2020年9月初，日本社交网络上的一些人在8月份的银行账户记录中报告了从"Dukomo账户"转账的情况，他们没有使用"Dukomo账户"服务。这件事引起了公众的注意，NTT Dukomo公司在这方面展开了调查。调查发现，一些攻击者利用其他人的银行信息伪造身份，打开"Dukomo账户"，并将银行账户重新收费，并从实体商店离线支付利润。

从五号开始，"杜科莫账户"停止了受影响银行的账户登录/更改服务，并于十号停止了与其相连的所有35个银行系统的登录/更改服务。同样是十号，日本金融机构向全社会道歉，NTT Dukomo向全社会道歉，共发布了11家银行，66家转账总额约1800万日元。截至10月8日，共有11家银行共遭受2842万日元的损失。

除了"Dukomo帐户"之外，日本一些著名的支付服务提供商，如PayPay/Kyash/Merpay/LinePay/PayPal，也发现了类似的杀人事件。

虽然每个支付服务提供商的具体贪污方式略有不同，但大致可以用以下方式加以总结：

在这起事件中，支付服务提供商Dukomo账户遭受的损失最大。在银行方面，日本邮政银行(Japan Post Bank)遭受的损失最大；受害最广泛的是当地银行，多达9家当地银行在这起事件中受害。经过全面分析，日本邮政银行(Japan Post Bank)发现，该银行因无现金支付而造成的盗用公款已达到约6000万日元(10月5日的最新消息显示，赔偿金额为4940万日元，最早可追溯到2017年7月)，而它的mijica支付服务也出现了大规模的账户信息泄露和盗用问题。

事件特征

从事件的特点来看，与2019年的7 Pay事件相比，这一事件的责任不应完全是Dukomo账户等支付服务提供商的责任，银行本身也应承担很大的责任。为了证实这一结论，SBI证券公司在事件发生后不久也很快发现了一种新的贪污形式。攻击者首先盗用SBI证券用户的账户；由于SBI证券账户中的金额只能以自己的名义转入银行账户，攻击者使用同名伪造文件开设了同名银行账户；然后将SBI证券的托收银行账户改为伪造的银行账户，并通过转移帐户获得最终利润。截至9月16日，SBI证券损失金额已达9864万日元。

下表比较了7 Pay、Dukomo账户和SBI证券事件的受害模式和金额：

表2-1表2-1

总体而言，支付给服务提供商的损害金额并不大。SBI证券并不是一家支付业务，也是因为其证券业务的性质，资本流动相对于其他两家支付公司来说更大，因此受影响最大。对服务损失较小的原因可以粗略分析如下：

1.受害的基础相对较小

除邮政银行外，此次事件中各大银行的安全防范措施相对到位，没有受害。受影响最广的地方银行的主要业务通常是向当地企业提供金融服务。个人存款用户的数量一般有限，因此受害群体总体较小。

2.支付服务属性限制

为了防止将支付服务用于犯罪洗钱和其他行为，日本政府制定了一项关于电子交易和支付服务的犯罪收益转移法，例如限制购买电子货币和快速现金商品等。大多数攻击者只能选择购买受保护和易于离线销售的商品，如香烟和其他转售，犯罪成本很高，而且交易周期更长。

笔者认为，日本银行主导的传统支付行业的现有业务形式和思维方式与新形势下的互联网支付行业不相适应，是安全问题频繁发生的根本原因。