ゆうちょ銀行が9月16日に記者会見を開き、決済サービスを通じた不正出金の被害状況を公表した。
第三者が不正に入手したゆうちょ銀行の口座情報を、決済サービスのアカウントをひも付けて、不正に出金を行った。
9月15日時点でゆうちょ銀行が把握している、不正出金が起きた決済サービス、被害件数、金額は以下の通り。
被害金額の合計は1811万1000円。中でも突出して多いのが、d払いの1546万円。d払い(ドコモ口座)の被害金額は9月16日0時時点で2678万円に上り、半分以上がゆうちょ銀行からのチャージ分となる。
この他、ウェルネットは「調査中」としている。楽天Edy、PayB、ゆめカード、ファミPay、pringでは不正出金は確認されていない。
不正出金が確認された6サービスと、ウェルネット、楽天Edy、PayB、ゆめカードでは現在、ゆうちょ銀行の新規登録とチャージを停止している。チャージを停止したサービスでは、ゆうちょ銀行の口座を決済サービスのアカウントに登録する際、2要素認証を行っていなかった。d払いとKyashについては9月16日に2要素認証を導入し、その他のサービスについても9月17日に導入する予定(ゆめカードのみ協議中)。新規登録とチャージを再開するめどは立っていない。
2要素認証を当初から導入していたファミPayとpringについては、新規登録もチャージも停止しておらず、サービスを継続している。
9月上旬に、ドコモ口座を経由した不正出金が発覚したが、それ以外の決済サービスについても被害規模の差こそあれ、同様の不正出金が判明した。中国銀行、七十七銀行、東邦銀行、大垣共立銀行、鳥取銀行といった地方銀行でも不正出金が確認されているが、規模で言えばゆうちょ銀行は特に大きいといえる。
不正出金の被害を申告したユーザーに対しては、決済サービス事業者と連携して、全額を補償する。ゆうちょ銀行の田中進副社長は「通帳やゆうちょダイレクトの明細を確認いただき、身に覚えのない取引があった場合、コールセンター、銀行、郵便局の窓口に連絡してほしい」と呼び掛ける。
そもそもなぜ、ゆうちょ銀行から不正出金が行われたのか。ゆうちょ銀行は「当行のシステムから口座情報やキャッシュカード暗証番号などのお客さま情報が漏えい事実はない」としており、決済サービスの登録に2要素認証を導入していなかったことを要因に挙げる。
9月16日より前に2要素認証を取り入れていなかった決済サービスでは、かな氏名、生年月日、記号、番号、キャッシュカードの暗証番号を入力すればゆうちょ銀行の口座を登録できた。従って悪意ある第三者がゆうちょ銀行の口座情報を手に入れさえすれば、本人になりすまして決済サービスへ登録できてしまうというわけだ。
では、なぜファミPayとpring以外の事業者は、2要素認証を導入していなかったのか。ドコモについては、9月中にもともと2要素認証を導入する予定だったそうだが、他のサービスではそのような具体的な予定はなかった模様。
田中氏は2要素認証について「もっと強力にお願いをしておくべきだったという反省はある」「2要素認証ができていれば、事態は変わり得たと思う」と述べながらも、2要素認証導入の働きかけは以前から各事業者に対して行っていたという。つまりPayPay、LINE Pay、メルペイなどはゆうちょ銀行側からの働きかけがあったにもかかわらず、2要素認証の導入を見送ったと読み取れる。
「決済サービス事業者の合意が取れないと2要素認証は導入できない」(田中氏)というが、なぜ一律で2要素認証を導入しなかったのか、疑問に残る部分もある。会見の質疑応答でも、その理由を追及する声が多く挙がった。田中氏は「一般論としては」と前置きしつつ、2要素認証は「ユーザーに1〜2オペレーションお願いすることになる。できるだけ簡便にサービスを進めたいという考えもある」とした。
2要素認証とは、パスワードや暗証番号などの「記憶認証」、乱数表やトークンなどの「所持認証」、指紋や虹彩などの「生体認証」のうち、2つを組み合わせた認証のこと。ゆうちょ銀行が決済サービスに対して導入する2要素認証は、記憶認証と所持認証の2つ。所持認証では、口座開設時に登録した電話番号あてに掛かってくる電話から発せられたパスワードか、残高のいずれかを選べるようにするという。
ドコモ口座を筆頭に、ゆうちょ銀行経由で多くの被害が出ているが、他行にはない穴があったのか。田中氏は「他行の状況は報道レベルでしか分からない。もともと特異な仕組みではないと思っている」と述べるにとどめた。
Copyright © ITmedia, Inc. All Rights Reserved.