口座情報はどこから盗まれた?
要するに、「銀行口座の名義」「口座番号」「暗証番号」さえわかれば、提携口座なら誰でも不正引き出しされる可能性があるというのだ。
暗証番号などの入手に関しては、さまざまな憶測を呼んでいる。パスワードを固定し、片っ端から口座番号を試してセキュリティの穴をつく「リバースブルートフォース」が仕掛けられた可能性も囁かれている。
また、いわゆる「ディープ・ウェブ」「ダークウェブ」と呼ばれる、検索エンジンによって表面化しないネットワーク上で手に入れることができる、過去にスキミング被害やアカウント流出にあった情報から、ターゲットを絞り出している可能性もある。

実際のところ、肝心の口座と暗証番号を「完パケ」した状態で手に入れた方法については、まだ明らかになっていない。では、今回の件で責任の所在を問われるのは、結局のところドコモなのか、金融機関なのか。
全容が解明されていないことを前提とした上で、前出・石川温氏は次のように分析する。
「おそらく、ドコモ側も地銀側も、それぞれ独立したサービスとして考えた時には、セキリュティ面では問題ないだろうと考えていたはずです。
ただ、それぞれのサービスが掛けあわさたっところで、セキュリティに大きな穴が空いていることに気づかなかった。そのままサービスを続けてしまったことが今回の問題につながったといえます」
たしかに責任の所在を問う上では、警察の捜査次第なところもあるかもしれない。ただ、被害者からは「ドコモ側に問い合わせても、まったく対応してくれる気配がない」という声が相次いでいる。