そもそもドコモ口座って？

ドコモユーザーならおなじみ、それ以外でも使えるアカウントサービスである「dアカウント」に紐づけてキャッシュレス決済などで使用できる電子マネー（だよね）のことです。
dアカウントは元々はドコモ契約者向けのアカウントサービスだったんですが、スマホを起点としたサービスを提供するに当たり、汎用的なアカウントサービス（ID提供サービスとも言えます）にするためにドコモの回線契約とのつながりを限定的にしたものです。GoogleアカウントやFacebookアカウントでのログインと同様、dアカウントでのログインができるようになり、dポイントも使えるようになるので便利ですね。
ドコモの回線契約をしていると本人確認レベルが格段に上がります。でも、契約してないとそもそもGoogleアカウントで登録ができたりとか、誰だかわからないアカウントになります。

ドコモ口座はいわゆる出金できないポイントサービスから出金も可能になる資金移動業に移行するに当たり、本人確認レベルを上げているはずなんですが、本人確認を「銀行口座を登録」することに依存しています。画面の項目とかを見る限り、「dアカウント側で本人確認していない」口座名義人（カナ）くらいしか銀行へのサイト移動時の連携項目がありません（遷移時のリクエストの中身までは見ていないのでもっと何かあるかもしれないけど、何を連携する、というのが出ないのも不自然なので業務的なデータはないかも）。だから、連携する先の口座の名義を適当に（すでに知り得ている口座名義で）dアカウントに登録していれば、第1段階はクリアしていると思われます。この時点で結構やばいね。

で、本人確認という名前の銀行登録が完了すると、チャージができるようになりますが、そのときに「銀行側での認証」は不要です（何故不要なのかは後で説明）。

また、出金は、登録した口座への出金も可能ですが、どうやら（やったことないのでアレだが）「セブン銀行ATMからの直接の出金」が可能です。これがちょっとヤバい気のするポイント…

銀行で登録するのは一体何なの？問題点は？

銀行口座の登録っていうのはそもそも何なんでしょうか。登録って何よ。これはですね、他のなんとかPayとかでもやっていることなんですが、ようは、「資金移動業者からの依頼でユーザーの口座からお金を資金移動業者に移動する」許可を与えているものになりますね。え、そんなことしてんのって思うかもしれませんが、みなさんこれは普通に色んなものでやっていますね。すなわち「口座振替契約」をしています。口座振替ってのは収納機関と呼ばれるサービス提供先（例えば、クレジットカード会社やスマホのキャリア、公共料金などいわゆる「口座引落」で支払いを登録するもの）が申し出た金額で口座からお金を自動で引き落とすサービスのことですね。引落先口座として登録するときに口振契約をしていることになります。これは、収納機関、金融機関、口座保有者の3者間の契約になりますので、例えばドコモで携帯を契約するときに申し込んだ情報はその時に記載した銀行に回っていて口振契約がされます（ということに同意します、みたいな文言が書いてあるはずです）。

で、この紙ベース（紙ですよ）の手続きのリアルタイム性がないことやめんどくさいことを特になんとかPayとかだとやってらんないので、デビットカードのインターフェースなど（悪名高きCAFISとかです）を使って銀行側と連携して最初の確認オッケーとかにするのは紙ベースでもやってるんですがそれもめんどくさいからもう直接銀行のサイトから申し込ませちゃおうぜってのがWeb口振受付。これが何年か前に一斉に流行ってほぼすべての銀行が対応してます（例外あり）。今回も、ことの性質上、これを使っているはずです。つまり、今回問題になっている銀行については他のなんとかPayでも勝手に登録、チャージの脆弱性がある可能性があります。ただし、連携元の本人確認レベルがこんなに低いのはそんなにないかも。

で、Web口振受付をするにあたって、銀行サイト側で本人確認をする必要がありますが、これは報道されているように、「口座番号＋キャッシュカード暗証番号＋α」という、わりと弱めの認証になっている銀行があります（特に+αの部分が生年月日みたいな公開情報に近いものを使っているところ。最悪、+α自体がない）。これ、収納機関側の言い値の決済をできるようにする仕組みなんだからそんなんでよいの？という話なんですが、一般的に銀行と口振受付契約をする収納機関は「本人確認がなされている人が連携されてくる」ことが信頼ベースで担保されていることが前提になっているはずなので、まさかこのWeb口振受付そのものが本人確認の手段になっているって思って作ってないと思いますよ。
とはいえ、資金移動する取引の登録として例えばインターネットバンキングの第2認証やワンタイムパスワードなどが不要というのはいまどきちょっと弱めです。もっとも、先に述べたとおり、普通の収納機関は例えば免許証とかで既にに本人確認していないとこんなところまでやってこないんじゃないでしょうか。なんとかPayとかは違うのかな？とか思うけど。

ってここまで言うとなんとなくわかってきたと思いますが、これは銀行側の認証が甘い、という問題は2次的なものであり、ドコモから連携するときの信頼レベルが低い、ということに問題の本質があると思います（じゃないと、その銀行においてはWeb口振受付の仕組みそのものが全部アウト…の可能性もありますけど…）。銀行の一番の落ち度は「信頼できない収納機関からの受付を許容している」というところが最大でしょう（とはいえ、ドコモがそんなアホな連携してくるとは銀行も思いませんよね？）。

ドコモ側に問題はあるの？

ありますよね。随分他人事みたいなアナウンス・報道がなされていますが、オメーのサービスの本人確認といういちばん大事なところを外部に依存してんじゃねーよってことで。しかも、追跡の難しくなるATMでの直接出金サービスを提供していますよね。こんなの狙ってくれって言っているようなもんじゃないですか…資金移動業者としての適格性あるシステムなのこれ？
dアカウントというサービス自体は便利で良いし、回線契約をしていると本人確認のレベルが上げられるので、認証サービスとして「回線契約をしている人に限って」であれば色々保証される部分もあるので、認証サービスを利用するシステム側も使い勝手がよいとは思うんですが、キャリアをまたがったサービスとして手を広げようとしているところでの勇み足ですよねこれ。

まあ、報道によるとドコモ側も本人確認が甘いってのを認め始めているようなところもありますので、はよなんとかしてくれって感じですね（だって当該の銀行口座持ってるだけでドコモと関係ない人もリスクあるわけでさ…）