明日は定休日です。今日は資金の不正流出の件となります。

Web口座振替の問題点について

記事を紹介します。

スマートフォンなどを使う電子決済サービスを通じた不正出金の広がりが底なしの様相だ。NTTドコモの「ドコモ口座」で発覚した提携銀行からの預金流出の被害は他の決済事業者でも相次ぎ、銀行側と決済業者の双方で本人確認の甘さが露呈した。セキュリティーを強化するまで入金を停止する銀行も続出。利用客の不安は高まる一方で、金融界のデジタル戦略は岐路に立たされた。

「本人確認と取引の監視など(業界の枠を越えて)安心・安全を確保することが重要だ」。全国銀行協会の三毛兼承会長(三菱UFJ銀行頭取)は17日の定例記者会見で、銀行界を代表して預金者への謝罪を述べた上で、決済事業者とも協議しセキュリティーの強化を急ぐと強調した。
17日午前0時時点で157件、計2760万円の不正出金を確認した「ドコモ口座」の場合、名義や暗証番号など銀行口座の情報を不正に入手した者が、本人になりすましてドコモ口座に利用登録。盗んだ情報で口座振替を設定して預金を引き出していた。ドコモ口座はメールアドレスによる簡便な登録で利用できたことが被害を拡大させた。
一方、ソフトバンク系の「PayPay(ペイペイ)」も17日、今年1月以降にゆうちょ銀行や愛知銀行などで18件、計265万円の被害があったと発表した。ペイペイはより安全性が高いとされる携帯電話のショートメッセージサービス(SMS)による本人確認を導入していた。しかし、不正に入手した携帯電話を使い本人確認の関門を突破されたもようで、容易には埋められない落とし穴が露呈した格好だ。
被害を防ぐには銀行口座からの振り替え設定時に、ワンタイムパスワードなど口座名義人しか知り得ない情報を入力させるといった銀行側の対応も欠かせない。
金融庁は15日夜にこうしたセキュリティー対策を導入していない場合は決済サービスへの入金を停止するよう要請。16、17両日だけで全国で地方銀行など40行以上が入金を止めた。
時事通信の関連の記事となります。
過去記事を紹介します。


NHKの特集記事を紹介します。
過去事例をまとめるとこんな感じです。

○ドコモ口座
誰でもDアカウントが発行可能で、一部の銀行のWeb口座振替の手続きで「口座番号・暗証番号・氏名」で可能だった

○PayPay
カード情報とセキュリティーコードだけで登録が可能で、登録制限がなかったことが原因

○7Pay
「メールアドレス」「生年月日」「電話番号」の3つが分かれば誰でもパスワードリセットが可能で、パスワード再設定用URLの送信先が自由に選べた

なので、ドコモ口座の件で、一部の銀行のWeb口座振替の手続きで「口座番号・暗証番号・氏名」で手続きが可能であった事が本質的な原因だったので、双方の責任が大きいと言うか、銀行のセキュリティがWebには対応しきれてないことが問題であったことから、他のサービスでも起きる状況であったわけです。

NTTドコモの「ドコモ口座」で発覚した提携銀行からの預金流出の被害は他の決済事業者でも相次ぎ、銀行側と決済業者の双方で本人確認の甘さが露呈した結果となってますが、口座やカード情報については、フィッシングなどの手口で集められてる可能性が高いことから、利用者側の意識についても重要なわけです。

フィッシング詐欺について、全国銀行協会のページを紹介します。ここらへんは基本的ですし、利用者側の意識もなければ、この手の被害はなくすことは出来ません。
他にも総務省のページを目を通しておくのがいいでしょう。


記事にもあるPayPayの件について紹介します。

 NTTドコモの電子マネー決済サービス「ドコモ口座」やペイペイなどスマートフォン決済事業者を利用した不正な預金引き出しが見つかった問題で、一部でSMS(ショートメッセージサービス)を使った本人確認が突破され、被害が発生していることが17日、分かった。ドコモ口座以外でも被害が確認された背景の一つとみられ、本人確認が十分でない携帯電話が使われた可能性がある。金融庁もSMS認証だけでは被害が抑止できないと判断、同日までに決済事業者に本人確認を強化するよう注意を呼びかけた。

 一連の問題をめぐっては、ドコモ口座を開設する際、メールだけで口座が開設できるなど本人確認が不十分で、なりすましが容易だったことが一因とされた。ただ、その後、件数は少ないもののペイペイやメルペイなどドコモ以外のスマホ決済事業者でも同種事案が相次いで確認された。多くのケースで共通するのがSMSを使って本人確認をしていた点だという。

 SMS認証はパスワードが書かれたショートメールを携帯電話に送り、入力を求める本人確認手段。関係者によると具体的な手口は不明だが、何らかの形で入手した、本人確認が不十分な携帯電話を用いたようだ。まず、不正に入手した銀行口座情報を基に口座の持ち主になりすまし、本人確認が不十分な携帯電話を用いて決済事業者の口座を開設。銀行口座にあった預金の送金先として、使用した可能性があるという。

 携帯電話が犯罪に使われることを抑止するため、平成18年4月に施行された「携帯電話不正利用防止法」で、携帯電話事業者は契約時に本人確認を行うことが義務付けられている。

ペイペイやメルペイなどの事例の場合は、本人確認が不十分な携帯電話を用いて、SMS認証を口座を開設していた点となります。そういった意味では不正に口座を開設したわけではありますが、結局のところは銀行側の本人確認も不十分だから、口座情報を元に振替の手続きが行えたというのが共通点となります。そういった意味では、Webの手続きだけでは、本人確認が出来ない形で、こういった手続きが行えるといったところが問題であって、決済サービス以上に、Web口座振替が持つ潜在的な問題が悪用された事が問題の本質です。

ここでゆうちょ銀行の事例について紹介します。

電子決済サービスを通じた預貯金の不正引き出し問題で、ゆうちょ銀行で確認された被害は、7つのサービスで合わせて137件、2205万円に増えました。

ゆうちょ銀行の発表によりますと、これまでに7つの電子決済サービスで、貯金の不正な引き出しの被害が確認されていますが、このうちメルペイでの被害が増え、4件、105万円になりました。

このほかの被害は
▽ドコモ口座で82件、1546万円
▽支払秘書で31件、345万円
▽PayPayで13件、135万円
▽Kyashで3件、23万円
▽LINE Payで2件、49万円
▽PayPalで2件、1万円となっていて、
18日の時点で、ゆうちょ銀行の口座で確認された被害は、合わせて137件、2205万円に上っています。
原因としては以下の記事が参考になります。
かな氏名、生年月日、記号、番号、キャッシュカードの暗証番号を入力すればゆうちょ銀行の口座を登録出来ていたことが発生した原因となります。



となると、ドコモ口座だけの問題ではないと言ってましたが、
上記の記事で取り上げられてる問題の本質は以下の2点です。

・出金や送金を可能とする「資金移動事業者」で必要となる本人確認作業が、「Web口座振替」をもって完了とされていたこと
・「Web口座振替」は便利な仕組みだが、利用の簡便さを重視するために認証作業に問題を抱えていたこと

全国銀行協会から以下の注意喚起が行われており、是正に動くようです。

SBI証券の資金流出の件


インターネット証券のSBI証券は16日、顧客の6口座から約9864万円が流出したと発表した。第三者が証券口座に不正にログインし、ゆうちょ銀行と三菱UFJ銀行に作った偽の銀行口座に送金・出金したという。SBI証券は全額を補償する方針。複数の電子決済サービスで銀行預金の流出が相次ぐなか、改めてセキュリティー体制が問われることになりそうだ。

出金先はゆうちょ銀の偽口座あてに5口座、三菱UFJ銀が1口座だった。7~9月初旬の間に証券口座の中の金融資産を売却するなどして換金し、偽口座に送金。SBI証券は偽口座に流出した資金がさらに出金されていることを確認しているという。同社は警察に被害届を提出している。

顧客から「身に覚えのない取引がある」と通報があり判明した。同社は資金流出先の銀行と協議しながら、流出分を全額補償する方針だ。既に全顧客に対してセキュリティー対策を講じたとしている。

今回の不正流出では主に2つのセキュリティーが突破された。まずSBI証券の口座が不正にログインされ、第三者が株取引や出金などができる状態になり、口座名義などの個人情報も流出した。同社は不正ログインの原因について、自社システムに不正にアクセスされた形跡はないとしており、他のネットサービスで流出したIDやパスワードと同じものを使っていた口座が狙われたとみられる。次にゆうちょ銀と三菱UFJ銀で同名義の銀行口座が偽造された。本人確認書類が偽造されるなどして口座が開設された可能性がある。

証券口座から銀行口座に送金するには、両口座の名義が同姓同名であることが条件だ。銀行・証券いずれの口座でも本人確認を徹底しているとの前提があるためだという。逆にいえば、証券口座と同姓同名の銀行口座さえ作れば送金できるという仕組みが悪用されたようだ。

証券口座からの振り替えに伴う流出について、ゆうちょ銀の田中進副社長は16日開いた記者会見で「あまり聞いたことがない」と指摘しており、極めて珍しい事例とみられる。

NTTドコモの電子決済サービス「ドコモ口座」の不正流出事件では、ドコモ口座の開設の際の本人確認の甘さが狙われた。今回の不正流出では、銀行口座が偽造され、流出の経路になった可能性がある。本人確認のあり方や銀行・証券双方の口座を紐付ける際のセキュリティーなどが今後問われることになりそうだ。
関連記事を紹介します。
上記の記事によると、第三者は顧客のユーザーネーム、ログインパスワード、取引パスワードなどの個人情報を悪用し、出金先の銀行口座を偽のものに変更。資金を不正に送金していたと書かれております。

この件では、「ゆうちょ銀と三菱UFJ銀で同名義の銀行口座が偽造された」事が問題で、偽の銀行口座が作られたことが原因となります。「証券口座と同姓同名の銀行口座さえ作れば送金できるという仕組み」が狙われたわけですが、銀行口座を作る場合の本人確認の徹底というか、マイナンバーとの紐付けの義務化あたりで、偽の口座を作りにくくするのが、対策ともいえるし、送金元を封じるとか、Web上で完結出来ない形で、本人確認を徹底するあたりも重要な対策ともいえます。

ネット証券各社では、Webでの出金口座変更の停止といった対策を取ったようです。
Web上の手続きは便利ですが、仕組み上で本人確認方法が確実ではない以上、Web完結型のサービスであれば、穴がないわけではないですし、いたちごっこになる可能性が高いです。特にお金を扱うようなサービスの場合は、頻繁に使うようなものでなければ、本人の確認が取れるようなアナログな手法が確実ですし、セキュリティを考える上では、先端技術だけではなく、ローテクな手法についても重要で、そういったバランスが求められると思います。先端技術であっても脆弱性が判明すれば、そこを突かれるわけですし、サービス提供側も利用者も基本的な知識を身につける必要があると思います。