「22項目中14項目に不備」──調査で明らかになったゆうちょ銀「mijica」のずさんなセキュリティ
ゆうちょ銀行が不正送金などが相次いだVisaデビット・プリペイドカード「mijica」について行った調査結果を公表。mijicaは22項目中14項目に不備が判明した。
ゆうちょ銀行は11月9日、都内で記者会見を開き、不正送金や情報流出が相次いだVisaデビット・プリペイドカード「mijica」について行った調査結果を公表した。ログインIDの再設定など、セキュリティ対策に必要な14事項に不備があったという。
会見の冒頭、池田憲人社長は「各種サービスの不正利用について、被害に遭った方々や、一部サービス停止によって多くの利用者にご不便をお掛けしていることを深くおわび申し上げる」と陳謝。「サービス継続を前提に、新規サービスの構築や他のサービスによる代替案も含めた具体的な施策を早急に決定する」として、mijicaカードの廃止は明確に否定した。
不備があった14項目の具体的内容 経営責任への言及は
萩野善教副社長は今回の不正の原因について、「リスクに対する感度が鈍かった」と釈明。ゆうちょ銀では9月以降、「ゆうちょPay」「mijica」「JP BANKカード」のセキュリティを総点検する社長直轄のタスクフォースを設置。各サービスのセキュリティレベルについて、キャッシュレス推進協議会が9月に公表したガイドラインが定めるチェックリストを満たしているか調査した。その結果、mijicaは22件中8項目しか満たしていなかったことが判明。他の2サービスは全て満たしていた。
例えば、アカウント作成時に設定したログインID・パスワードの再設定を利用者に強制できておらず、さらにmijicaの利用を申し込んだ際には、カードが利用者の手元に届けられていなくても決済機能や会員サイトを利用できる状態だった。
異常な取引の監視に向けた監視体制も十分に機能していなかった。チャージや送金の限度額も設定していたが、今回の事態を受けて再検討する。
ゆうちょ銀の担当者は、不備があった14項目について行内の監査委員会でさらに詳しく調査する方針とした。具体的な再発防止策については、mijica発行時の郵送による書面通知、二要素認証の強化などを挙げた。
ゆうちょ銀は不正送金の公表遅れが被害拡大につながったとして、今後は迅速な情報公開を掲げ、「お客さま本位の理念を追求していきたい」としている。経営陣の責任について池田社長は「利用者の利用環境を整えるために全社一丸と取り組んでいきたい」と述べるにとどめた。
今回の調査をまとめた報告書では、不正送金や不正ログインの攻撃手法も記載。それぞれブルートフォース攻撃、リスト型攻撃だったという。
mijicaカード不正作成の疑い、新たに3件
ゆうちょ銀は同日、mijicaカードの不正な作成と使用の可能性がある事例が新たに3件見つかったことも明らかにした。ECサイトで計8万円の使用を確認したという。現時点でカードの名義人との連絡が取れておらず、不正利用かどうかは判明していない。
mijicaを巡っては、第三者による不正アクセスにより計332万円の不正送金があった他、ユーザー向けWebサイト「mijicaWEB」から1422人の個人情報の流出の可能性があるとゆうちょ銀が発表していた。
関連記事
- 相次いだ不正送金事件、ログイン認証の抜け穴を熟知か セキュリティ専門家の徳丸氏が解説
9月に相次いで明らかになった金融機関やその利用者を狙ったサイバー犯罪を巡り、サイバーセキュリティが専門の徳丸浩さんは「共通するのはログインが狙われたこと。サイトの特性を熟知して攻撃している」と手口について解説した。 - ゆうちょ銀の「mijica」で新たな不正か カードが届く前に番号を盗み商品購入
ゆうちょ銀行は10月6日、プリペイド機能付きのVISAデビットカード「mijica」について不正に作成・利用された疑いのある事例が新たに3件見つかったと発表した。カードが届く前に番号を特定し、ECサイトで利用する手口。同社は全額補償する方針。 - ゆうちょ銀のVISAデビット「mijica」不正ログインで情報流出 1422人に被害か
ゆうちょ銀行のVISAデビットカード「mijica」が不正アクセスを受け、1422人のユーザー情報が閲覧された可能性。 - 総務省、日本郵政に報告要請 ゆうちょ銀不正利用でグループ内の連携不足を指摘
ゆうちょ銀行口座から不正な預金引き出しなどが相次いだことを受け、総務省は親会社の日本郵政に対し、サービスの総点検と被害者への救済対応の状況を報告するよう求めた。 - ゆうちょ銀の相次ぐ不正送金問題 各サービスの被害状況と銀行側の対策まとめ
ゆうちょ銀行で発生した不正引き出し問題で、ゆうちょ銀行の池田憲人社長が謝罪した。今後、サイバーセキュリティ体制の総点検や本人確認の厳格化などを行う。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.