ゆうちょ銀行の「mijica」カードで不正送金 総額約332万円

[井上翔，ITmedia]

　ゆうちょ銀行は9月23日、同社が発行するデビット（即時決済）機能付きVisaプリペイドカード「mijica（ミジカ）」の送金機能を悪用した不正送金が発生したことを明らかにした。被害者は54人、被害総額は約332万2000円で、被害額は同社が全額補償する。

mijicaの券面デザイン（みじか版）

被害の概要

　mijicaは、ゆうちょ銀行のキャッシュカードを持っている、小学生を除く満12歳以上の通常貯金口座ユーザーが発行できるVisaプリペイドカードだ。あくまでも「プリペイドカード」なので、事前にチャージ（入金）をして使うことが原則だが、満15歳以上の会員は「デビットチャージ」を有効化することで「デビットカード」と同様に口座から代金を即時引き落とす運用もできる。

　今回の不正送金で利用されたのは、mijica会員同士でチャージ残高を送りあえる「おくってmijica」という機能だ。

　この機能は本来、飲み会の「割り勘」やイベント会費の回収や、子どもに「小遣い」を送ることを想定している。「mijica WEB」（会員用Webサイト）または「mijicaアプリ」で送金先のmijica ID（カード固有の17桁の番号）と希望送金額を入力すると、プリペイド残高（デビットチャージ有効時は口座残高）の範囲内で送金できる。満15歳未満の会員は残高の「受け取り」のみ可能で、送金はできない。

　おくってmijicaを使った不正送金の手口は現在調査中とのことだが、以下の手順で行われたものと思われる。

1. 不正利用者が、被害者のmijica IDと、ログインIDとパスワードを入手
2. おくってmijicaを使って、被害者から不正利用者へと「送金」を実施
3. 不正利用者はVisa加盟店でのショッピングに利用、またはゆうちょ銀行ATMで残高を出金

mijicaには会員同士で送金できる「おくってmijica」という機能がある

mijicaを使った不正送金の構図。不正利用者が何らかの方法で送金に必要な情報を入手し、自らのmijicaに送金したものと思われる

　ゆうちょ銀行では2020年8月から9月にかけて、複数のmijicaユーザーから3人の不正利用者への送金が行われた事を把握し、調査を進めた所、先述の被害が発覚した。

　被害を受けた54人のうち、4人は8月8日、7人は9月6日、残りの43人は9月15日に被害に遭ったという。9月15日は複数の決済サービスを悪用した同社口座からの不正出金が発覚した日だ。

不正送金被害の経緯と状況

おくってmijicaは利用停止に

　本事案を受けて、ゆうちょ銀行では、おくってmijicaについて以下の措置を講じている。

• 9月11日：送金金額と回数の上限を引き下げ
• 9月16日：送金機能の停止（20時45分から）

　おくってmijicaの利用を再開するかどうかは、現時点では未定だ。