スポンサーリンク
すでに多くの方が知るように、ドコモが提供する
ドコモ口座というサービスが炎上している。
ドコモについてのまとめはこちら。
自分自身はこのサービスのことをニュースで知るまで知らなかった。
ドコモ口座
ドコモ口座
ドコモ口座
電子マネーやQRコード決済のような仕組みを提供しているけど、異なるのは
という点かな。
このドコモ口座に対して他人の銀行口座を紐づけできてしまうようだ。
紐づけできると決済時の資金を銀行から引き出せるので、口座残高がなくなるまで被害にあう可能性がある。
今回の問題のポイントは、ドコモの利用者ではない人が被害にあっているという事。
もっと言えば、ドコモ口座を開設していない人が被害にあっている。
え、どういうこと?
最初聴いたときは耳を疑った。
つまりこういう事の様だ。
ドコモ口座の紐づけは1つの銀行口座に対して1つしかできない。本人が先に紐づけていれば、悪意がある
第3者が紐づけすることはできないので被害にあわない。
逆に、ドコモを利用していない、あるいはドコモ口座を使っていないドコモユーザは、こんなサービスの
存在さえ知らない場合がある。そういう人が被害にあう、という最悪のサービスだ。
昨年の7ペイ事件はかなり甘い作りで世間を騒がせていたが、今回もサービス提供側の詰めの甘さを露呈している。
ではなにが原因でこうなったのか。どう自分を守ればよいか。
銀行口座からのチャージに問題があったと思われる。
通常、この手のサービスでは入金する方法と決済の方法をリンクするために本人である認証が必要だ。
例えばファミリーマートで使えるファミペイだが、チャージをクレジットカードからする場合は
を入力することになっている。第3者がクレジットカード情報だけ知っていても利用が難しい仕組みだ。
一方でファミペイのチャージを銀行口座で行う場合は登録の途中から銀行のサイトに切り替わり、
銀行で設定した認証を行って使えるようになる。
これが普通だろう。
対して、ドコモ口座はどうなっていたか。驚いたことにドコモ口座の銀行からのチャージは
実はファミペイと同じことが記載されている。
銀行チャージ
あれ、どういうこと?
どうやら被害にあった銀行に共通に言えるのは、銀行側の認証情報がネットバンク用の
ワンタイムパスワードなどつかわず、単に口座番号と4桁の暗証番号だけで登録させてしまったようだ。
4桁の暗証番号は最大でも1万回のアタックをすれば破れる。例えば3回間違えたら口座を凍結する、
というような仕組みがない限り、悪意がある第3者の無法地帯になる。
被害にあわないように回避することはかなり難しい。パスワードを変える、こまめに残高をチェックする、
口座で操作したらメール通知する設定をする、ということぐらいしかなさそうだ。
ドコモが携帯電話に続く収益源として考える決済サービスを止めることはメンツの問題もあるだろう。
電子マネーのiD、dポイント、そしてd払いと順調に拡大してきた。ここで頓挫しては困るのだろう。
一方で銀行はチャージがあれば手数料収入がある。いくらでも使ってほしいというのが本音だろう。
両者の思惑があって、サービス停止を遅らせ、そのために被害は1日で200万円も増えている。
この醜態はいつまで続くのか。ユーザ以外にも不安を与えるドコモの姿勢には疑問を感じる。
ドコモはさっさとサービスをいったん止めて、セキュリティ設計をし直すべき。
PR
