「ドコモ口座事件」に思う

古くからのコンピュータやネットワークのユーザーとして、本当はネット経由でお金のやり取りをしたほうが便利なことはよくわかるのですが、逆にセキュリティは、関係する人たちの中で一番意識の低い人の水準によって安全性が決まると考えています。インターネット経由で決済ができるようになった頃に、システムを構築する業者や金融機関等のセキュリティ水準をあまり信用せず、「インターネット口座」は開設しない、使わないと決めて今日に至ります。「関わらなければ安全だ」という考え方です。

ところが、今回の「ドコモ口座事件」では、必ずしもそうではないことが判明してしまいました。被害者はネット利用に積極的な人ではなく、「ドコモ口座」など開設していない人だった、というのです。

悪意を持った人が、誰かの氏名と生年月日、銀行口座番号と4桁の暗証番号を入手すれば、本人になりすましてメールだけで「ドコモ口座」を開設できてしまう。このとき、2段階認証も求められていない。すると、本人の「ドコモ口座」と見なされて銀行口座が開いてしまう。あとは気づかれるまで使われる、という構図でしょうか。

つまりは、セキュリティ意識の低い「ドコモ口座」を利用した「なりすまし」の手口で、「インターネット口座など開設していないから大丈夫」というわけにはいかなくなった、関わらなければ安全とは言えなくなった、というのがこの事件の大きな意味でしょう。幸いに、当方のメインバンクは「ドコモ口座」とは契約していない(*1)ようで、被害は免れているようですが、実に困った事態です。関係業界の今後の対応を注視する必要がありそうです。

◯

ここからは、まったくの蛇足、戯言です。
それにしても、初期に判明していた不都合を認識した企業が、いったん中断してシステムの不具合を修正するという意思決定はできなかったものか。動き出した組織の中で方向性を修正する必要が生じたとき、誰がどのように動けばよいのか。NTTドコモや東京電力に限らず、組織のあり方として難しい問題だと感じます。おそらくは組織のヒエラルキーが関係し、トップが正常な判断ができるとすれば、情報が届きやすいフラットに近い組織のほうが修正しやすいのではなかろうか。いや、トップは万能ではなく常に適切な判断ができるとは限らない。やはり責任のある当事者の代表が泥をかぶる必要があるのだろうか。いやいや、そもそも原案が未熟なまま決定が出されてしまうことが問題ではないのか。いやいやいや、最近は拝金主義に毒されたトップが目立つからなあ。このあたり、堂々巡りで答が出にくい問題のように思われます。やっぱり、「結果的に工事費がだいぶ高くなる」方を選択した東北電力の意思決定(*2)は立派だったと言わざるを得ません。

(*1):ドコモ口座の不正利用、被害に遭う恐れのある人は？ ドコモ以外の人も要注意〜ITメディア
(*2):女川原発と福島第一との違いは古文書にある慶長津波の評価にある？〜「電網郊外散歩道」2011年4月