ドコモ口座とWeb口座振替サービスについて調べてみた
昨今、ドコモ口座サービスを不正に利用した銀行預金の不正引き出しが話題になっているので調べた事をメモ。
TL;DR
・一部銀行でのWeb口座振替サービスでの本人認証が不十分。
(口座番号+暗証番号+生年月日の組み合わせで口座振替サービスに登録可)
大手銀行のWeb口座振替サービスの認証方法について
いずれの銀行もインターネットバンキング(IB)のID・パスワード・OTP(ワンタイムパスワード)を用いたログインに対応していますが、IBの利用開始手続きを行っていない場合の認証方法は下記の通りになります。
| 銀行名 | 認証方法 | 備考 |
| 三菱UFJ銀行 | 口座番号+暗証番号+生年月日+OTP |
公式ページ |
| みずほ銀行 | 口座番号+暗証番号+生年月日 +口座の残高 |
公式ページ |
| 三井住友銀行 | 口座番号+暗証番号+OTP | |
| りそな銀行 | 口座番号+暗証番号+生年月日 |
公式ページ |
| ゆうちょ銀行 | 口座番号+暗証番号+生年月日 |
サービス提供先で生年月日を登録済みの場合、 |
今回話題になっている七十七銀行と中国銀行の認証方法は下記の通りです。
| 銀行名 | 認証方法 | 備考 |
| 七十七銀行 | 口座番号+暗証番号 | 公式ページ |
| 中国銀行 | 口座番号+暗証番号+生年月日 | 公式ページ |
七十七銀行や中国銀行に限らず、一般的な銀行(特に地方銀行) に於いてIBのログイン方式を用いない場合、「口座番号+暗証番号+生年月日」の認証方式は広く使われています。が、Facebook等に実名で登録している場合、口座番号から特定された氏名*1とインターネット上のデータを突き合わせて生年月日を特定する事は容易故、生年月日が二段階認証に利用できる程のセキュアな情報か?と尋ねられると疑問に思わざるを得ません。
例えばJALマイレージバンクでは過去に二段階認証として生年月日の入力を求めていましたが、現在ではログイン時のPINとは異なる「Webパスワード」の入力を要求しています。(当時のTogetter)
ドコモ口座について
まず前払式決済手段と資金移動業について。
前払式決済手段は、内部のバリューはあくまでも「決済手段」の為、出金が不可能と法律で定められていますが、本人確認義務はなく、供託金も総残高の50%と比較的低額に設定されています。
資金移動業の場合、内部バリューが現金と見做される為、出金が可能ですがマネーロンダリング等の犯罪を防ぐ為に厳格な本人確認が要求され、総残高の100%の供託金が要求されます。
例としてPayPayを挙げると、「PayPayマネーライト」は前者の前払式決済手段に該当し、「PayPayマネー」が後者の資金移動業に当たります。
ドコモ口座の場合、ドコモ口座に口座を登録する事で本人確認が完了し*2、残高の払い出しが可能になります(「前払式決済手段」から「資金移動業」への切り替え)。
今回の事件について
銀行は口座開設時に厳格な本人確認を行っており*3、多くの金融系サービスは本人確認手段として「銀行口座の登録」を提供しています。(「犯罪による収益の移転防止に関する法律施行規則」6条1項1号(ト)に則った本人確認手法であり、ドコモ口座に限った本人確認手法ではありません)
今回のドコモ口座を利用した不正利用事件は、肝心な本人確認の代行を行う一部の銀行において「本人確認情報を提供する際の本人確認が不十分だった」事が原因で発生したもの、であると思います。(西日本シティ銀行や福岡銀行等の一部の地銀ではWeb口座振替サービス登録時に本人確認として電話認証が求められます)
所感など
・そもそもキャッシュカードを所有しているかが明確でないインターネット上の取引で暗証番号を利用する、という事があまり納得できないのですが...
・特にブランドデビット機能付キャッシュカードを利用している人で、デビット機能のPINとキャッシュカード機能のPINを同一にしている人はPINを変更しよう。
