ニュース
「リスク感度が低かった」 ゆうちょ銀行が不正送金問題を謝罪
2020年9月25日 00:00
ゆうちょ銀行は、キャッシュレス決済サービスへの不正送金などの事件に関する最新の被害状況を公表した。被害額は6,000万円を超え、代表執行役社長の池田憲人氏は謝罪するとともに、今後、池田社長をトップとするタスクフォースを設置して、ゆうちょPayやmijicaなどの決済サービスを総点検し、安全性の確保を図る考えを示した。
今回の事件は、ドコモ口座に端を発したキャッシュレス決済サービスへの不正送金、ゆうちょ銀行のデビット・プリペイドカード「mijica」での不正送金が発生。それぞれ異なる事象ではあるが、同時期に発覚したことを重く見たことから、同行ではタスクフォースを設置して原因を究明し、セキュリティ体制の強化を図る。タスクフォースでは10月末をめどに完了させたい考えだ。
不正引き出し被害は6千万円。二次被害に注意
キャッシュレス決済サービスへの不正送金では、決済口座としてゆうちょ銀行を登録する際の即時振替サービス(他銀行で言う口座振替サービス)が悪用された。決済サービスへの口座登録には本人確認が必要だったが、即時振替サービスでは口座番号や口座名義、カード暗証番号など一部の情報だけで認証できてしまった。現時点で、ゆうちょ銀行側は認証に必要な情報がどの経路で漏洩したか把握できていないと言うが、リバースブルートフォースやフィッシング詐欺などの攻撃が想定されている。
そうした攻撃があっても一定のセキュリティ対策があれば攻撃を防げた可能性は高く、そうした不備を突かれた形だ。
結果として、ドコモ口座だけでなく7つの決済サービスで不正送金が発生。過去に遡って不正送金の申告分を集計したところ、現在把握しているだけで約380件・6,000万円の被害が発生している可能性がある。
この数字は、2017年7月から2020年9月まで、同社のコールセンターや窓口などに寄せられた不正送金の可能性がある届出を集計したものの。申告を精査した結果、数字が増減する可能性はある。このうち約100件は、今回の被害が報じられた結果、寄せられた申告のため、さらに追加の申告が発生することもありえる。
ゆうちょ銀行では、キャッシュレス決済サービスへの登録をした口座の名寄せが完了して550万口座を確定。それぞれに疑わしい取引がないか確認するようメールやDMによる通知を実施。そのうちの約600口座については口座の動きが不正送金のものと似通っているため、特に電話で口座確認の要請を行なう。こちらは被害の可能性が高く、被害数字はさらに積み上がりそうだ。
なお、こうした連絡にともなってゆうちょ銀行を騙る偽メールなどが登場し、フィッシング詐欺などの二次被害が発生することも想定される。同行では、電話やメールで口座暗証番号などを確認することはない、として注意も呼びかけている。
3年前から被害を確認。デビットカードmijicaも不正利用
もう1つのmijicaの不正送金も、同様に即時振替サービスが悪用された。mijicaは、ゆうちょ銀行が発行するプリペイドカードで、ゆうちょ銀行口座からチャージをすることでクレジットカードに近い支払いができる仕組み。もともとはプリペイドカード機能のみだったが、デビットカードのように使える機能を追加し、事前にチャージをしなくても支払いに足りない分を自動チャージして決済ができるようにしていた。
こうした中で、個人間送金としてmijicaユーザー同士で残高を送り合う機能を提供。この機能が悪用されたのが今回の事件だ。今年8月から9月にかけて、3回に渡って計54人の口座から不正送金が確認された。
同様の不正送金被害を確認するため、同行は以下のようなサービスの利用をチェックした。
(1)1カ月以内に2件以上の送金を受けた受取人に対して送金した
(2)送金前に利用通知メールの宛先を変更した
(3)宛先変更後、短時間で送金した
該当する送金は不正送金であるとして、サービス開始当初である2018年1月からの全送金を検証したが、他に被害は発見できなかった。キャッシュレス決済サービスの不正送金のように、不正にチャージをしてカードを使われるなどの被害も確認できなかったことから、被害は54人・332万2,000円と確定した。
被害に関しては全て補償を行なう。
キャッシュレス決済への不正送金では、被害の状況確認や該当する決済事業者との連携が必要なため、補償が確定していない被害もある。とはいえ、同行では早期に補償を図りたいとしている。また、2017年7月から2019年末までの被害申告分に対して補償が進んでいないものも存在。同行では「対応が遅れた」と謝罪しているが、こうした体制の不備も問題となるだろう。
mijicaの不正送金の手口については、警察の捜査が始まっているため詳細は非公開とされたが、mijicaのWebサイトにログインして、mijicaへの送金を行なうための認証に不備があった。送金時に使われるカード裏面に記載のID下5桁を入力する機能にロック機能がなく、総当たりで番号を特定できたことが「最大の弱点」(担当者)だった。カードIDはカード所有を示すものとして認証に使われたというが、認証方法として弱く、総当たりを許す設計にもなっていたことから、被害を防ぐことができなかった。
これに加えて、SBI証券口座から不正にゆうちょ銀行口座に出金された事件では、本人確認書類を偽造して5つの口座が開設されていたことが判明。偽造されたのは顔写真のない本人確認書類で、バラバラの窓口で開設されたものの、専門家によれば5口座とも開設書類の筆跡が似ていたという。
銀行口座開設では、犯罪収益移転防止法によって本人確認が義務づけられており、それにもとづいてゆうちょ銀行では、顔写真なしの本人確認書類の場合は、郵便を使った本人確認を併用していた。5口座ではこれをクリアして開設されており、偽造が見抜けなかった。
そのため、今後の口座開設では「原則として顔写真付き本人確認書類」のみを求めることにした。従来も多くが顔写真付き書類を提出しているほか、どうしても難しい場合は相談に応じることで対処したい考えだ。
“遅れ”が焦りに。安全な決済サービスに向け再点検
同行の取締役兼代表執行役社長である池田憲人氏は、「(ゆうちょ銀行の)スマホ決済は遅れていて、早く追いつきたいという思いがあった」と話し、決済サービスに力を入れてきたことを強調するが、その結果セキュリティ対策に不備があり、信頼性を損なう結果となってしまった。
池田社長は、メーカーに対する製造物責任と同様に「サービス製造責任がある」と言う観点から、タスクフォースにおける「総点検」でチェックしていく考えを示す。「まず安全を第一」(池田社長)に作業を進める意向で、全国銀行協会が今後定める方針のガイドラインも念頭に体制を整えていく。
「ゆうちょ銀行全体のリスク感度が低かった」。池田社長はそう反省の弁を述べ、安全性を高めることで信頼の回復を図り、さらに即時振替サービス、ゆうちょPay、mijicaといった決済サービスを連動させる体制へと進化させていきたい考えだ。