「相手任せ」の姿勢が失敗要因の一つ
なぜ、NTTドコモを中心としたドコモ口座連携先金融機関が不正引き出しを防げなかったのでしょうか?
まだ正式に被害の実態や背景が判明していない状況ではありますが、一つ指摘されているのはNTTドコモが運用する「dアカウント」と連携する銀行のセキュリティがうまく連動していなかったのではないか、というもの。NTTドコモは銀行関連の手続きをする際には銀行独自のセキュリティが講じられていると考え、メールアドレスだけでdアカウントが作れるようになっていました。
ドコモ口座との連携が実現していた銀行は35行ありましたが、今回被害が発生したのは11行のみ。サイバーセキュリティの専門家によれば、口座連携時のセキュリティ認証が比較的緩い銀行が狙われたのではないか、と指摘されています。本人でなくても簡易に作れてしまうdアカウントを作った上で、比較的本人確認の方法が緩い銀行で集中的に被害が発生した可能性があります。
加えて、ドコモ側、銀行側ともに連携した相手方のセキュリティ体制を相手方に任せきりにしていたことが背景にあるとも言われています。ドコモ側は銀行口座と連携させる際には銀行側で本人確認をしっかりやっていると認識して利便性の高いメールアドレスのみでのdアカウント作成というやり方を採用、一部の銀行は携帯電話の情報と連動した本人確認をドコモ側で行っているであろうから二段階認証等の手間のかかる認証手段を採用しなかったとのこと。(その他被害が発生した方がフィッシングメール等で個人情報、口座情報などを別途盗まれていたという説もあるようですので、必ずしも企業側だけの責任ではないのかもしれません)
今回被害に遭われた方からすれば、(補償される見込みとはいえ)一時的に貴重な金銭を失っているので、一大事です。他方で、日本全国で被害件数が500件程度、被害総額もおそらくは1億円程度。日銀が発表する家計の現金・預金は1000兆円規模ですので、日本・日本人全体からすればごく一部の被害でしかない、とも言えます。そしてまた、一連の不正被害で命を奪われた方は一人もいないと認識しています。お金はたとえ奪われてもそのことだけで死亡するわけではありません。
では、もし金融面やデータのセキュリティではなく、フィジカルなセキュリティ=安全対策が破られていればどんな被害が発生するでしょうか?この場合は盗まれるのは金銭ではなく、命の可能性だってあります。今回の事案を教訓にフィジカルな安全対策で失敗しないためにどうすればよいか、考えてみましょう。
【次ページでは・・・フィジカルな安全対策で失敗しないための教訓】