スマホ不通、なぜか解約 … SIM スワップ被害の実態

携帯電話の契約者情報が記録される SIM カードを入手しスマートフォンの電話番号を乗っ取る「SIM スワップ」の被害が全国で相次ぐ中、SIM スワップによって約 1 千万円を奪われた神戸市で港湾運送業を営む男性社長 (61) が産経新聞の取材に応じた。　数時間のうちにスマートフォンが使えなくなり、銀行口座も乗っ取られた男性は「携帯電話ショップは身分証の確認を徹底してほしい」と訴える。

昨年 7 月のある日の夕方、会社でテレビ会議を終えたときだった。　スマートフォンで電話をしようとしたが、つながらない。　故障を疑い、携帯電話ショップに駆け込んだ。　店員にスマホの確認を依頼し、しばらくすると店員が戻り、こう告げた。　「解約になっているようです。」　全く身に覚えがなく、耳を疑った。　さらに調べてもらうと、男性が携帯ショップを訪れる約 4 時間前に、60 キロ以上離れた京都府長岡京市の店舗で、男性の名前を名乗った男が、「番号持ち運び制度 (MNP)」を利用してスマホの乗り換え手続きを行っていたことが判明した。

男性は心配になり、ネットバンキングの口座を確認しようとしたが、既にパスワードなどが変更され、ログインできない状態に。　金融機関に連絡を取って事情を説明すると、すでに 500 万円が他人の口座に、495 万円が暗号資産のビットコインの購入に不正利用されていたことも分かった。　金融機関側も突然の計 1 千万円の出金を不審に思い、男性の携帯電話の番号に連絡したが、既に電話は男にかかる状態だった。

男性は被害を警察に相談。　その後、容疑者とみられる 40 代の男が、別の事件で逮捕されたという。　男は京都の携帯ショップで、男性の氏名や住所などが書かれた運転免許証を提示していた。　男性は「私は当時　60 歳。　40 代の男が 60 歳を名乗ったら、おかしいと思うはずだ」と憤る。　神戸の住所が記載された免許証を使い、京都で手続きできてしまったことにも不信感を抱く。

警視庁によると、全国で相次ぐ SIM スワップ事件では、携帯電話販売店が身分証の確認を怠り、必要事項を書類に記入させるだけで、なりすました側に SIM カードを再発行した事例もあるという。　男性は「携帯ショップは、客の身分証が本物か、確認を徹底してほしい。　住所と違う場所で手続きするなど、少しでも不審な点があれば、警戒してほしい。」と訴えている。 (sankei = 5-11-23)

スパム頻出、田舎の母のスマホから見つかった謎の "空白アプリ" その正体と対策は?

田舎の母のスマホにいつの間にか、謎の "空白アプリ" がインストールされていた - - そんなツイートが話題になっている。　投稿者のオロゴン（＠orogongon）さんによると、母から「スマートフォンへの警告が頻繁に出る」と連絡を受け、調べたところアイコンとアプリ名が空白のアプリが見つかったという。　オロゴンさんに話を聞くと「『スマホがウイルスに汚染された』などの警告が頻繁に表示されると田舎の母から相談があった」と経緯を説明。　リモートアクセスツールを使い、母のスマートフォンを遠隔操作したところ、アイコンと名称が空白のアプリを発見したという。　このアプリをアンインストールしたところ、状況は落ち着いたとしている。

母のスマートフォンは「Galaxy」シリーズ（型番は不明）。　空白のアプリの入手先については「YouTube の広告経由でインストールしたのではないか」と予想している。　アプリのデベロッパーなどの詳細は、見る前にアンインストールをしたため確認できなかったとしている。　このツイートに対し他ユーザーからは「うちの母親も全く同じ事になってた」、「ウチの両親も謎アプリを入れまくってる」、「コレも怖いんで iOS 端末にしてる」、「同じようなケースがあった。　クリーナー系アプリで、次々と謎のアプリをインストールさせようとしてくる」など、高齢者のスマホ事情にさまざまな声が上がっている。

謎のアプリを入れないためには？　カスペルスキーに聞いた

サイバーセキュリティ会社の露カスペルスキーの日本法人に、この件について話を聞いたところ「アイコンとアプリ名が空白のアプリは、確かに存在する。技術的にアイコンやアプリ名が無い（空白）のアプリを作成することは可能で、実際海外で同様の事例に関する情報もある」と説明した。

「これらのアプリは、"他のアプリをインストールした際に発生する成果報酬を目的としたアプリ" として国内外で多く確認されている。　他のアプリのインストールを促すポップアップ画面を定期的に表示し、リンクをクリックさせて、アプリのインストールを促す手口が確認されている。　空白のアプリは国内ではあまり多くない印象。（カスペルスキー）」　このようなアプリは、ブラウジング中に突然表示される「セキュリティの警告」や「ウイルスに感染しています」などの警告画面をかたるポップアップ広告経由でインストールされる場合がある。　これらの警告でユーザーの不安を煽り、アプリをインストールするよう誘導するという。

もしこれらのアプリをインストールしてしまった場合、スマートフォン上にポップアップ広告が大量に表示されため、デバイスのリソースやネットワークのパケットを無駄に消費してしまう。 中には、自動継続課金でアプリの利用料金が発生するケースも。　このようなケースでは、アプリをアンインストールだけでは解約にはならず、利用料金が発生し続ける場合もあり、注意が必要としている。　他にも「『閉じる』、『キャンセル』を選んでもアプリのインストール画面に遷移するケースや、閉じるボタンが無いケースもある。

その場合はポップアップはタップせず、ブラウザの『タブを閉じる』機能などを使い、強制的に Webサイトやポップアップを閉じたほうがいい。（カスペルスキー）」　カスペルスキーは対策として「警告画面などが表示された場合、その内容をうのみにせず疑う必要がある。　特に『派手な警告画面』、『アプリのインストールを促す画面』、『個人の情報の入力を求める画面』などは特に注意するべき。　アプリをインストールする前には、開発元や説明、どんな権限を含むのかなどの情報を確認する習慣をつけることが大切」と話している。 (松浦立樹，ITmedia = 1-23-23)

スキーしていただけなのに … 相次ぐ "誤検出"

「大丈夫!?　何があったの?」　取り乱した母親からの突然の電話。　スキーして、カレーを食べて、温泉に入っていただけなのに?　そして、人気のスキー場があるエリアの消防はいま、次々とかかってくる「意図しない」 119 番通報に困惑しています。　原因はどちらも、いざというときにあなたの命を守ってくれるかもしれない、最新のスマホやスマートウォッチの機能です。

「転倒」、「衝突」　スマホがあなたを助ける時代に

東京都内に住む 30 代の雄太さん（仮名）は今月 2 日、長野県にあるスキー場にいました。　午前中、めいっぱいスキーを楽しみ、「そろそろ帰ろうかな」と板を車に積み込んでいた、その時。　電話が、かかってきました。　離れて暮らす、実家の母親からでした。　「大丈夫!?　何があったの?」　なぜか、激しく取り乱している母親。　詳しく話を聞くと、携帯電話に「雄太さんが転倒した」という連絡が来たので、あわてて電話をかけたということでした。

スキーの腕前には自信があり、大けがをするような転倒をしたわけでもない。　もちろん、警察や消防と関わった覚えはない。　でも、母親に連絡がいった理由には、思い当たる節がありました。　それは、いつも身につけている、愛用のスマートウォッチです。　雄太さんは、最後のひと滑りを楽しんでいる最中、スマートウォッチが震えたのに気付いていました。　でも、「LINE　かメールでも来たのかな」と思い確認はしていませんでした。

実際には、転倒を検出する機能が作動していたのです。　最近のスマートフォンやスマートウォッチの中には、転倒や衝突を自動的に検出する機能が備わっているものがあります。　速度や方向が急激に変化したり、その後に、一定時間、反応が無かったりすると、利用者が急病で倒れたり、交通事故に巻き込まれたりした可能性があると判断。　雄太さんのように、あらかじめ登録していた緊急連絡先にメッセージが送られるほか、何も操作しないままでいると、持ち主が危険な状態に陥っていると判断して、自動的に 119 番通報する機能もあります。

こうした機能を持つスマートフォンやスマートウォッチはメーカーを問わずに存在していて、国内の出荷台数の半分近くを占めるとされるアップルの「iPhone」では、去年 9 月に発売が始まった最新の「iPhone14」シリーズから、衝突の自動検出機能が搭載されました。　これによって、こうした機能を備えた端末を持つ人は増えているとみられます。

急増!　スキー場からの自動通報

持ち主を助けてくれるかもしれない、自動検出機能。　しかし、これが思わぬ波紋を広げています。　今月 5 日、長野県の北アルプス広域消防本部が「転倒や衝突の検出機能で 119 番への自動通報が急増している」とツイートしました。　詳しく話を聞くと、先月 16 日から今月 10 日までに寄せられたスマホやスマートウォッチからの自動通報は、あわせて 83 件に上るということです。

このうち、実際の「事故」は 1 件だけ。　そのほかはすべて、救助の必要のない「意図しない通報」でした。　そして、大半の通報はスキー場から発信されていました。　白馬や栂池高原など、この消防の管轄エリアには全国的にも人気のスキー場が数多くあります。　スキーやスノーボードを楽しんでいて、転ぶなどした時に、スマホやスマートウォッチがその衝撃などを検知して自動通報されていると、この消防ではみています。

「自動音声なので呼びかけても応答がなく、こちらから折り返し電話をかけて、何があったのかを確認する必要があります。　すぐに電話に出てくれればいいんですが、2、3 回かけなければならなかったケースもあります。（北アルプス広域消防本部通信指令室 田中茂樹消防士）」

そして、「スキー場の利用者に呼びかけたいこと」として、この 2 点を挙げました。

● 必要に応じて、自動検出機能のオン・オフを切り替えてほしい。
● 意図しない通報をした場合、消防からの折り返しの電話にはすぐに出て「出動は必要ない」と伝えてほしい。

「連絡つかない」、「外国の人も」各地で困惑

人気のスキーリゾートがあるほかの消防でも、同じような事態が起きていました。　昨シーズン、およそ 75 万人が利用した長野県の志賀高原などを管轄する消防本部では、去年 12 月以降、50 件近くの自動通報がありましたが、実際の「事故」はゼロ。　また、湯沢高原などが管轄エリアの新潟県の消防本部では、同じく去年 12 月以降、80 件近くの自動通報がありましたが、こちらも、通報が必要なレベルの事故だったケースはなかったといいます。

これらの消防の担当者も指摘していたのが「折り返し電話をかけ、何があったのかを確認する必要があるが、持ち主がスキーを楽しんでいる場合などは連絡がつきづらく、非常に困っている」ということ。　実際に重大な事故があった場合の救助活動への影響を懸念する声も聞かれました。　そして、パウダースノーが外国から来た人に人気の、北海道のニセコエリアでは別の悩みも。　ここでも、先月上旬からのおよそ 1 か月で 50 件余りの自動通報がありましたが、1 件を除いて「事故」ではなく、さらに折り返し連絡してみると、そのほとんどが外国からのスキー客。　何があったのか、事故かどうかを英語で確認するのは簡単ではないといいます。

「うちは規模が大きくないので通報への対応は 2 人で行っているのですが、事実確認に時間がかかり、業務に影響が出ています。　さらに件数が増えると、本当に緊急の対応が必要な通報に迅速に対応できなくなる可能性もあると感じます。（ニセコエリアを管轄する羊蹄山ろく消防組合消防本部の担当者）」

総務省消防庁も注視

総務省消防庁は各地の消防本部から連絡を受けてこうした状況を認識し、全国のほかの消防にも「意図しない通報」があることを伝えたということです。　また、去年の秋まではみられなかった現象のため、「iPhone14」の発売が影響している可能性があるとみて 11 月下旬にはアップルの日本法人と話し合いの場を持ったということです。　その後、アップルは、基本ソフトをアップデートし、「衝突事故検出の最適化」を行ったとしていて、総務省消防庁の担当者は「状況を注視しています」と話しています。

"よりよい機能になってほしい"　「意図しない通報」がもたらす波紋

しかし、SNS 上には、自動検出機能が命を守ることにつながったという書き込みも、見られます。　岐阜県の男性は、父親の友人がスマートウォッチの自動検出機能に救われたと書き込みました。　父親の友人は 70 代。　心臓に持病があり、去年の夏、ひとりで歩いている時に、突然、体調が悪化して意識を失ったそうです。　倒れたのは路地裏で、その時、周りには人がいませんでした。　しかし、身につけていたスマートウォッチが、自動で 119 番通報してくれたのです。　救急隊が駆けつけ、なんとか一命をとりとめることができました。

「スマートウォッチがなかったらと考えると恐ろしいですし、本当に感謝しています。私も釣りが趣味で足場が悪い場所に行くこともあるので、もしものときのために自分も身につけたいと思っています。（SNS に書き込んだ男性）」

また、冒頭でご紹介した、スキーを楽しんでいて母親に転倒の連絡がいったという雄太さんは、こう話します。

「母親には新年早々、申し訳ないことをしました。　ただ、機能としてはとてもよいものだと思っているので、ぜひブラッシュアップしてほしい。　場面や活動の内容に応じて、細かく設定が変えられるといいですよね。（雄太さん）」

日々、進化を遂げる最新のテクノロジー

便利になる一方で、思いも寄らぬ影響が出ることも少なくありません。　自動検出機能が、ユーザーにとってはもちろん、通報を受ける側にとってもより使い勝手のいいものになることを私たちも期待したいと思いました。 (鈴木有、芋野達郎、土方薫、坂井耀一郎、大谷紘毅、小山佳予子、NHK = 1-12-23)

「Android スマホの電源ボタンを連打したら緊急通報になります」 携帯各社が注意呼びかけ

NTT ドコモ、楽天モバイル、ソフトバンク、KDDI はそれぞれ、Android 12 以降を搭載したスマートフォンの緊急通報機能について、誤発信や確認に関する注意を促した。　Android 12 以降を搭載したスマートフォンには、電源ボタンを 5 回以上すばやく押すことで緊急通報できる機能が備わっている。　本機能を意図せずに使い、誤発信してしまうことがあるという。　NTT ドコモによれば、2022 年 12 月、警察庁から相談があり、調査の上で今回の呼びかけに至った。

本機能の設定状況は、「設定」→「緊急情報と緊急通報」→「緊急 SOS」→「緊急 SOS の使用」から確認できる。　ソフトバンクによると、Pixel シリーズ、Xperia 1 III、Xperia 5 III以外の機種は初期設定が「OFF」になっているという。 (三沢悠貴、ケータイ Watch = 1-6-23)

T モバイル　サイバー攻撃で 4 千万人以上の顧客情報流出

米携帯大手 T モバイル US は 18 日、サイバー攻撃を受け、4 千万人以上の氏名や生年月日、社会保障番号、運転免許証などの顧客情報が流出したと発表した。　米メディアによると、ネット上にはハッカーから 3 千万人分の個人情報を 6 ビットコイン（約 3 千万円）で販売するという書き込みもあるという。

T モバイル US によると、流出したのは過去の顧客や利用申し込みをした約 4 千万人分。　このほか、後払いの契約者約 780 万人とプリペイドの契約者約 85 万人の個人情報も流出した。　プリペイドの契約者については、氏名に加えて電話番号や通信契約の暗証番号が盗まれたため、既にすべてリセットしたという。　クレジットカード番号は漏れていないとしている。

米紙ウォールストリート・ジャーナルはサイバー攻撃が公になる前にツイートした人物の主張として、T モバイル US のバックアップサーバーには 1990 年代半ば以降の顧客情報が暗号化されずに保存されており、ハッカーはこのサーバーにアクセスしたと報じている。 (ニューヨーク = 真海喬生、asahi = 8-19-21)

アンドロイドの感染リスクは 15 倍　アップルが報告書

米アップルは 23 日、同社の配信サービス「アップストア」での不正アプリの排除状況についての報告書を発表した。　グーグルのアンドロイド端末では、不正ソフトによる感染が「iPhoneの 15 倍に上る」との研究例も紹介。　自社のアプリ審査の優位性を強調した内容で、米巨大 IT 企業の間のせめぎ合いもさらに強まっている。

アップルが同日発表したのは、「信頼されるエコシステムの構築」と題した報告書。　娘にせがまれて、父親がアンドロイド端末でグーグル以外の企業が運営する配信サイトからゲームをダウンロードしたところ、気づかないうちに次々と課金されてしまう例などが紹介されている。　これに対し、アップルの iPhone 向けアプリは、同社が厳しく審査する「アップストア」からしかダウンロードできない仕組みで、安全性を確保していると説明した。　外部の調査を引用する形で、アンドロイド端末での不正アプリによる感染は、iPhone の 15 倍に上るとも記している。

アップストアを巡っては、米議会などから「アップルは iPhone 用アプリの他社サイトからのダウンロードを許さず、門番のようになっていて競争を阻害している」という批判が強まっている。　これに対し、アップルは今回の報告書で、不正ソフトを排除するうえでのアップストアの重要性を強調した形だ。　アップルは自らの事業モデルの正当性を訴えるため、ライバルのグーグルに対する批判を強めており、巨大 IT 企業同士の対立も鮮明になっている。 (サンフランシスコ = 尾形聡彦、asahi = 6-23-21)

ゆうちょ銀、 スマホ決済サービスと口座連携を再開へ

ゆうちょ銀行は 8 日、貯金の不正引き出しに利用された「ドコモ口座」など他社の決済サービスとの口座連携について、13 日から順次再開すると発表した。　自行のプリペイド機能付きデビットカード「ミヂカ」は新ブランドに衣替えする。　「メルペイ」、「LINE Pay」との連携は 13 日に再開する。　「ドコモ口座」など 8 サービスとの連携は、相手側の安全性も確認したうえで再開する。　多くの被害が昨年9月に表面化し、本人確認手続きなどが不十分だったこれらのサービスとの連携は止めていた。

自行の「ミヂカ」については、安全性が不十分だった送金機能や新たな申し込み、サイト上のチャージは再開しない。　安全と判断した買い物や ATM での現金チャージなどは来年夏で終わりとする。　代わりに、新ブランドのデビットカードを来年春に立ち上げる。　詳細は今後詰めるという。　ゆうちょ銀行は顧客の被害を長く放置し、3 年以上補償しなかった例もある。　昨秋の問題発覚後の情報公開や対応も遅かった。　ドコモ口座の問題が表面化しなければ、被害対応はさらに遅かった恐れもある。

経営陣は 8 日、同行の監査委員会から「利用者保護の意識の徹底」、「適切な情報開示」、「取締役会報告のあり方の検討」などを求められたことも明らかにした。　池田憲人社長は記者会見で「感度が鈍かった。　大いに反省する。」と述べた。　社長や副社長ら役員 5 人が報酬を一部返納し、担当執行役ら 9 人は厳重注意処分とする。　顧客の苦情や相談を一元管理する組織やキャッシュレス被害用の相談窓口をつくり、顧客対応や情報収集にも取り組む。

ただ、2017 年夏からの被害発生は、社長を含む経営陣もそのつど報告を受けていたという。　池田氏は「補償対象外だった」、「担当部署の情報共有が不十分で、全体像が十分に把握できていなかった」などと釈明。 経営陣が適切に対応しなかった原因については、明確にはならなかった。　経営幹部らの対応については、郵政グループが設置した外部有識者委員会でも検証され、近く提言が出るという。　昨年 10 月の有識者委では「システムやセキュリティーの問題に矮小化しないように」と釘を刺されていた。 (豊岡亮、藤田知也、asahi = 1-8-21)

《不正引き出しで表面化した課題と対策》

● 口座連携で本人確認が不十分
→ 2 段階認証など安全策を強化し、13 日から順次再開

● 自社カードのミヂカで不正引き出しや情報流出
→ 安全な機能は継続。　22 年春に新ブランドへ移行。

● 顧客の被害への対応が提携業者任せに
→ 苦情や相談に対応する部署や窓口を設置

● 経営陣が被害を把握しながら対応できず
→ 検証はまだ不十分?

銀行の本人確認強化　金融庁、不正引き出し防止

スマートフォンなどを使ったキャッシュレス決済サービスで口座振替を利用する場合の本人確認が強化される。　金融庁は銀行の監督指針を改正し、銀行口座と決済サービスを接続する際に複数の認証方法で本人確認をすることを銀行に徹底させる。　NTT ドコモなどの決済サービスで預金の不正引き出しが相次いだことを受け、セキュリティーを強化して再発防止を図る。

NTT ドコモの「ドコモ口座」などを経由して預金が不正に引き出された問題では、銀行と決済サービス事業者の双方で本人確認が甘かったところを突かれた。　銀行側では銀行口座と決済サービスをひもづける際に、口座番号や暗証番号を入力するだけで済むケースが多かった。　ドコモ口座は匿名のメールアドレスだけで登録できるなど事業者の対策も不十分だった。　金融庁は相次ぐ不正を受けて 9 月、銀行と決済サービス事業者に対し、本人確認に不備があれば口座の新規接続や入金を停止するよう要請した。　同庁は 2020 年度中に監督指針やガイドラインを改正し、こうした措置を恒久化する。

銀行に対しては銀行口座を外部の決済サービスとひもづける際に、暗証番号に加えて、高度な認証の仕組みを導入するよう求める方針だ。　具体的には使い捨ての「ワンタイムパスワード」などを使った2段階認証や、指紋などの生体認証を想定している。　大手銀行などワンタイムパスワードを発行していた一部の銀行では被害が発生していなかったため、有効な被害防止策になると判断した。

不正が発生した場合、被害者に迅速に補償する仕組みも整える。　改正資金決済法の内閣府令を改正し、被害が出た場合に備えた補償方針を利用者に示すよう決済サービス事業者に義務づける。　これまでは補償の分担などを巡って銀行と事業者側の協議が難航し、被害者の間で不安が広がるケースがあった。 (nikkei = 10-17-20)

ゆうちょ銀、ミヂカ会員サイトを停止　不正アクセス判明

ゆうちょ銀行は 3 日夜、同行のデビットカード「mijica （ミヂカ）」の会員サイトの利用を停止したと発表した。　不正なアクセスがあり、個人情報が盗まれた恐れがあることが同行の調査で判明したため。　ミヂカの利用者は約 20 万人に上る。　専門チームが過去約 2 カ月分のデータを調べ、7 月 28 - 30 日、8 月 1 - 4 日、同 14 - 20 日、9 月 9 - 13 日の各期間で、不正アクセスがあったと判断した。　詳細は確認中だが、ログイン失敗の件数が平常時と比べて 100 - 800 倍になっていたという。

会員サイトにログインすると、名前（漢字・カナ）、生年月日、カードの番号下4ケタと有効期限といった個人情報に加え、買い物などの履歴が閲覧できるようになる。　送金機能もあったが、利用するにはカードの裏面に記された番号も必要になる。　同行は今後、不正取得された恐れのある個人情報の範囲や規模について調査を進める。　情報流出による被害があった場合は、全額補償するとしている。　ミヂカでは送金機能を悪用したゆうちょ口座からの不正引き出しが多数発覚。　送金機能は 9 月 16 日から停止していたが、不正防止策や被害公表の遅れなどで被害を拡大させたことが批判を浴びている。 (藤田知也、asahi = 10-3-20)

◇　◇　◇

ゆうちょ銀、被害総額 6 千万円に　公表遅れ、社長が陳謝

銀行に預けられたお金がドコモ口座などの決済サービスを通じて不正に引き出された問題で、ゆうちょ銀行は 24 日、同行の口座での被害額が約 6 千万円、約 380 件に拡大していると明らかにした。　22 日までの顧客からの申告を集計した。　ゆうちょ銀は約 380 件について 10 月末をめどに補償を完了させたいとしている。　さらに被害がないかを調べるため、他社の決済サービスにひもづく口座の顧客に対しメールやダイレクトメールを送り、不審な取引がないかを確認してもらう。　約 600 口座については不審な取引があり、個別に電話もするという。　24 日午後に記者会見した池田憲人社長は「公表が遅れ、お客さまに多大な迷惑をおかけし、深くおわびします」と陳謝した。 (asahi = 9-24-20)

☆

「銀行はみんなで赤信号渡った」　ドコモ口座の落とし穴

NTT ドコモの「ドコモ口座」などのキャッシュレス決済サービスを通じて銀行預金が不正に引き出された問題では、銀行のセキュリティーの甘さも露呈しました。　金融分野の情報セキュリティー技術に詳しい岩下直行・京大公共政策大学院教授は、「日本ならではの仕組みが悪用された」と言います。　どういうことなのでしょうか。

- - セキュリティーに関して、銀行のシステムは安全というイメージがありました。　そもそもどんな仕組みになっているのですか。

銀行業界が利用しているシステムの最大の売りは、私たちが普段使うインターネットとの接続が極めて限定的という点です。 それぞれの銀行が管理する顧客の預金データは、全国銀行データ通信システム（全銀システム）でつながっていますが、インターネットを通じてではなく専用の回線で情報をやりとりしています。

全銀システムを管理しているコンピューターのもととなる性能は、預金残高の足し算と引き算に過ぎません。　それでも、銀行業界は膨大な費用をかけてこのシステムを維持しているのです。　業界にとってこのシステムの価値となっているのは、コンピューターの性能ではなく、「昔から大きな事故なく使ってきた」という信頼感にあります。　ほとんどインターネットにつながらない閉じられた世界で、金融庁が監督する金融機関同士が取引をするのだから、不正は基本的に起こらない - -。　この考え方がセキュリティーの核になっています。

閉じたシステムに抜け道

- - あらゆるモノがネットでつながる時代なのに、特殊な考え方にみえます。

例えるなら、今の時代に馬車を走らせているようなものです。　自動車ではどんな事故が起きるか分からないからと、馬車を使えば確かに安全かもしれない。　でも費用は膨らむし、不便です。　時代にはあっていません。　それでも業界は、「古くてもいい。 この閉じられたシステムこそが銀行の要（かなめ）なんだ。」と言い続けてきました。　だからこそ、銀行自身がシステム運営し、ネットと接続して決済や振り込みなどができるそれぞれの「ネットバンキング」では、1 回しか使わない「ワンタイムパスワード」など複数の認証手段を用意して、セキュリティーを厳重にしてきたのです。

- - それなのにキャッシュレス決済サービスで不正な引き落としがありました。　なぜでしょう。

キャッシュレス決済はネットバンキングとは別のサービスです。　ですが、スマートフォンなどを使って銀行の預金口座から現金をチャージし、それで好きなモノを買えるといった点では、本質的にネットバンキングと変わりません。　多くの銀行はネットバンキングでは本人確認を厳重にしていますが、キャッシュレス決済サービスでは確認が不十分なまま、チャージを許していました。　業界としてネットへの接続に慎重だったはずですが、抜け道のような形で安易な「ネット化」が進んでいました。

- - 確認が不十分なままのチャージとは、どういうことですか。

キャッシュレス決済サービスでは、公共料金や家賃などの支払いに使われる「口座振替」の仕組みが使われていました。　いったん口座振替の登録を終えて預金口座と結びつければ、あとは請求通りにいくらでも自動的に引き落としができる仕組みです。　預金者の口座から何者かがつくったドコモ口座へ、お金が不正に引き落とされていきました。

もともと、電気会社やガス会社からの請求をそのまま受け入れて自動的に引き落としてもらうというのは、（役所的な）電力会社や銀行など「お上（かみ）」っぽい存在のことを信じやすい日本ならではの独特の制度です。　海外の人なら自動的に引き落とされることに「電気代が間違っていたらどうするんだ」と驚きます。　今回の問題はお互いを信用したうえで成立する仕組みが悪用されました。

- - これまで、今回のような不正はなかったのですか。

公共料金や家賃の引き落としでは、不正が起きにくいのです。　例えば誰かが他人の預金口座から電気代を引き落としていた場合、得をするのは本来の支払い義務がある本人だけとなります。　だから仮に不正があっても犯人を特定しやすいのです。　「公共料金の支払いで不正はないだろうから、自動的に引き落としてもいいよね」というのが、銀行業界の当初の口座振替の考え方でした。　同じく口座振替にひも付いたクレジットカードの場合は、様々な使い道があるので不正の危険性は高まりますが、カードをつくるときに運転免許証などを使った厳しい本人確認が求められます。 だからカードの利用者は預金口座の持ち主と同じだということが、一定程度は担保されています。

- - それに比べて、ドコモ口座をつくる際の本人確認は甘かったとされています。

ドコモ口座は当初、ドコモの携帯契約者限定のサービスでした。　クレジットカードと同じように携帯を契約するときの本人確認が一定の安全性を担保していました。　しかし、昨年 9 月からはドコモ契約者以外にもサービス利用の範囲を広げました。　誰もがドコモ口座をつくれるようにしたうえ、架空名義でつくることができるほど、本人確認が甘くなりました。　ドコモはこの点で非常にまずかったと言える。　サービスの利用範囲を広げたことによるリスクの変化をきちんと銀行側に伝えていたのかどうかという点は、問われるべきです。

ネット口座振替受付が転機に

- - ドコモ口座は誰でもつくることができたとして、なぜ銀行の預金口座と結びつくことになったのでしょうか。

銀行の口座振替はこれまで、利用者が印鑑を押した申込書類を通帳の印鑑と照合したうえで登録されていました。　それが 2008 年、NTT データが印鑑を使った書類手続きがなくてもネット上で登録できるようにしたサービス（ネット口座振替受付）の提供を始めました。　ドコモ口座と預金口座の連携もこの仕組みを利用していたのです。

ネット口座振替受付は、あくまでインフラとしての位置づけで、どう運用するかはそれぞれの銀行に委ねられていました。　不正な引き出しを許した銀行では、氏名や生年月日、口座番号などのほか、4 桁の暗証番号をネットで入力するだけで、口座振替を受け付けていました。　何らかの手段で預金者の個人情報を入手した人物が、いったんドコモ口座と預金者の口座をひもづけると、あとは自由にお金をチャージできるようになっていました。

- - それでセキュリティーに隙ができたということですか。

暗証番号は 4 桁なら適当に入力しても 1 万分の 1 で当たってしまいます。　銀行のネットバンキングのセキュリティーが 4 桁の暗証番号だけなら、とんでもないことだと批判されるでしょう。　ATM では 4 桁の暗証番号だけで引き落としができますが、それはキャッシュカードを持った人が、防犯カメラもある特定の場所で利用するという前提があるからです。

本人確認の甘さ、銀行にも

- - 銀行の責任も大きいということですね。

ドコモ口座をつくる際に NTT ドコモの本人確認が甘かった点は、ドコモの責任が大きいと言えます。　ですが、これとは別に銀行が預金者本人の意思を十分に確認できていませんでした。　この責任は大きいでしょう。　「A さんの口座から 1 万円引き落としてください」という請求がドコモから銀行に届いたとき、それが本当に A さんからの請求なのかどうかを確認する責任は銀行にあります。　銀行以外には確認する方法がありません。　この確認が銀行にとって最も重要で、馬車のようなシステムを使い続けている理由のはずです。　今回の問題では、預金者本人の意思がちゃんと確認できていないにもかかわらず、結果として預金を引き落とさせてしまうことになったのです。

- - なぜ銀行業界のセキュリティーはこのようにないがしろになったのでしょうか。

銀行はシステムとネットをできるだけ切り離してセキュリティーを厳重にしてきました。　なのでネットで受け付けた口座振替でキャッシュレス決済サービスを扱うことには、「大丈夫だろうか」という疑問が働く余地があったはずです。　ですが、組む相手は大手企業のドコモだし、ネット口座振替受付は 10 年以上も前から導入されているものです。　このような問題が起きると考えていなかったのではないでしょうか。　銀行は想像力を欠いたまま、みんなで「赤信号」を渡ってしまったようです。 (聞き手・筒井竜平、asahi = 9-23^20)