狙われたのは「回線ひも付けなしdアカウント」
今回の不正出金の“踏み台”として使われたのはドコモ回線とひも付いていない「dアカウント」(旧:docomo ID)だ。
ドコモ回線の契約とひも付くdアカウントでは、作成時に携帯電話番号とネットワーク暗証番号が必要となる。
これにより、ドコモ側ではアカウントに対する本人確認を行える。
一方で、ドコモ回線とひも付かないdアカウントは任意のメールアドレスさえあれば作成できる。
一部のWebサービス(Yahoo! JAPAN、Google、Twitter、Facebook)のアカウントに登録されたを使うことはできるものの、厳密な本人確認をせずに作成できてしまう。
dアカウント
dアカウントの新規登録にはメールアドレスが必要だ。ドコモメールのアドレスを利用する場合は回線契約情報とのひも付けが必要だが、その他のアドレスを使う場合はひも付けは必須ではない
ドコモ口座のルーツは2009年7月に始まった「ドコモケータイ送金」にある。
これを2011年5月にリニューアルして、現在のドコモ口座の原形が出来上がった。
デル・テクノロジーズの新型ワイヤレスマウスが法人導入に最適な理由
ドコモ口座の利用にはドコモ回線が必須だった。
しかし2019年9月下旬、「d払い」にウォレット(プリペイド残高)サービスを追加するタイミングに合わせてキャリアフリー化された。
その際、dアカウントを用いるサービスについて「便利に使っていただく観点から簡便な手続きで利用できるようにする」(丸山誠司副社長)という方針を同サービスにもそのまま適用した。
結果的に、本人確認をしていないdアカウントでもドコモ口座を利用できるようになったのだ。
規約改定
2019年9月26日付でドコモ口座の規約が変更され、キャリアフリー化が図られた
今回の不正出金は、以下の手順で行われたと推察されている。
何らかの方法で「口座番号」「名義人」「生年月日」「キャッシュカードの暗証番号」などを入手
メールアドレスを使ってdアカウントを作り、ドコモ口座を開設
不正入手した口座情報を使い、Webで口座振替を申し込み
ドコモ口座にチャージ(=不正出金)
ドコモ口座とd払いをひも付けて、コード決済で換金性の高いものを購入し現金化
ここで「なぜ、わざわざ換金性の高い商品を買ったの?」という疑問が湧く。
これは、ドコモ回線とひも付けていないドコモ口座はATM出金に対応しないという仕様によるものと思われる。
ドコモ口座(d払い)ユーザー同士の送金機能を活用して、回線ひも付けのあるdアカウントのドコモ口座に「迂回(うかい)」して出金……と思っても、回線ひも付けがあるということは“足”が付く。
現金として直接取り出せないため、わざわざ換金しないといけないということだ。
不正チャージの流れ
不正チャージのスキーム。
メールアドレスでdアカウントを作り、それでドコモ口座を作ったと推定される
ドコモ口座を開設する際は2段階認証が必要だが、ドコモ回線とひも付いていないdアカウントでは登録メールアドレス宛に認証コードを送るため、なりすましをされると意味がない。
☆
最近まで盛んにPRしていたヤツか...d払い、全く星野原と女が煩いくらい連呼していた...どうにもならない様だ。
メールにもすり抜けてサギメールが来るがその都度、受信拒否もイタチごっこ。
こんなものに欺されるバカもいるのか...。
