ITmedia NEWS > 製品動向 >
セキュリティ・ホットトピックス

「22項目中14項目に不備」──調査で明らかになったゆうちょ銀「mijica」のずさんなセキュリティ

» 2020年11月09日 21時26分 公開
[樋口隆充ITmedia]

 ゆうちょ銀行は11月9日、都内で記者会見を開き、不正送金や情報流出が相次いだVisaデビット・プリペイドカード「mijica」について行った調査結果を公表した。ログインIDの再設定など、セキュリティ対策に必要な14事項に不備があったという。

 会見の冒頭、池田憲人社長は「各種サービスの不正利用について、被害に遭った方々や、一部サービス停止によって多くの利用者にご不便をお掛けしていることを深くおわび申し上げる」と陳謝。「サービス継続を前提に、新規サービスの構築や他のサービスによる代替案も含めた具体的な施策を早急に決定する」として、mijicaカードの廃止は明確に否定した。

photo 会見で陳謝する池田社長(中央)ら経営陣

不備があった14項目の具体的内容 経営責任への言及は

 萩野善教副社長は今回の不正の原因について、「リスクに対する感度が鈍かった」と釈明。ゆうちょ銀では9月以降、「ゆうちょPay」「mijica」「JP BANKカード」のセキュリティを総点検する社長直轄のタスクフォースを設置。各サービスのセキュリティレベルについて、キャッシュレス推進協議会が9月に公表したガイドラインが定めるチェックリストを満たしているか調査した。その結果、mijicaは22件中8項目しか満たしていなかったことが判明。他の2サービスは全て満たしていた。

 例えば、アカウント作成時に設定したログインID・パスワードの再設定を利用者に強制できておらず、さらにmijicaの利用を申し込んだ際には、カードが利用者の手元に届けられていなくても決済機能や会員サイトを利用できる状態だった。

 異常な取引の監視に向けた監視体制も十分に機能していなかった。チャージや送金の限度額も設定していたが、今回の事態を受けて再検討する。

photo mijicaの評価結果(出典:ゆうちょ銀の報告書)

 ゆうちょ銀の担当者は、不備があった14項目について行内の監査委員会でさらに詳しく調査する方針とした。具体的な再発防止策については、mijica発行時の郵送による書面通知、二要素認証の強化などを挙げた。

 ゆうちょ銀は不正送金の公表遅れが被害拡大につながったとして、今後は迅速な情報公開を掲げ、「お客さま本位の理念を追求していきたい」としている。経営陣の責任について池田社長は「利用者の利用環境を整えるために全社一丸と取り組んでいきたい」と述べるにとどめた。

 今回の調査をまとめた報告書では、不正送金や不正ログインの攻撃手法も記載。それぞれブルートフォース攻撃、リスト型攻撃だったという。

mijicaカード不正作成の疑い、新たに3件

 ゆうちょ銀は同日、mijicaカードの不正な作成と使用の可能性がある事例が新たに3件見つかったことも明らかにした。ECサイトで計8万円の使用を確認したという。現時点でカードの名義人との連絡が取れておらず、不正利用かどうかは判明していない。

 mijicaを巡っては、第三者による不正アクセスにより計332万円の不正送金があった他、ユーザー向けWebサイト「mijicaWEB」から1422人の個人情報の流出の可能性があるとゆうちょ銀が発表していた。

Copyright © ITmedia, Inc. All Rights Reserved.