりました。

ドコモ口座とは、ケータイでカンタンにお金を送ったり、安心してネットショッピングができるサービスです。面倒な手続きが必要なく、利用規約等に同意していただくと、すぐに口座を開設して利用する事ができます。
【ドコモWebサイトよくある質問より抜粋】

口座の不正開設の手順は以下の通りです。順に説明していきますね。

  1. dアカウントを取得する
  2. dアカウントを使用してドコモ口座を開設
  3. 第3者の銀行の口座番号を登録紐づけする
  4. 紐づけした口座の暗証番号を入力しドコモ口座へチャージする
  5. ドコモ口座から払い戻しをする

ドコモ口座を開設するために必要なものはdアカウントです。これはドコモユーザー以外の方でも簡単に作れちゃいます。
そしてdアカウントを作るのもメールアドレスさえあればOKなんです。そうです、なんと本人確認が不要だったんです。

と言う事はですよ?フリーメールを匿名で作り、そのメールアドレスと適当な名前の登録でdアカウントを作成すれば、なりすましが簡単に出来たと言う事です。

次に口座番号の紐づけですが、今のところ顧客の口座番号がどのように流出したのかは不明です。おそらくフィッシングサイト等で不正に入手したのではないでしょうか。

問題は暗証番号ですよね。4桁の数字の組み合わせの可能性は10,000通りもあります。そして通常は3回誤入力するとロックが掛かりチャージが出来なくなります。
ではどうしてこんなに多くの被害が出たのでしょうか??

例えば100件の口座番号を用意したとしましょう。次にその100件の口座へ、同じ暗証番号を同時に入力します。
日本人が一番利用している暗証番号は【1234】で全体の約10%を占めています。と言う事は100件の口座に【1234】を入力すれば単純に10件の口座にヒットする計算です。残りの90件には2番目に多い【1111】それでもヒットしなければ3番目の【0000】と順番に入力すると約17%およそ17件ヒットする計算です。
あとは分母(口座件数)を10倍の1000件に増やせば効率はあがり、100件以上の口座が被害にあってしまいます。

世の中には色々と考える人がいるものですね。こういった総当たり攻撃のことをリバースブルートフォース攻撃と呼びます。
あとは不正に開設したドコモ口座へチャージしたのち払い戻しをすれば、まったく足が付かないままお金を引き出せるわけです。

以上がドコモ口座の不正出金事件の概要です。どうですか?これを見ても自分には全く関係ないと言えるでしょうか?

ドコモ口座は、なりすましで簡単に開設が可能。そのためドコモユーザー以外でも被害にあう可能性があります。

ゆうちょ銀行の場合

ゆうちょ銀行から提供されているVisaデビット・プリペイドカードがmijicaです。ゆうちょ銀行ではこのカードが狙われました。
現在では、新規申し込みの停止しています。取り扱い内容の制限も掛かっているみたいです。このままmijicaカードは廃止になる可能性もありそうですね。

不正利用の手順はこちらです

  1. 不正に入手したゆうちょ銀行の口座でmijicaの申し込みをする
  2. mijica専用サイトで番号の下4桁と有効期限を確認
  3. 利用者へカードが届く前に不正利用する

口座番号の入手は、これもフィッシングサイト等で不正入手したのではと思います。

ゆうちょ銀行は口座に登録された住所へmijicaカードを郵送し、受け取ることで本人確認の1つとしていました。
カード自体は申し込みから約6日程で届けることが出来たのですが、なんと発行されてから利用者へ届く前でもカード決済が出来たそうなんです。
そして、mijica専用サイトでカード情報が確認できる仕組みになっていました。

犯人は被害者の口座番号を不正に入手しmijicaカードを作成。配達完了前にmijica専用サイト【mijicaWeb】でカード番号下4桁と有効期限を確認し不正使用を行ったんですね。

ちなみに、ゆうちょ銀行でも被害者全員を特定できていないので、解決まではまだ時間がかかると思います。
なぜ特定が進んでいないのか。それはゆうちょ銀行が膨大な数の口座を保有しているからです。
ゆうちょ銀行の口座保有数は1億2000万口座と言われています。国民1人に1冊持っている計算です。メガバンクの三菱東京UFJ銀行で約4000万口座らしいので、その規模が異常なのがわかりますね。

そして中には、引っ越しして住所変更していない人や、すでに亡くなっている人なども含まれます。
もうお分かりですね。そうです、連絡したくても連絡が付かないんです。
ゆうちょ銀行は日本中で取引ができるため、解約しないで引っ越しする人が多いと思います。その後住所変更をし忘れてしまうことも多いかと。
おそらく、学生の時に親が管理していて口座があることすら知らない人もいるはずです。

ゆうちょ銀行は、被害者へ全額補償するとしています。しかしながら口座の持ち主と連絡が付かない現状では、解決するには相当の時間がかかるんじゃないでしょうか。

口座番号さえわかればmijicaカードをなりすましで作成が可能。カードが利用者へ届く前にmijicaWebで必要な情報を確認し不正利用を行った。

それぞれの問題点

NTTdocomoもゆうちょ銀行も、どちらのケースも本人確認が甘かったとしか言いようがないと思います。
もちろん1番悪いのは不正に口座番号を入手し、本人になりすましてお金をだまし取った犯人です。
罰すべき犯人は一刻も早く逮捕されるように警察に頑張ってもらいましょう。

しかし現在のネット社会でセキュリティがガバガバだったことは会社としての怠慢と言われても仕方ないでしょうね。

どうしたらいいの?

まずは通帳の確認をしましょう

ドコモ口座と提携していた銀行は35銀行です。

みずほ銀行、三井住友銀行、ゆうちょ銀行、イオン銀行、伊予銀行、池田泉州銀行、愛媛銀行、大分銀行、大垣共立銀行、紀陽銀行、京都銀行、滋賀銀行、静岡銀行、七十七銀行、十六銀行、スルガ銀行、仙台銀行、ソニー銀行、但馬銀行、第三銀行、千葉銀行、千葉興業銀行、中国銀行、東邦銀行、鳥取銀行、南都銀行、西日本シティ銀行、八十二銀行、肥後銀行、百十四銀行、広島銀行、福岡銀行、北洋銀行、みちのく銀行、琉球銀行

銀行によって表示は様々ですが、半角カナで【ドコモコウザ】もしくは【ディーバライ】と表示されます
最初の不正は2019年8月に確認されているようなので、それ以降に身に覚えのない表示があった場合は各銀行へ確認することをお勧めします。
ただ、ドコモは被害者への補償は全て終わったと発表しているので、それほど気にしなくても大丈夫かもしれませんね。

貯金の住所変更と現存照会

自宅にゆうちょ銀行の通帳があった場合は住所の確認をしましょう。最近の通帳だと住所の記載はありませんが、古い通帳なら住所が記入されていると思います。
どちらにしても窓口で確認をしてもらうのが一番だと思います。ただ、本人でないと教えてくれないので注意してください。住所変更の手続き自体は家族でもできますのでご安心を!

登録の住所を現行化しておかないと、重要なお知らせが届かず困ることがありますよ。
休眠口座対策にもなるので、必ずやっておきましょうね。

その他、本人の知らない口座や亡くなった親族の口座を確認する事も、やっておいて損はないでしょう。
現存照会は【貯金等照会書】を提出することで過去にさかのぼって確認してくれます。
貯金等照会書の請求自体は無料で行うことが可能です。結果は後日請求人の住所あてに簡易書留で届きます。
もし通帳が存在していた場合は、通帳を再発行か、解約するか、相続の手続きをするかのいずれかになります。詳細は郵便局の窓口で相談すると良いでしょう。

通帳の住所確認は本人しかできません
住所変更には、通帳・印章・住所の確認できる健康保険証などの公的な書類が必要
貯金等照会書は無料で請求できる
通帳が存在していたら窓口で相談しましょう
通帳の再発行は1,100円かかるので慎重に

ゆうちょ銀行の入出金請求は無料で出来ます

通帳の古い出し入れを確認したい場合は、入出金照会請求をしましょう。
通常、貯金入出金照会請求を行うには520円かかります。しかし、今回の不正利用の確認をしたい場合に限り無料で請求出来ちゃいます。これは確認しない手はないですよね。

まず郵便局の窓口で「不正利用の被害確認のため、入出金の照会がしたいです」と伝えましょう
請求には、通帳・印章・健康保険証等の確認書類が必要です。また、不正被害確認に限り、家族でも委任状なしで請求ができます。

これ、ゆうちょ銀行のWebサイトのよくあるご質問に記載があったんですが、こう言う情報はトップページに乗せておいてほしいですよね。

不正使用の事案に関する照会だと入出金照会請求は無料です
請求には通帳・印章・健康保険証等の確認生類が必要です
家族分の照会は委任状なしで請求が可能

まとめ

いかがでしたか。今回の不正利用事件が誰にでも起こりえる事件だとご理解いただけたでしょうか?
自分の口座を守れるのは自分自身です。これからのネット社会、同様の事件が起こる可能性はゼロではないです。

詐欺や不正利用の被害にあわないよう、常にセキュリティアンテナを高く張って行きましょう!

スポンサーリンク

コメント