#4367 電子決済「ドコモ口座」開設詐欺 Sep 11,2020 [8. 時事評論]
NTTドコモの電子決済サービスの「ドコモ口座開設」手続きの本人確認がルーズだったために、詐欺被害が発生している。丸山誠治ドコモ副社長は「ご迷惑をお掛けし深くおわびする。本人確認が十分ではなかった」とアナウンスしたが、まるで他人言のように聞こえた。信じられないようなお粗末な本人確認手続き、詐欺被害に遭ってもあたりまえ、社内のセキュリティチェック機能がないのではないか?
*「ドコモ口座詐欺、未開設でも欺被被害にあうことが明らかに、SNS上で注意喚起広がる」
NTT子会社副社長にはこの程度の人材しかいないのか?まるでマネジメントができていない、正直いって驚いた。
なぜああいう物言い(被害の救済については具体的なことをひとつも触れない、「ドコモ口座」開設システムを造るに際して社内のセキュリティチェック機能についても具体的な言及がない)になるのか、一利用者からクレームがあっても聞き流せばいいと思っているのだろう。万が一訴訟を起こされても、会社には顧問弁護士がついており、訴訟にいくらでもお金をつぎ込めるし、そのコストは経費扱いだから、ちっとも痛くない。このような背景があって社内のセキュリティ・チェックは甘くなる。世の中で頻繁に起きている詐欺手口すら想定しない愚かなシステムができあがってしまう。
*「ドコモ口座詐欺、未開設でも欺被被害にあうことが明らかに、SNS上で注意喚起広がる」
NTT子会社副社長にはこの程度の人材しかいないのか?まるでマネジメントができていない、正直いって驚いた。
なぜああいう物言い(被害の救済については具体的なことをひとつも触れない、「ドコモ口座」開設システムを造るに際して社内のセキュリティチェック機能についても具体的な言及がない)になるのか、一利用者からクレームがあっても聞き流せばいいと思っているのだろう。万が一訴訟を起こされても、会社には顧問弁護士がついており、訴訟にいくらでもお金をつぎ込めるし、そのコストは経費扱いだから、ちっとも痛くない。このような背景があって社内のセキュリティ・チェックは甘くなる。世の中で頻繁に起きている詐欺手口すら想定しない愚かなシステムができあがってしまう。
口座とパスワードとメールアドレスがあれば、ドコモの電子決済専用口座を開設できる。口座とパスワードが情報が出回っていることは承知の事実。口座開設時に本人手続きを厳格にしないと詐欺に遭うのはあたりまえ。あの大会社のドコモが…ど素人の集団じゃあるまいし、セキュリティ意識がなさすぎ。
1980年代中頃に臨床診断支援システム開発とその事業化を夢見て、予備調査をしたことがある。標準フォーマットを産学協同プロジェクトで検討し、標準化して光カードをカルテにできないか検討した。そのころは光カードと電子チップ埋め込み型のカードが開発されて広がりだした時期である。フランスはすぐに電子チップ埋め込み型のカードへシフトしたが、日本の銀行は磁気カードのまま、容量の問題もあって暗証番号は数字の4ケタ、これが電子チップ埋め込み型になってもいまだにスタンダードである。電子チップになったのだから、桁数には制限はないし、簡単なプログラムだって書き込めるだろう。いくらでもセキュリティを強固にできるはずなのに、なぜか旧態依然の部分が残っている。インターネット詐欺師にとっては日本は天国だ。
銀行システムは大手2行が合併したときにも大問題になる。どちらのシステムに統合するのか、両方併存でわけのわからないものになりがちだ。根本から作り直しはほとんどのケースでやれてないだろう。ましてや、セキュリティに視点を置いたシステム全体の見直しなんてできている銀行はあるのか?全銀システムというのがあるらしいが、そこの仕様から見直す必要があるのでは?世界で稀に見る脆弱なパスワードの数字4桁というのは全銀システム仕様ではないのか?
1990年代中頃、暗号システム開発のエンジニアと話をした。日本の銀行システムはセキュリティが脆弱すぎるとあきれていた。「裸で情報が流れている」から、ネット上で口座番号とパスワード情報を簡単にピックアップできる、犯罪になるからしないだけだと笑っていた。当時は米国の暗号キーに関する輸出制限があって、256ビット以上の暗号キーを使う暗号システムは日本へは輸入できなかった。日本に住んで、日本に法人を作ってそこで開発すればOKである。優秀なエンジニアに見えたし、製品の性能は圧倒的に良かった。数十枚の画像情報を暗号処理するのに1秒程度の処理時間、性能がよすぎて、暗合関係の専門書を見ても暗号キーの強度が大きいにもかかわらず、処理時間が短すぎて仕組みが見えず不安もあった。
臨床治験データの原始データ保管に暗号強度の大きなシステムの導入を考えていたので、何社かと話し合いをしていたときの一コマである。
情報の安全に対して日本人や日本の企業はのんびりしすぎてる。せめて、いまある詐欺の手口を防ぐくらいの意識をもってセキュリティ対策を施してもらいたい。
デジタル通貨が言われ出しているのに、これではドコモも銀行システムもまるで信用できない。ひどい話だが、被害に遭えばそれを取り戻すのは「自己責任」ということになる。現金決済が最強のセキュリティであることが見直される。
ドコモに問い合わせたって、木で鼻を括る様な返事しか返ってこない。カード決済でもそうだが、詐欺で失われたお金を取り戻すのは容易ではない。カード会社や銀行との交渉事が待っている。
弊ブログ#4362でデジタル通貨のリスクを取り上げている。次のようにリスクに言及した。
「デジタル貨幣の弱点は銀行口座番号とパスワードを盗まれたらあっというまに預金がゼロになること。この種の犯罪をとめる手立てはない。預金はそれが消えてもすぐには見えない。預金がゼロになる、あるいは盗まれてなくなる心配をずっとし続けなくてはならないし、安全対策は自己責任となる。安全対策を完璧に実施できる人がいるだろうか?デジタル通貨は極めてリスキーなのだ。」
