こんにちは。こあべです。

 

世の中は知らないことばかりです。

ドコモ口座にはじまり、その他のサービス、ゆうちょ口座、SBI証券…と続く不正出金の連鎖。

 

「キャッシュレス 」をキーワードにサービスが急速に拡大、その中の一つのほころびが表面化しています。

 

ふむ…不正出金の件もう終わったことになってる？

ゆうちょ被害額2000万円超えて他行や他サービスでも増加中。
紙セキュリティが露呈して全国民の財産が危険に晒されてるのに「全額補償する。残高を確認していただくしかない」…だけ？

パニックになるべきだけどな？
国民の財産をナメているのか？

— こあべ＠雑記帳 (@koabefin) 2020年9月18日

 

 

 

最早あんぐり口を開けて「わかんな〜い」してる場合では無い。

 

 

銀行が国民の資産を危険に晒したという事実。

 

 

今回のセキュリティインシデントの顛末・問題の本質を把握し、今後に活かす必要があります。

 

 

この記事は、 

・今後現れるフィンテックサービスへの鑑識眼を養うことが必要

・そのために「セキュリティ」の知識が自己資産保護の観点から必要

と考え、作成したものです。

 

 

利用者はサービス提供者にナメられてはいけません。

 

 

なお、筆者の素性として金融業界の人間でなく、システムセキュリティに関わるエンジニアでも無いことを申し添えます。

率直に資産を危険に晒したくない、いち消費者の意見です。

 

 

今日のメニューはこちら。

• ことの発端を簡潔に
• サービス間の接続セキュリティとは？
• 監督省庁の動き
• 今回の問題の本質とは
• まとめ

 

ことの発端を簡潔に

ことは9/7に明るみに出た「ドコモ口座事件」に端を発します。

 

簡潔に言うと、

・ドコモ口座提携銀行35行のある口座から不正な出金があった

・不正出金された金は犯人の作成したドコモ口座に入金、使用された

・ドコモ口座の使用有無に関わらず、提携銀行口座保有者全員に被害が及ぶ可能性がある

 

※詳細

koabe-cycle.hatenablog.com

 

※ドコモ口座とは

docomokouza.jp

 

 

その後、 

・どうもドコモ口座以外の電子決済サービスへの不正出金も確認されているようだ

・被害はゆうちょ銀行他数行に集中している

・出金時の本人確認など決済サービスと銀行間の接続セキュリティの甘さが原因

…だとわかってきます。 

 

※詳細

koabe-cycle.hatenablog.com

 

…

 

ゆうちょ銀行では提携する即時振替サービス全12社のうちドコモ口座を含む７サービスで不正出金が確認されています。

 

執筆時点の9/18（金）22時現在、７サービスの内訳は

・ドコモ口座、PayPay、メルペイ、Kyash、LINE Pay、PayPal、支払秘書

支払秘書：サービス開始以降、35件、431万円の不正出金確認

PayPay：今年18件、265万円（ゆうちょ銀行13件・135万円、愛知銀行3件・120万円、イオン銀行2件・9万円）

メルペイ：ゆうちょ銀行3件・49万円

Kyash：ゆうちょ銀行3件・23万円、イオン銀行1件・30万円 

・ゆうちょ銀行被害件数合計 136件・2150万円
　→新規口座連携の際「二要素認証」を取り入れるなどセキュリティ対策を公表

※みずほ銀行でも不正出金の被害が確認されている。

 

________

ドコモ口座公式ページには「お詫び」が掲載されています。

 

 

対策として、

ドコモ側：匿名アカウント作成対策（他サービスでも独自対策中）
SMSによる二要素認証およびeKYC（オンライン本人確認システム：electronic Know Your Customer）を導入

金融機関側：不正出金リスク抑制対策
ネットバンキングログイン時や取引時にワンタイムパスワード、SMSによる二要素認証を用いる

ことを挙げています。

 

しかしこのような対策を取っていなかったほとんどの地方銀行にとっては時既に遅し。

 

この2つの事件が、銀行と決済サービス事業者間の接続セキュリティ問題を炙り出したのです。

 

 

サービス間の接続セキュリティとは？

では、「接続セキュリティの甘さ」とは具体的に何を指すのか。

登場人物と、それぞれの問題点を見ていきます。

 

【登場人物】

１．決済サービス（ドコモ口座等）

２．銀行（ゆうちょ銀等）

 

【両者の問題点】

接続先：決済サービス

・アカウント登録時の「本人確認」の甘さ

ドコモ口座の場合、「キャリアフリー化」され本人確認無しで口座開設が可能だった

→本人確認不要で、不正な口座開設が容易なサービスが狙われた

 

接続元：銀行

・ウェブ口座振替登録時のセキュリティ強度が銀行ごとにまちまち

→セキュリティ【強】
　SMSを介したワンタイムパスワード発行など「二要素認証」を要求する銀行：みずほ、三井住友

→セキュリティ【弱】（今回被害が出た銀行）
　口座番号、暗証番号、生年月日等のみを要求する銀行：ゆうちょ、地銀等

 

弱いセキュリティにつけこみ、番号の総当たり攻撃でセキュリティを突破されてしまうという「従来からのWeb口座振替の根本的な問題が悪用された」状況でした。

 

※認証について

二要素認証： 二種類の認証要素を組み合わせる認証方法

例）銀行ATMでの出金時「キャッシュカード（所有物認証）」と「暗証番号（知識認証）」の二要素認証を経て取引を行う

 

二段階認証：認証プロセスが2段階に分けられている認証方法

一段階目：ID・パスワードを入力して認証
二段階目：登録されている携帯電話番号にSMSを送信、メッセージ内に記載された認証コードを認証プロセスの画面に入力、など

 

 

銀行の根本的な問題が解決しない限り、セキュリティの弱い銀行口座保有者の不正出金のリスクは取り除かれない状況は今後も続きます。

 

 

監督省庁の動き

では、各事業者への免許等を発行する監督省庁の対応は？

 

調べてみると、今回は資金決済に関する法律に基づくサービスに関するものなので、直接の管轄は金融庁だそうです。

 

その金融庁より預金取扱金融機関、資金移動業者に宛てた対応要請がなされました。

同時に、

「利用者におかれましては、銀行口座に身に覚えのない取引があった場合には、取引先銀行、資金移動業者又は金融庁の金融サービス利用者相談室にご相談ください。
また、自身の銀行口座に不審な取引がないか、今一度ご確認頂くとともに、口座情報の管理にご注意願います。」

 

※金融庁ページより転載

相談窓口
金融庁 金融サービス利用者相談室（平日１０時００分～１７時００分）
　電話：０５７０－０１６８１１（IP電話からは０３－５２５１－６８１１）
　ＦＡＸ：０３－３５０６－６６９９
　インターネットによる情報の受付は、こちら

 

との利用者に向けた注意喚起もなされています。

※詳細

www.fsa.go.jp

 

 

動揺に総務省から「ドコモ口座を通じた預金不正引出し事件」に関して声明が発表されています。

 

要旨：「今回の事案は資金決済法に基づくサービスに関するもので、基本的には金融庁の所管であるが、生活者の皆様には口座の状況確認を積極的に行ってほしい。各銀行には、金融庁・総務省で実施しているサイバーセキュリティ演習に参加して引き続き必要な対策を取ってもらいたい」

 

※詳細
総務省｜高市総務大臣閣議後記者会見の概要(令和2年9月15日)

 

省庁の「所管」を超えたコメントを発表し、国としての認識を共有・省庁間で機動的に協働できる環境構築を願うばかりです。

 

 

今回の問題の本質とは

１．実務面の問題：銀行間のセキュリティ（本人確認）レベルがまちまち

２．制度面の問題：一定強度のセキュリティを義務付けるガイドラインの不在

 

この複合的・潜在的な問題が今回の事件の元凶となったのではないでしょうか。

 

※参考にした記事に「もともとWeb口座振替自体は、定期的な料金引き落としなどに利用することを想定していたものだった。今回のように決済サービスと組み合わせた｢都度チャージ｣の仕組みに必ずしもフィットしているかは難しいところで、サービスの形態に応じたセキュリティが必要なのかもしれない。」

という見解が示されており、難しい問題だと理解しつつ興味深く拝見しました。

 

この問題を知り、今回とは異なる「万一」に備える必要がありそうです。

 

 

まとめ

今回は、

・今後現れるフィンテックサービスへの鑑識眼を養うこと

・「セキュリティ」の知識を得て自己資産を守る

ことを目的に事件を紐解いてきました。

 

その現状を調べてみると、「元凶は銀行」。

日本の旧態依然とした仕組み、その上に誕生した資金移動業者が複合的に生み出した問題だと理解できました。

果たして現代のフィンテックサービスにそぐう法制度となっているのか、今後も何かの折に調べてみたいと思います。

 

________

現代は電子決済、フィンテック黎明期を抜け、本格的にサービスが跋扈した世の中です。

 

信用スコア、個人少額貸付（少額ローン）にとって見ても昨今の個人向け金融事業、電子決済は多様化、複雑化の一途。 

 

サービス提供者は今まで以上に自由な設計が可能になり、融資条件はもちろん、セキュリティや業者のバックグラウンド、不安定な社会情勢…一定以上の知識を持ってサービスを読み解かなければならない機会が増えていくと考えます。

 

今回、「キャッシュレス」にも一定以上の知識が必要だと私を含む利用者は思い知らされました。

 

「キャッシュレス」には現金よりも遥かに多い人の手、利害、情報、「ブラックボックス」が存在します。

 

その中に今回のような「見えない」リスクを抱えていることは必然。

 

何を使うにも、これらを把握したうえでサービスを使わなければなりません。

 

________

昨今の実態のない経済成長下、商品の情報収集の門戸が開かれた消費者は「賢くなっている」と言われます。

 

実体のある商品の情報収集と同様、「サービス」の裏側・実体を賢く把握し、使用可否の判断や危機が迫ったときの対応を知っておかねばならないのだと思います。

 

 

筆者はそんな知識を引き続き学び、この場で「シェア」することを今後も続けていきます。

 

 

手前味噌の意見で恐れ入ります。

最後まで読んでいただきありがとうございました。

 

誰かの理解・不安払拭のお役に立てれば幸いです。

 

 

【追記2020-09-27】

「被害は2017年7月から2020年9月までに集計約380件、約6,000万円。３年前からの被害が確認された」

www.watch.impress.co.jp

 

 

 

参考：

もはや｢“ドコモ口座”だけの問題｣ではない不正出金。いまやるべきことは？ | Business Insider Japan

「SBIや三菱UFJも被弾」相次ぐ不正出金のウラに隠れたもう1つの危ない現実 (1/3) - ITmedia ビジネスオンライン

不正出金『ドコモ口座だけではなかった』 6つ決済サービスで被害──高市総務相 - Engadget 日本版

ドコモ口座で何が起きたのか？ ｜サクサク経済Q＆A｜ NHK NEWS WEB

資金移動業者の決済サービスを通じた銀行口座からの不正出金に関する対応について：金融庁