ドコモ不正出金、 釈明会見で「経営陣が問題の本質を理解していない疑い」浮上…回答が的外れ

　現在、日本中を騒がせている「ドコモ口座不正利用問題」。これは、NTTドコモが展開するキャッシュレスサービス「ドコモ口座」と連携できる銀行の口座に対して、不正に入手された情報を使って第三者がログイン。そのまま第三者によって不正に出金がされてしまうという問題だ。

　15日には、ゆうちょ銀行が提携する即時振替サービスにおいても同様の被害が確認されていることを高市早苗総務相が発表し話題となっているが、問題は不正そのもののみならず、サービス提供企業の側の“対応品質”にも拡大中のようだ。

　14日、NTTドコモはこの不正問題についてオンライン記者説明会を開催。この様子は動画配信サイトのニコニコ動画で生中継された。10日に行われた記者会見に次ぎ2回目となるこの会見では、14日0時時点での被害件数が120件、被害に遭った銀行数が11行となったことや、被害総額が2542万円にのぼったことなどをドコモ側が報告。その対策として、10日時点ですでに発表が行われていた銀行口座登録の新規受付の停止のほか、不正利用が疑われるドコモ口座の利用停止、専用のコールセンターの設置などが発表されることとなった。

「しかしこの会見で最も注目されることとなったのは、発表内容“以前”の部分に関する、あり得ない不手際の数々でした。

　この記者説明会は、Web会議アプリWebexを使用して行われたのですが、その通知音が鳴り続ける事態となってしまったんです。さらに、会見中に設けられた記者による質問するコーナーでは、記者が資料のページをめくっていると思しき音やつぶやきなどの音声のほか、ハウリング音などがダダ流しにされることに。

　また、ドコモ側のスタッフと思われる人物の映像が画面に映り込んでしまったほか、記者からの質問を受け付ける際にも、ミュート状態が解除できないで急遽チャットでの質問になるなど、進行もグダグダ。

　こうした“体たらく”に対しネットでは、『通信事業をやっている企業のオンライン会見がこのレベルなのか』などといった辛辣な意見が寄せられることとなりました」（全国紙記者）

不正の本質を、会見に臨んだ副社長が理解していない？

　この会見に先駆けて行われた10日の会見でも、多くの批判を浴びたNTTドコモ。

「今回の不正問題で、銀行口座に不正ログインする方法として犯人が使用したのは『リバースブルートフォース攻撃』と呼ばれる手法。従来の手口では、不正に入手した銀行口座の情報に対して、暗証番号を片っ端から入力してログインを試みる『ブルートフォース攻撃』と呼ばれる手法が多かった。これに対しては、数回ログインに失敗するとアカウントがロックされるなどの対策が、すでにほとんどの銀行で取られています。

　しかし、今回問題となった『リバースブルートフォース攻撃』とは、暗証番号を固定して、情報を入手した多数の口座に対してかわるがわるログインを試みるという、“逆転の発想”のような手法。こちらも、銀行側が口座登録の際にSMSでの二段階認証などを設定していれば十分に防御可能なのですが、地銀などではこの対策をしていなかった銀行も多く、まさにそこを突かれて今回の事件が起きたわけです。

　ところが、10日に行われた会見で記者からこうした防衛策を聞かれた際、NTTドコモ副社長の丸山誠治氏からは、『暗証番号や口座にアクセスするために必要な情報を漏らさないことが重要。その点を気をつけていただければ問題ないかと思う』とのトンチンカンな回答が。世間からは、『そもそも問題の本質を理解していないのではないか？』との指摘が相次いだのです」（同・全国紙記者）

知識を有した人材を会見に同席させればよいのでは

　昨年7月には、セブン＆アイ・ホールディングス傘下の会社が展開するキャッシュレス決済サービス「7pay」で不正アクセス問題が発生。この際にも、同月4日に開催されたこの件についての記者会見において、当時の社長であった小林強氏が、SMS認証などの二段階認証を知らないかのような回答をし、物議を醸した。

　もちろん、こうしたサービスを展開する企業のトップたるもの、技術的なことのすべてを把握していなければならない……というのはさすがに酷な話ではあろう。しかし、それならばそうした知識を有した人材を適宜会見に参加させるなどの方策はとれるはず。今回の不正出金事件で失墜してしまったNTTドコモの信用が回復するのには、まだまだ時間がかかりそうである。

（文＝編集部）