IT

狙われた本人確認の隙 ドコモ口座被害で求められる多重対策 

 NTTドコモの電子マネー決済サービス「ドコモ口座」や「ペイペイ」などスマートフォン決済サービスを用いた不正な預金引き出し問題では、本人確認を強化するための2段階認証など多重対策がない部分が狙われた。インターネットでの預金や送金といった重要業務では、本人確認の一層の強化が求められそうだ。

 ネット上では、口座番号と暗証番号を求めるだけでは本当に口座の所有者か判断できない。それらの番号がサイバー攻撃などで盗まれた可能性もあるからだ。

 そこで重要なのがもう一度、別の形で本人かどうかを確認する2段階認証だ。さまざまな種類があるが、よく使われるものに携帯電話を使ったSMS(ショートメッセージサービス)認証がある。口座情報が盗まれても所有者の携帯電話が一緒に盗まれる可能性は低い。所有者の携帯電話にパスワードを送り、本当に本人が入力したものかを確認する仕組みだ。今回の問題では一部の銀行とスマホ決済事業者がこうした仕組みを導入せず、暗証番号だけでスマホ決済サービスと連携させ、口座からの出金を許していた。

 しかし、2段階認証が求められるのは、銀行口座とスマホ決済の連携時だけではない。多くのスマホ決済事業者側も自社口座開設時の2段階認証を怠っていた。フリーメールだけでも開設できるドコモ口座は本人確認はないに等しい状態だったが、他の多くの事業者もSMS認証だけで口座を開設できたからだ。

 この場合、持ち主が不明の携帯電話でも口座が持てるため、銀行口座の所有者になりすまし、引き出した現金の受け取り先として口座を開設したとみられている。

 郵便で書類を求めたり、スマホで免許証を写して送信してもらったりという本人確認のための2段階認証を徹底できていなかった。

 決済サービスコンサルティングの宮居雅宣社長は「2段階認証をやれば利用者にとっては手間も増える。事業者は導入を躊躇(ちゅうちょ)しがちだが、安心安全がなによりも重要なことを忘れてはならない」と話している。(蕎麦谷里志)

Recommend

Ranking

アクセスランキング

Biz Plus