新着Pick

ゆうちょ銀、不正被害拡大 ペイペイも悪用、計6社に

共同通信
高市早苗総務相は15日、NTTドコモの電子決済サービス「ドコモ口座」に加えて5社のサービスが悪用され、ゆうちょ銀行の貯金が引き出される被害があったと明らかにした
452Picks
Pick に失敗しました

人気 Picker
利便性とセキュリティは表裏一体。
専門家ではないので軽々に発言するのは良くないですが、一連の件は決済業者だけが悪いわけでもないように思います。
どこか1社を悪者にするのではなく、良い社会のために銀行側と決済業者と各種機関が協力して改善に努めてほしい。
デジタル化の流れ、キャッシュレスの流れが止まらないと良いですね。利便性とセキュリティが共存できる仕組み、何かないかな。ブロックチェーンの仕組みを活用するなど、色々考えていきたいものです。
決済事業者が悪いみたいな風潮にならないようにしてほしい。不安を煽る報道でキャッシュレス化が遅れると非常に残念。
これを気に銀行はセキュリティを強化して、近代的なシステムに進化すべき
ゆうちょ銀行のプレスリリースは以下の通り。

>現在稼働中の決済事業者で、当行の本人認証方法である2要素認証を未導入の8事業者※において、準備出来次第、速やかに以下のサービスを停止します。
https://www.jp-bank.japanpost.jp/news/2020/news_id001548.html

個人的には、理解しづらい文章でした。

二段階認証を認証すべきでしていなかったのは決裁事業者?それともゆうちょ銀行?
試しに、LINE Pay、PayPayでゆうちょ銀行との紐付けをしようとしたのですが、ゆうちょ銀行のサイトに飛ぶ前のフローは違うのですね。
どちらかも、銀行口座番号、暗証番号、氏名だけでは登録出来ないです。誕生日や住所など他の情報が必要です。

先日銀行口座との紐付けが可能になったばかりのKyashでも不正があったそうです。わずか1週間しかサービスが提供されていないのに不正引き出しをされるとは。

犯人は、手元に銀行口座名義人の情報は一通りあるように思われます。かなり用意周到な計画犯罪ですね。

いずれにせよ、現状のセキュリティレベルの差があるにも関わらず、銀行口座との紐付け手続きをKYCとして認めた金融庁の判断も甘かったと思います。
決済事業者も、金融庁が良いと認めても、自分達のアプリのフローを検証して、なりすましのリスクは分からなかったのでしょうか?そこも甘いと感じます。
決済サービス事業者と金融機関、いずれか一方を糾弾する論調が目立ちますが、
一義的には決済サービス事業者の問題、ただし金融機関にも問題あり
という評価が妥当と考えます。

まず、今般の不正利用された銀行取引は、「口座振替」。家賃、保険、クレカetc.の引落しと同じ仕組みです。
(cf. 昨今話題になる「オープンAPI」とは別物)

「振込」と比べて安全な(=不正利用の発生可能性が低い)取引形態とみなされており、ゆえに簡易な認証を維持している金融機関が相当数存在していると考えられます。

金融機関側に改善の余地があるのはこの部分であり、ゆうちょ銀の場合は対応が間に合わず止血措置として連携停止の判断を下したと推察します。

改善策としては二要素認証(ワンタイムパスワード等)の追加が挙げられますが、フィッシング等の手法で突破された事例が判明しており完全ではありません。
見かけ上は「普通の」取引に見える口座振替であるため、取引監視にも限界があります。
(cf. 「振込」の場合、振込先の口座情報や振込金額を切り口とした監視が可能です)

そうなると、被害の防止は決済サービス事業者側のセキュリティ対策にかかってくる訳ですが、本人確認等を接続する金融機関にもたれかかっている事業者が残存しているのが実情です。

金融犯罪対策は、関係するプレーヤー各々による多層防御が必須です。
インフラになってきているなかで、連携停止となるのは、サービスの習慣化を考えると痛手。一方で、普及・拡大しているサービスだからこそ、セキュリティ・認証系は極めて重要。
対象はPayPayやLINE Payなど8社になるとのこと。
対策は銀行がやれ、決済業者がやれという議論にはあまり意味がなく、各社が多要素認証を含めた多層防御を講じていかないと、こういう被害はどんどん拡大していきます。将来的に、オンライン金融サービスの選定基準は利便性よりもセキュリティの方が重要になってくると思います。

欧米企業はセキュリティ対策を経営の最重要戦略とし、自己責任に基づいたリスク管理を行っています。まだまだ日本企業は他人事な感じです。
最初はどちらの事業者にとっても想定外なので、事故が起こったら原因究明して再発防止する、という基本動作を徹底することに変わりはないと思います。起こってしまえば誰にでも分かりますが、今までは異なる業界だったのですから、暗黙の了解が通じないことばかりで困難も多いのだろうと思われます。(もちろん全額補償は大前提で。)

特にセキュリティ強化は多額のコストがかかるバランス感覚の難しい領域で、やり過ぎは過剰投資になる上に、競争が激しい環境では実装を劣後しないと生き残れないのも事実です。スマホ決済を使っていない人がそのコストを間接的に負担するのにも違和感があります。

金融機関と決済事業者の責任分界点が明確になるよう、ガイドライン等を関係事業者間で整備していくべきと思います。
今後はセキュリティー対策ができていない金融機関からは顧客が離れていくと思います。

ドコモ口座の件も含め責任はそれぞれ
・ドコモのセキュリティー対策
・金融機関のセキュリティー対策
・ユーザーの情報管理
に分散しています。

なのでユーザーへの全額補償ではなく責任の度合いによって例えば
ドコモ負担4割
金融機関負担4割
ユーザー負担2割
といったいった割り方もあるのではないでしょうか?

なんらかでユーザーも情報管理の甘さは否めないでしょう。
株式会社ゆうちょ銀行(ゆうちょぎんこう、英称:Japan Post Bank Co., Ltd.)は、東京都千代田区霞が関に本社を、同区丸の内に本店窓口をそれぞれ置く、日本の銀行である。 ウィキペディア
時価総額
4.18 兆円

業績