「ドコモ口座」以外の電子決済サービス5社でも不正引出し確認
NHKニュース
19Picks
コメント
注目のコメント
詳細は不明ですが、本人確認済みのクレジットカードや、住所と紐づいた水道光熱費向けの「口座振替」の仕組みと、電子決済の引き落としの組み合わせが悪いのだと思います。
対策としては
①口座振替自体にも多要素認証を徹底しオンラインバンキング並みのセキュリティにする
もしくは
②電子決済側の本人確認を徹底するのいずれかですね。決済サービス事業者と金融機関、いずれか一方を糾弾する論調が目立ちますが、
一義的には決済サービス事業者の問題、ただし金融機関にも問題あり
という評価が妥当と考えます。
まず、今般の不正利用された銀行取引は、「口座振替」。家賃、保険、クレカetc.の引落しと同じ仕組みです。
(cf. 昨今話題になる「オープンAPI」とは別物)
「振込」と比べて安全な(=不正利用の発生可能性が低い)取引形態とみなされており、ゆえに簡易な認証を維持している金融機関が相当数存在していると考えられます。
金融機関側に改善の余地があるのはこの部分であり、ゆうちょ銀の場合は対応が間に合わず止血措置として連携停止の判断を下したと推察します。
改善策としては二要素認証(ワンタイムパスワード等)の追加が挙げられますが、フィッシング等の手法で突破された事例が判明しており完全ではありません。
見かけ上は「普通の」取引に見える口座振替であるため、取引監視にも限界があります。
(cf. 「振込」の場合、振込先の口座情報や振込金額を切り口とした監視が可能です)
そうなると、被害の防止は決済サービス事業者側のセキュリティ対策にかかってくる訳ですが、本人確認等を接続する金融機関にもたれかかっている事業者が残存しているのが実情です。
金融犯罪対策は、関係するプレーヤー各々による多層防御が必須です。
