キャッシュレス決済は電子決済だけで買い物ができるため利便性が高いが、犯罪のターゲットにされやすい側面がある。ユーザー側でできる不正利用対策としては、やはり明細の確認が基本中の基本だ。ウェブ明細なら、取引が素早く反映されるので、もし不審な取引があった場合でも発見しやすい。
セキュリティの最強極意(4)
キャッシュレスを利用していない人も被害に!
自分の銀行口座やクレカの明細はオンラインでマメに確認すべし!
キャッシュレス決済は電子決済だけで買い物ができるため利便性が高いが、犯罪のターゲットにされやすい側面がある。その不安が顕在化したのが、2020年9月に発覚した「ドコモ口座」などの不正引き出し事件だ。
●不正出金に悪用された「ドコモ口座」
ドコモ口座はメールアドレスのみで開設できるため、本人が知らないうちに悪用されてしまった。その余波は現在も続いており、新規の銀行口座登録などはいまだに停止されている。
ドコモ口座とは、NTTドコモが提供する電子決済サービス。あらかじめ登録した銀行口座からお金をチャージすることで、ネットショッピングなどの支払いに利用できる。ところが、ドコモ口座自体はメールアドレスだけで開設が可能。また、登録する銀行によって本人確認の方法が異なり、中にはセキュリティが甘い銀行もあった。そこを犯罪者に付け込まれ、ゆうちょ銀行や地方銀行など計11の銀行から総額2885万円が不正に引き出された(2020年10月27日時点)。
犯行手口は、まずフィッシング詐欺やリバースブルートフォース攻撃(特定のパスワードに対し、異なる文字列のIDを総当たりさせてログインを試みる攻撃のこと。 )などで他人の銀行口座情報を入手。その後、ドコモ口座を開設し、入手した銀行口座と連係手続きを行う。あとは、銀行からドコモ口座へお金をチャージし、ネットショッピングなどで利用するという流れのようだ。このような本人確認の甘さを突いた不正引き出し事件は、PayPayやSBI証券などでも相次いだ。
●ドコモ口座の不正利用の手口
ドコモ口座開設時の本人確認の甘さに加え、銀行口座と連係する際に、一部の銀行では口座番号と暗証番号だけで本人確認を済ませていた。この二重の穴が悪用された形だ。
不正利用を防止するには、もちろん決済事業者や銀行側の本人確認の徹底が重要だ。そのうえで利用者側ができる対策としては、ふだんから銀行やクレジットカードの明細をマメに確認すること。大半の銀行やクレジットカードでは明細をウェブ上で確認でき、利用内容も短時間で反映される。出金や決済時にメールを受け取れるサービスを提供しているところもあるので、ぜひ利用したい。日ごろから明細に目を光らせ、もし不審な取引があればすぐにカスタマー窓口に連絡しよう。
●銀行やクレカの取引はウェブ明細でチェック
ユーザー側でできる不正利用対策としては、やはり明細の確認が基本中の基本だ。ウェブ明細なら、取引が素早く反映されるので、もし不審な取引があった場合でも発見しやすい。
解説/宮下由多加(ITライター)
