ゆうちょ銀行の不正引き出し、記者会見の一問一答まとめ（3/3 ページ）

[谷井将人，ITmedia]

――結果的に被害が広がったことに対して経営責任の認識は

田中：まずは被害を心配されているユーザーに早急に補償することが一番大事。2要素認証の導入などをきちんとやっていくことが経営責任だろうと今は思っている。

――被害状況は決済事業者からの申告ベースとのことだが。口座の入出金の動きはモニタリングしているのか。今後の対策は

田中：口座の取引は主にマネーロンダリングの観点などでモニタリングしているのは事実だが、詳細については控える。決済事業者は（取引の）上限額を定めており、一つ一つのトランザクション（取引）は大きな金額ではない。ゆうちょ銀行の口座に対するアクセスが直接のものではないというのもあって、一定の制約がある条件での問題と思っている。

――認証を厳しくすると新規ユーザーをとりにくくなる可能性がある。将来的な考えは

田中：一般論としては指摘の通り。預金者の大切な預金を預かっていることを中心に置いて、トレードオフの問題を解決していくべきだ。

――チャージ手数料を期待して、2要素認証なしのまま事業者と接続したのか

田中：特段そういうことを考えていたわけではない。

――キャッシュレス事業者のセキュリティについてどう思うか

田中：今のこの時点では足元で起きていることをきちっとやっていくということが私どもに課せられた責務。今の時点で申し上げる立場にはない。

――電話認証（IVR）以外の認証手段は考えているか

事務局：いろんな手法がある中で、IVRは総合的に見るとベストではないかと考えている。状況を踏まえながら新たなものも対抗策として考えていきたい。

――SBI証券で、偽造本人確認書類を使って口座が作れてしまったのは致命的な話ではないか

事務局：仮におっしゃるような可能性がある場合は、決して軽々に考えているわけではない。この件はこの件としてきちんと対応していかないといけないと思っている。

――いつから決済事業者に2要素認証の導入を要請してきたのか

事務局：この機能を付けることでセキュリティが上がるだろうということで決済事業者と話をさせていただいた。個別の事業者との記憶は持っていないが、そういう機能が付いたということで決済事業者と認識合わせはした。

――2要素認証を強力に要請してきたというのは間違いないか

田中：そういう認識だ。

事務局：これについては強力にお願いしてきたということ。

――複数の決済事業者から「お願いされてない」とコメントが集まっている。他行ではすでに2要素認証の導入が進んでいる中で、決済事業者が消極的な姿勢だったという認識は疑わしい

事務局：われわれの認識としては強力に要請したが、決済事業者がそのように認識していないのであれば、それはわれわれの努力不足と反省している。

――顧客対応はゆうちょ銀行が窓口になっているのか

田中：当行に申し出があった方については、当行が窓口になって今後の補償の対応を進めるのは自然なこと。そこは当行が中心になって対応していくことになるだろう。

――不審な取引の調査やユーザーへの連絡を検討しているというが、検討はまだ続いているか

田中：まずは、現に心配だと言ってこられているユーザーをサポートするのが最優先だ。それに次いでおっしゃったようなところも検討しているが、今のところは、これをうあればいまくいくだろうというのは見つかっていない。

――多くの銀行は先週半ばくらいから不審な取引を調査している。ゆうちょ銀行はすぐに着手できないのか

田中：それも含めて考えていきたい。

――対応が遅い印象を受ける

田中：当然精いっぱいやっているつもりだが、指摘の点には真摯（しんし）に受け止めたい。

――前回の会見でゆうちょ銀行の池田憲人社長が、チャージ機能を停止しているから被害は起きないと説明していた。振り返ると、別の決済サービスから被害が起きる状況だったのではないか

田中：その時点で池田がお答えしたのは、NTTドコモについて答えたつもりで、食い違いはないと思う。全体像も見ていないわけでなく、早くに状況を踏まえて2要素認証を入れようと動いている。だからこそスピーディーに導入できるようになっている。

――ドコモ以外のサービスを使って不正引き出しができることを知りながら、ドコモの話だけをしたのか

田中：そうではなく、ドコモに関する質問に対して答えたと思う。

――外部の人間はその時点でドコモのことしか知らなかった。ゆうちょ銀行側は、なお危険な状態にあることを把握しながら、ドコモに限った話をしたのではないか

田中：ドコモについてはその時点で2段階認証を導入する予定だったので、それに加えてドコモ以外についても2段階認証を入れないといけないという認識は持っていた。知っていて違うことを答えたつもりはない。

――その時点でドコモ以外について話す必要は無いと考えていたのか

田中：必ずしもそういう意図ではないと思う。

――前回の会見で、ドコモ以外で被害が起きていることに触れなかったのはなぜか

田中：私どもとしてはその時点では、かなりの件数（の被害）が出ているのがドコモだと思ったので、その旨を答えたということ。五月雨的に発表をすることになった点については今後の改善点にしていきたいと思う。

――今後、ゆうちょ銀行と連携するサービスは2要素認証を必須化するのか

田中：まだ会社として決定しているわけではないが、今回の事象を踏まえると必須でお願いしないといけないと個人としては思っている。

―――2要素認証のない決済サービスがあると今後も不正引き出しの被害が想定されるということか

田中：現にこういう被害が2要素認証がないところで起きているので、そういう意味では、かなりのリスクがある状態に、そういうこと（2要素認証がない状態）を続けているとなってしまうと思う。

――今回の事件では「リバースブルートフォース」という手口が使われた可能性がある。このような事実はあったか

事務局：例えばパスワードを変えて試行するなど、犯人が（ゆうちょ銀行に）直接アクセスして試すという行為であれば検知できる。今回はそうではないのでそういう動きを検知するのは非常に難しい。今後もしっぽをつかむに至らない非常に難しい問題だと認識している。

――直接ゆうちょのシステムにアクセスされているわけではないから検知が難しいというが、即時振替サービスはNTTデータが開発したもの。NTTデータと情報共有はしていないのか

事務局：別の決済サービスを経由してゆうちょのシステムに入ってくるから、そこがつかめない。ベンダーがというより、このようなシステムの性質のために悪意のあるアクセスを見抜きにくいという認識。

――詳細なアクセスログがNTTデータにないということか

事務局：NTTデータにないというのがどういった意味か理解しにくい。

――総当たり攻撃のようなものがあれば、即時振替サービスの開発元であるNTTデータは検知ができるのでは

事務局：客の口座から決済サービスへのチャージが1日に10回や30回というように、回数があればちょっとおかしいんじゃないかとは考えられる。しかしパスワードを持って悪意をもったアクセスを見るのと、口座の不審な動きを見るのはちょっと観点が違う。不審な動きは口座の出し入れで見ていくことは可能。入出金の金額を見ていくしかない。

――再三の質問になるが、NTTデータとのアクセスログの共有はないということか。例えば同じIPアドレスから不審と思えるほどのログイン試行のログなどはNTTデータに残っていないのか

事務局：そういう意味では総合的にNTTデータとデータを共有して適正な判断を今後していくことも考えられる。事態を踏まえていろいろな角度から不正なアクセスの検知を考えていきたい。