2020年電子決済サービス不正引き出し事件

2020年電子決済サービス不正引き出し事件（2020ねんでんしけっさいさーびすふせいひきだしじけん）は、2020年9月に発覚した複数の電子決済サービスを通じて、銀行口座の残高が不正に引き出された事件。被害者の銀行口座が第三者によって勝手に電子決済サービスに登録され不正に口座残高の引き出しが行われた。2020年9月22日時点で約3152万円の被害が確認されている^[1]。

2020年電子決済サービス不正引き出し事件
場所	日本
日付	2020年9月に発覚
原因	セキュリティ上の不備など
被害者	175件 (2020年9月22日時点)
損害	31,521,530円 (2020年9月22日時点)

概要

2020年9月初め頃からSNSなどでドコモ口座への不正引き出しが報告され^[2]、9月15日時点で2676万円の被害が確認されている^[3]。第三者が何らかの方法で被害者の個人情報を取得し、銀行口座を勝手に電子決済サービスに登録して不正に口座残高を引き出したと考えられている。

不正引き出しの被害は、当初NTTドコモ利用者、ドコモ口座利用者などと考えられていた。だが9月15日以降、ドコモ口座以外に、PayPay、Kyash、LINE Payなどの決済サービスでも不正引き出しの被害が確認され始める^[4]。電子決済サービス側からの個人情報の流失は無く、他から流失した個人情報をもとに電子決済サービスを手段として犯罪が行われていたと考えられている。後に、個人情報は、ソフトバンク販売代理店から持ち出されたものが悪用された疑いが高まった^[5][6]（後掲）。

手口

犯人はまず、被害者の「携帯電話番号、氏名（口座名義）、生年月日、金融機関名、口座番号」を不正に入手。後掲の、ソフトバンク販売代理店から流出した顧客情報が悪用されたと見られる^[5][6]。

次に、上記情報を用いて、ドコモ口座、PayPay、Kyash、LINE Payなどの電子決済サービスに勝手に関連付け。その後、銀行口座から関連付けた電子決済サービスへ残高を送金（チャージ）した^[7]。

セキュリティ上の脆弱性と対策

セキュリティ上の脆弱性

今回の事件では、ドコモ口座等の電子決済サービス側と銀行側、双方にセキュリティ上の脆弱性があり、それを突かれたもの。

• 電子決済サービス - メールアドレスのみでアカウント作成が可能（フリーメールでも可能）。eKYC等による本人確認やSMS認証による回線確認が無く、1人の人間が無制限にアカウントを作成出来てしまう。特にドコモ口座は、当初はNTTドコモ回線契約者限定であったものをキャリアフリーに変更した経緯があり、利用者拡大を急ぐあまりにセキュリティ対策が劣後したとの指摘がある^[8][9]。
• 銀行 - 今回被害に遭った銀行はいずれも、地銀ネットワークサービスが提供する「Web口振受付サービス」という共同利用型サービスを使用していた^[10]。このサービスは、最小の場合は「口座名義人名（カナ）、生年月日、金融機関・口座番号、キャッシュカード暗証番号」によって銀行口座と電子決済サービスの関連づけ登録が出来てしまう（認証項目は金融機関によって異なるが、今回は認証項目が少ない銀行がターゲットとなった）^[11]。

この結果、犯人は電子決済アカウントを大量に作成し、多数の金融機関口座とひも付け、不正送金を繰り返した。

なお今回、ソフトバンク代理店からキャッシュカードの暗証番号は流出していなかったが、これはリバースブルートフォース攻撃（逆総当たり攻撃）によって突き止められたのではないかとの指摘がある^[12][13]。

対策

今回の事件を受け、電子決済サービスと銀行、それぞれがセキュリティ対策の強化を講じている。

• 電子決済サービス - アカウント作成時にeKYCやSMS認証によって本人確認を徹底。重複作成を防ぐ^{[14][15][16][17]}。また日本資金決済業協会は、2020年12月3日に「銀行口座との連携における不正防止に関するガイドライン」を策定^[18]、2021年1月28日に「銀行口座との連携における不正防止に関するガイドライン(前払式支払手段）」^[19]を策定した。
• 銀行 - WEB口座振替の利用登録時に「記憶情報（知識情報）」だけでなく、IVR（Interactive Voice Response、電話自動音声応答）認証^[20]や通帳の最終記帳残高等、いわゆる「所持情報」を取り入れ、二要素認証を採用する^[17]。金融庁は2020年度内に義務づける方針^[21]。また全国銀行協会は、2020年11月30日、銀行側が注意すべき点を取りまとめた「資金移動業者等との口座連携に関するガイドライン」を策定し^[22]、2021年5月28日、「資金移動業者と銀行の間の口座連携に係る覚書の条文例」を発表した^[23]。

被害

確認された被害（決済サービスごと）

決済サービス	件数	被害額	確認日	引き出し元銀行	出典
ドコモ口座	145件	26,780,000円	2020年9月16日	七十七銀行、中国銀行、東邦銀行、鳥取銀行、滋賀銀行、大垣共立銀行、紀陽銀行、みちのく銀行、ゆうちょ銀行(82件、15,460,000円)、イオン銀行、第三銀行	[1][24][25][26]
PayPay	18件	2,653,041円	2020年9月22日	ゆうちょ銀行(13件、1,354,041円)、愛知銀行(3件、1,200,000円)、イオン銀行(2件、99,000円)	[27][28]
Kyash	4件	530,000円	2020年9月15日	イオン銀行(1件、300,000円)、ゆうちょ銀行(3件、230,000円)	[29][30]
メルペイ	4件	1,050,489円	2020年9月18日	ゆうちょ銀行(4件、1,050,489円)	[31][32]
LINE Pay	2件	498,000円	2020年9月16日	ゆうちょ銀行(2件、498,000円)	[33]
PayPal	2件	10,000円	2020年9月16日	ゆうちょ銀行(2件、10,000円)	[24]
支払秘書 （ウェルネット）	35件	2,696,440円	2020年9月16日	ゆうちょ銀行他	[24][34]

経緯

2019年5月、りそな銀行の口座からドコモ口座を通じて預金が不正に引き出された^[35]。

2020年9月始め頃、利用した覚えがないのに銀行口座から「ドコモコウザ」という名義で数十万円（30万円など）のお金が引き出されたという報告が、SNS上で複数行われた^[2]。

2020年9月5日、0時よりNTTドコモは「ドコモ口座」において、七十七銀行の銀行口座登録・銀行口座変更を停止^[36][2]。

2020年9月8日、0時より中国銀行、大垣共立銀行の銀行口座登録・銀行口座変更を停止^[36]。また、イオン銀行、池田泉州銀行、大分銀行、紀陽銀行、滋賀銀行、仙台銀行、第三銀行、但馬銀行、鳥取銀行、北洋銀行、みちのく銀行、伊予銀行、東邦銀行、琉球銀行の銀行口座登録・銀行口座変更を停止^[37]。
同日ドコモは、同社システムへの不正アクセスでは無いことを報じた^[38]。

2020年9月9日、9時40分ゆうちょ銀行の銀行口座登録・銀行口座変更を停止^[39]。

2020年9月10日、0時より35行全ての提携銀行における銀行口座登録・銀行口座変更を停止^[40][41]。同日、金融庁は報告徴求命令を出し、実態の解明、報告を命じた。同日16時30分よりNTTドコモは本件に関する記者会見を本社で開き、丸山誠治副社長が謝罪し、セキュリティの不備を認めた^[42][43]。被害が確認された銀行は11行^[44]、66件で合計被害額は約1800万円^[45]。（丸山誠治副社長は2022年5月11日に副社長を退任^[46]、子会社のNTTコノキュー社長に就任）

2020年9月15日、0時時点でドコモ口座経由の不正引き出し被害が確認された銀行は11行、143件で合計被害額は2676万円^[3]。この他一連の不正引き出しがドコモ口座以外にPayPay（17件約141万円）^[27]、Kyash（4件53万円）^[29][30]、LINE Pay（2件49.8万円）^[33]などでも確認された^[4]。

2020年9月16日、0時時点でドコモ口座経由の不正引き出し被害は、145件で合計被害額は2678万円確認されている^[1]。

2020年10月7日、18時点でドコモ口座経由の不正引き出し被害は、125件で合計被害額は2842万円^[47]。減少したのは、申告内容を確認し本人の利用等であることが判明したものがあったため^[48]。

2020年10月25日、18時時点でドコモ口座経由の不正引き出し被害は、129件で合計被害額は2891万円^[49]

捜査・被疑者逮捕など

捜査は埼玉県警を中心に10府県の警察が合同捜査本部を設置して行っている^[50]。

2021年1月1日、2019年3月に「ドコモ口座」に他人の銀行口座をひも付け、預金約100万円を不正に出金したとして、警視庁と6県警の合同捜査本部は、住所不定・無職37歳の男性をこの事件の主犯格として電子計算機使用詐欺や窃盗などの疑いで再逮捕する方針と報じられた^[51][52]。この男性は2020年11月にPayPayで他人口座へ不正入金した疑いで逮捕、12月に起訴されている^[53]。

2021年1月6日、上掲の37歳男性を電子計算機使用詐欺容疑などで再逮捕した。2019年3月に他人名義のスマートフォンで開設したドコモ口座に東京都在住40代男性の銀行口座情報を登録し、10回にわたり計約100万円を入金、その後コンビニエンスストアのATMで引き出した疑いがある。被疑者は「全く身に覚えがない」と容疑を否認している^[54][55]。

2021年1月19日、警視庁は、同じく不正チャージした残高から、家電量販店やコンビニエンスストアでたばこや電化製品等、500万円分を大量購入したとして、中国人留学生の男女2人を電子計算機使用詐欺容疑で逮捕^[56][57][58]。同日、さらに中国籍の20代の男女3人を電磁的記録不正作出・同供用と詐欺の疑いで逮捕^[59]。この日の逮捕者は計5名。いずれも本件事件での「買い子」とみられる^[60][61]。

2021年2月8日、中国人留学生の男女2人を詐欺の疑いで再逮捕^[62]。

2021年2月15日、警視庁サイバー犯罪対策課は、ソフトバンクの顧客情報を持ち出したとして、同社の訪問販売代理店を経営していた東京都世田谷区の35歳男性を不正競争防止法違反（営業秘密の領得、使用）で逮捕^[5]。2015年から2018年の期間、当該人物が関わった二次代理店（訪問販売代理店）でソフトバンク・Y!mobileの携帯電話サービス、SoftBank光、SoftBank Airの契約手続きを行った際に得た「氏名、住所、生年月日、連絡先電話番号、携帯電話番号、携帯電話機の製造番号（IMEI）、交換機暗証番号、料金支払い用の金融機関名および口座番号」6,347件を不正に持ち出した^[63][64][65]。1月に逮捕した主犯格男性の関係先からこのリストが押収されており、一連の犯行の元ネタになったと見られる^[5][6]。

関連被害

2020年9月15日、上越市の80代女性の元に警察官を名乗る男から「あなたの口座が不正引き出しの被害を受けている」という内容の電話があり、その約1時間後に自宅を訪れた男が女性が目を離した隙にカードを盗み、その後現金28万7,000円が引き出される被害が発生した。新潟県警は同様の不審な電話に関する通報が複数あるとして注意を呼び掛けた^[66]。