事件

【ドコモ口座事件 システム開発会社の会社名と場所どこ?特定!】NTTドコモ・銀行双方にもセキュリティに甘さ

ドコモ口座からの不正引き出し事件が、政府も乗り出し、既に社会問題化しています。

発端は、宮城県在住の女性による自身の銀行口座からの「不正引き出し」被害でした。


「ドコモ口座」の被害者「信じてもらえず憤り」補償求める
2020年9月9日 17時52分

「ドコモ口座」を開設していないのにもかかわらず、銀行の預金30万円を不正に引き出された宮城県内の女性が、NHKの取材に応じました。女性は「銀行やドコモにも被害を信じてもらえず、憤りを感じた」と話し、被害金額の補償を求めています。
出典:NHKニュース

女性によると、当初、銀行も警察も相手にせず、逆に不審に思われたといいます。

それが、同様の被害が続出したことから、瞬く間に、社会問題として拡大しました。

事件の概要は、ドコモ口座も持たずアプリにも全く関与していない人の「銀行の普通口座」から、【ドコモ口座】名義で、次々にお金が引き落とされるというもの。

システムの穴をついた手口と思われます。

さっそく、NTTドコモは提携銀行の全35行との間で新規登録を停止しました。


「ドコモ口座」不正引き出し 35銀行と新規登録停止

電子決済サービス「ドコモ口座」を通じて預金の不正引き出しが相次いでいる問題で、NTTドコモは提携する35すべての銀行との間で新規登録を停止しました。
出典:All Nippon NewsNetwork(ANN)

システムの脆弱性の根拠を一刻も早く見つけ出すことが求められます。

そこで問題となってくるのが、【ドコモ口座】のシステムを開発した【開発企業(会社)】の存在です。

ドコモ口座のシステムを開発した会社(企業)はどのなのでしょうか?

現状と銀行(金融機関)のリバースブルートフォース攻撃対策

今回のドコモ口座・不正引き出し事件の要因は、NTTドコモ側の拡大戦略ゆえのセキュリティ設計の甘さにあったとの報道発表がありました。


NTTドコモ・丸山誠治副社長:「多数の皆様にご心配、ご迷惑をお掛けしたことを深くおわび致します」
NTTドコモは会見で「ドコモ口座」を開設する際の本人確認が不十分だったことが悪用につながり、預金の不正引き出しの原因だったと認めて謝罪しました。不正な引き出しが確認されている銀行は11行で、10日の昼時点で被害は66件、総額1800万円に上っているということです。被害者への対応については「銀行と連携し、全額を補償するよう真摯に対応したい」としています。金融庁はドコモに対し、問題の経緯や原因を17日までに報告するよう命じました。
Yahoo!ニュース

また、銀行(金融機関)側についても、顧客の口座情報が漏洩したことは事実で、その責任は重大です。具体的には、リバースブルートフォース攻撃(今回の事例では、銀行口座の暗証番号にあたる部分を固定しながら、口座番号を総当たりしていく手法)への対策などです。

従って、ドコモ口座運用のシステム開発に関して、NTTドコモ側の意向が強く反映されていた場合、システム開発に携わった会社に責任を問うことは控えたいと思います

※ 仮に、開発途上で、開発会社からセキュリティの甘さの指摘があったとしても、依頼主のNTTドコモに「問題なし」とされれば、そのまま開発は続行するでしょう・・。

なお、フェンリル株式会社は、一時アクセス不能であった自社HPを復活させ、以下のコメントを発表しています。


一部銀行の口座情報を使用したドコモ口座の不正利用について、フェンリルではデザインのリニューアルのみ担当しており、アプリ開発およびシステム開発には携わっておりません。本件に関しては株式会社NTTドコモのNTTドコモ報道発表資料をご覧ください。
出典:フェンリル株式会社

ドコモ口座のシステムを開発した会社(企業)

ドコモ口座のシステム開発に従事した開発会社は複数あるようですが、まず、以下2つの会社が特定されました。

フェンリル株式会社

【実績:ドコモ口座 | フェンリル】と題する当該ホームページが削除されていました。

削除されたページのURL↓
https://www.fenrir-inc.com/jp/works/docomo-account/

問題の拡大への対策でしょうか・・。

しかし、「キャッシュ」には、明確に「ドコモ口座の開発会社」としての痕跡が見てとれます。

削除されたページのキャッシュ画像▽

ドコモ口座の開発会社フェンリルの削除されたページ
出典(削除済み):実績:ドコモ口座 | フェンリル


「口座」というハードルを感じさせないデザイン
「ドコモ口座」というアプリ名称から、銀行で口座開設をするような難しいイメージを感じさせないように意識してデザインしました。通常の「銀行口座」の使い方とは違い、プリペイドカード機能や送金機能が気軽に使えるよう、登録や設定の手間を極力おさえた設計にしました。
出典(削除済み):実績:ドコモ口座 | フェンリル

フェンリル株式会社の会社概要


会社名:フェンリル株式会社 Fenrir Inc.
設立:2005年6月13日
資本金:1億円
事業内容:デザインと技術にこだわったプロダクトとサービスの制作
従業者数:481名(グループ全体、2020年5月 現在)

所在地
大阪本社
〒530-0011 大阪府大阪市北区大深町3-1 グランフロント大阪 タワーB 14F
TEL 06-6377-7606
FAX 06-6377-7609
営業時間9:30~18:00(土日祝日を除く)
出典:フェンリル株式会社

フェンリル株式会社の所在地地図↓

株式会社KDC

ドコモ口座開発を表明しているトップページ画像▽


株式会社KDCの会社概要
商号:株式会社KDC(英文表記:KDC CORPORATION)
設立:1970年4月15日 (昭和45年4月15日)
本社所在地:〒555-0013 大阪府大阪市西淀川区千舟3丁目3-2
TEL:06-6195-0180
FAX:06-6195-0163
代表取締役社長:伊倉 雅治(いくら まさはる)
資本金:2,000万円
出典:株式会社KDC

株式会社KDCの所在地の地図↓

世間の反応

まとめ

銀行系のシステムに限らず、システムは稼動して問題なく業務が遂行されていると【過信】が生まれます。

かつての「セブンペイ」問題同様、大変なことですが、ハッキング目線からの追求の継続と「過信」の排除がもとめられます。