なぜゆうちょ銀行から不正出金が? 田中副社長「2要素認証をもっと強くお願いすべきだった」:被害総額は約1811万円
ゆうちょ銀行が9月16日に記者会見を開き、決済サービスを通じた不正出金の被害状況を公表した。9月15日時点の不正出金は1811万1000円に上る。中でもドコモ口座の1546万円が特に多い。ゆうちょ銀行は、多くのサービスで口座登録時に2要素認証を導入していなかったことを原因に挙げる。
ゆうちょ銀行が9月16日に記者会見を開き、決済サービスを通じた不正出金の被害状況を公表した。
第三者が不正に入手したゆうちょ銀行の口座情報を、決済サービスのアカウントをひも付けて、不正に出金を行った。
9月15日時点でゆうちょ銀行が把握している、不正出金が起きた決済サービス、被害件数、金額は以下の通り。
- PayPay……17件、141.5万円
- LINE Pay……2件、49.8万円
- PayPal……2件、1万円
- メルペイ……3件、49.8万円
- d払い……82件、1546万円
- Kyash……3件、23万円
被害金額の合計は1811万1000円。中でも突出して多いのが、d払いの1546万円。d払い(ドコモ口座)の被害金額は9月16日0時時点で2678万円に上り、半分以上がゆうちょ銀行からのチャージ分となる。
この他、ウェルネットは「調査中」としている。楽天Edy、PayB、ゆめカード、ファミPay、pringでは不正出金は確認されていない。
不正出金が確認された6サービスと、ウェルネット、楽天Edy、PayB、ゆめカードでは現在、ゆうちょ銀行の新規登録とチャージを停止している。チャージを停止したサービスでは、ゆうちょ銀行の口座を決済サービスのアカウントに登録する際、2要素認証を行っていなかった。d払いとKyashについては9月16日に2要素認証を導入し、その他のサービスについても9月17日に導入する予定(ゆめカードのみ協議中)。新規登録とチャージを再開するめどは立っていない。
2要素認証を当初から導入していたファミPayとpringについては、新規登録もチャージも停止しておらず、サービスを継続している。
9月上旬に、ドコモ口座を経由した不正出金が発覚したが、それ以外の決済サービスについても被害規模の差こそあれ、同様の不正出金が判明した。中国銀行、七十七銀行、東邦銀行、大垣共立銀行、鳥取銀行といった地方銀行でも不正出金が確認されているが、規模で言えばゆうちょ銀行は特に大きいといえる。
不正出金の被害を申告したユーザーに対しては、決済サービス事業者と連携して、全額を補償する。ゆうちょ銀行の田中進副社長は「通帳やゆうちょダイレクトの明細を確認いただき、身に覚えのない取引があった場合、コールセンター、銀行、郵便局の窓口に連絡してほしい」と呼び掛ける。
そもそもなぜ、ゆうちょ銀行から不正出金が行われたのか。ゆうちょ銀行は「当行のシステムから口座情報やキャッシュカード暗証番号などのお客さま情報が漏えい事実はない」としており、決済サービスの登録に2要素認証を導入していなかったことを要因に挙げる。
9月16日より前に2要素認証を取り入れていなかった決済サービスでは、かな氏名、生年月日、記号、番号、キャッシュカードの暗証番号を入力すればゆうちょ銀行の口座を登録できた。従って悪意ある第三者がゆうちょ銀行の口座情報を手に入れさえすれば、本人になりすまして決済サービスへ登録できてしまうというわけだ。
では、なぜファミPayとpring以外の事業者は、2要素認証を導入していなかったのか。ドコモについては、9月中にもともと2要素認証を導入する予定だったそうだが、他のサービスではそのような具体的な予定はなかった模様。
田中氏は2要素認証について「もっと強力にお願いをしておくべきだったという反省はある」「2要素認証ができていれば、事態は変わり得たと思う」と述べながらも、2要素認証導入の働きかけは以前から各事業者に対して行っていたという。つまりPayPay、LINE Pay、メルペイなどはゆうちょ銀行側からの働きかけがあったにもかかわらず、2要素認証の導入を見送ったと読み取れる。
「決済サービス事業者の合意が取れないと2要素認証は導入できない」(田中氏)というが、なぜ一律で2要素認証を導入しなかったのか、疑問に残る部分もある。会見の質疑応答でも、その理由を追及する声が多く挙がった。田中氏は「一般論としては」と前置きしつつ、2要素認証は「ユーザーに1~2オペレーションお願いすることになる。できるだけ簡便にサービスを進めたいという考えもある」とした。
2要素認証とは、パスワードや暗証番号などの「記憶認証」、乱数表やトークンなどの「所持認証」、指紋や虹彩などの「生体認証」のうち、2つを組み合わせた認証のこと。ゆうちょ銀行が決済サービスに対して導入する2要素認証は、記憶認証と所持認証の2つ。所持認証では、口座開設時に登録した電話番号あてに掛かってくる電話から発せられたパスワードか、残高のいずれかを選べるようにするという。
ドコモ口座を筆頭に、ゆうちょ銀行経由で多くの被害が出ているが、他行にはない穴があったのか。田中氏は「他行の状況は報道レベルでしか分からない。もともと特異な仕組みではないと思っている」と述べるにとどめた。
関連記事
ゆうちょ銀行が8つの決済サービスに対する即時口座振替を一時停止 「PayPay」「LINE Pay」「メルペイ」では不正出金も確認
ゆうちょ銀行が、決済サービスに対する即時口座振替を順次、一時的に休止する。休止対象のサービスのうち、PayPay、LINE Payとメルペイでは不正出金の事実が明らかとなった。【追記】ゆうちょ銀行で決済サービスを使った不正出金 「ドコモ口座」を含む6サービスで確認される 高市総務大臣が明らかに
NTTドコモの「ドコモ口座」を使った銀行預金の不正出金が話題となっている中、ゆうちょ銀行において同サービスを含む6つの決済サービスを使った貯金の不正出金が確認された。高市早苗総務大臣が記者会見で明らかにした。【追記】Kyashでもゆうちょ銀行から不正チャージ 新規登録やチャージを停止
Kyashが9月15日、ゆうちょ銀行から不正な出金があったことを告知した。被害件数は3件で、被害総額は23万円。現時点でKyash経由でユーザー情報が漏えいした事実はないとしている。ドコモ口座の不正利用、被害に遭う恐れのある人は? ドコモ以外のユーザーも要注意
「ドコモ口座」を使って不正に銀行口座から出金をする被害が拡大している。ドコモユーザーが被害の対象になると思われがちだが、ドコモユーザーかどうかは関係ない。ドコモ回線を持っておらず、ドコモ口座も利用していない人も被害に遭うリスクがある。「ドコモ口座」を使った預金の不正出金 ドコモだけでは解決できない?
「ドコモ口座」を使った預金不正出金を受けて、NTTドコモが報道関係者向けの説明会を開催した。「自分達が悪い」という姿勢を示したドコモだが、金融機関側にも対策が必要となる。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.