ドコモ口座 お金は取られてなくても侵入された口座があるはず

ドコモ口座の件、私はエンジニアの端くれとしてエンジニア目線で見ると、いまドコモ内部で何が起きているかなんとなく想像がつく。経営陣は利用者の利便性を重視した結果、今回のような事態になったのだが、ドコモのエンジニアチームであればそれなりに優秀な人がそろっているはずで、システムの要件定義の際に当然セキュリティは堅く、認証は二重で本人確認もして、などの仕様を最初は盛り込んでいたはずである。

しかし、ドコモ口座のシステム仕様を複雑にするほど開発期間は延びるし、セキュリティが堅いほど利用者が敬遠する可能性があり、経営陣はより利益の見込めるほうを選択したのでしょう。その結果が今回の騒動となったのであり、いまごろ内部のエンジニアは「だから言ったのに」と思っているはず。

この後、ドコモはドコモ口座の仕様変更やテスト設計などをし直すわけで、内部のエンジニアからしたら面倒くさいことこの上ない仕事だと思う。世間から叩かれている案件だからその圧力により当然のごとく納期は短縮を要求されるだろう。ドコモ内部のエンジニアのことを思うとちょっと気の毒になる。現場の士気の低下が目に見えるようだ。

営業や経営陣 vs 開発チームという図式はIT系の会社であれば大抵は見られる構造で、いつもお互いにもめて仲が悪いものです。IT系だけでなく家電メーカーや自動車についても同じことが言えるでしょう。とはいえ、ドコモ口座の件は内容が内容だけに営業と開発の仲が悪いでは済まされず、この先ドコモがどういう対応をするか注視する必要がある。私としては現場のエンジニアに深く同情します。

報道されないけど侵入された口座は他にあるのでは？

さて、報道されているドコモ口座の件、被害者の銀行口座から「ドコモコウザ」に送金された証拠を示す画像が報道で出回っています。

※写真は毎日新聞より
https://mainichi.jp/articles/20200912/k00/00m/040/260000c

この写真を見て気づくことなないだろうか？

それは、犯人は残高が分かってないよね、ということ。彼ら犯人のミッションは「可能な限りの短時間で可能な限り多くの金額をとる」ことであると仮定すれば、金額をピンポイントで指定してさっさと次の口座に移動し、また奪うということを効率よく実行していく必要がある。

しかし、現実にはそうしていない。とりあえずはてきとうな金額を入れて、もし送金できたらまた近い金額を送金するということを繰り返している。これは口座の残高が分からないからこうしているのは明白でしょう。でなければ、金額をピンポイントで指定して送金しているはずだから。

そしてこのことから1つ言えることがある。10万円とか100万円とか、一定の残高がある口座はお金が送金されることで被害に遭ったことが露見するが、一定の残高がない口座は侵入はされたが送金されなかっただけとなり、侵入されたことが表面化されない。

もし犯人グループが口座に侵入して5万円を指定しても残高不足で送金できず、さらに1万円でも送金できない場合、ひょっとしたら5000円を指定するかもしれないけど、仮にそれで送金できても金額は小さいから割に合わない。それよりもっと残高のある口座からまとまった金額を取る方が、彼らのミッションである「可能な限りの短時間で可能な限り多くの金額をとる」に近づける。

従って、「お金は取られていないけど、侵入はされた口座」が一定数存在すると考えられる。

「お金が取られていないなら問題ないじゃん」と思うかもしれないが、まず将来その口座の預金額が増えた場合、なんらかの方法で被害に遭う可能性があることを考慮すると、今回は被害に遭わなかった口座であっても放置することはできない。

しかし表面化されないので、問題にされることもない。という感じで突き詰めていくとエンジニアが対応することはけっこう多いと分かる。

ドコモ口座の件はけっこう闇が深いだろうから、調査や仕様変更にも時間がかかるだろうし、仮に何か不都合なことがあってそれを少しでも隠蔽しようとすると、それが明るみに出たときにはまた世間から叩かれる。いずれにせよドコモのエンジニアチームが歩む道はしばらくは険しいに違いなく、彼らにエンジニアとしては深く同情するのであります。

怖いから口座からお金を全部おろしちゃう、という人に教えてあげてください

こういう事件が盛んに報道されると、「怖い、私の口座も危ないかも」「口座から全額おろしたほうがいいのかな」と不安になる人が出てくる。特に女の人に多い気がする。しかし考えてもみれば分かるが、被害に遭う確率はかなり低い。

https://www3.nhk.or.jp/news/html/20200914/k10012617011000.html
NHKによると、9/14時点で被害は11銀行120件、2542万円らしいが、被害に遭ったのはたった120件である。日本で開設された銀行口座数がいくつあるか正確な数は知らないが、日本人の人口約1億2600万人のうち、子供を除いて最低1人2件だとして、少なくとも口座数は2億件はあるでしょう。3口座、4口座以上保持している人もいるし、法人の口座もある。ここでは仮に最低で2億件とします。

120/200,000,000なので、被害に遭う確率は0.0000006％。宝くじで1等に当たる確率よりさらに低い。ここまでくると搭乗した飛行機が墜落する確率とか、隕石が自分のおなかに当たる確率とかそういうレベルです。仮に実際の被害がもっと多く倍の240件であったとしても0.0000012％でしかない。

このわずかなリスクであるにもかかわらずメディが騒ぐから、確率を計算できない人はそのリスクを過大評価して、「お金を銀行の口座から全部おろさないと怖い」と発言するのです。もしこういう人があなたの身近にいたら、銀行口座から安易にお金をおろすことの害のほうが大きいですよ、と教えてあげてください。

こんなわずかな件数の不備のために、膨大な人的資源、時間、資金を投入しないといけないので、金融サービスは本当に大変なんですね。