NTTドコモが運営する「ドコモ口座」に端を発した、電子決済サービスの不正引き出し問題が新たな波紋を広げている
高市早苗前総務大臣は15日の会見で、「ゆうちょ銀行」にドコモを含む6社の電子決済サービスで不正引き出しの被害が出ていることを明らかにした。
そして、16日に会見したゆうちょ銀行は、15日夜の段階で、6社で109件、1,811万円の被害が確認され、全額を補償すると発表した。NTTドコモの82件、1,546万円に次いで、PayPayが17件、141万円、メルペイが3件、49万円などとなっている。
また「ゆうちょ銀行」は、提携する12社のうち次の10社のサービスを停止している。
ゆうちょ銀行が即時振替サービスを停止した電子決済サービス
ドコモ口座、Kyash、PayPay、LINE Pay、ペイパル、支払秘書、楽天Edy、PayB、メルペイ、ゆめか
他にも地方銀行やイオン銀行などで電子決済サービスの不正引き出しが確認され、被害が広がっている。
編集部で「ドコモ口座」について取材した際は、電子決済サービス側と銀行側をひも付けする仕組みのセキュリティに甘い部分があり、双方に問題があったと専門家は指摘した。
(関連記事:ドコモ口座の「不正出金」の被害拡大…“ユーザー”でなくても注意すべき人や対策を専門家に聞いた)
では「ゆうちょ銀行」の場合はどうなのか?また、どんな人が注意すべきなのか?
ITジャーナリストの三上洋さんに聞いてみた。
今回は電子決済側に問題はなかった
――「ドコモ口座」と「ゆうちょ銀行」騒動の違いは?
「ドコモ口座」と違うのは、今回名前が出ている電子決済サービスは「当人認証」という本人確認をしていたことです。
「当人認証」とは、電話番号などで「そのスマホ」「そのアプリ」を使ってる事を確かめる認証で、住所氏名年齢などの「身元確認」はしません。例えば無記名式のSuicaのように、お金をチャージして使うだけなら基本的には現金と同じなので「当人認証」だけでいいとされています。
これに対して銀行とのひも付けは、特定の人のお金を引き出すことなどができるので、住所氏名年齢などの「身元確認」が必要で、そのためワンタイムパスワードなどによる「2要素認証」をするべきだとされています。
ゆうちょ銀行は「2要素認証」を用意していたものの、必ず使うようにはしていなかったため、不正引き出しの被害が出てしまいました。
今回は電子決済側に問題はありません。「ドコモ口座」以外の被害については、明らかに銀行側の問題です。あえて言うなら電子決済側が銀行のセキュリティが大丈夫か確認しなかったことが問題だといえるかもしれません。
――「ドコモ口座」は関係ない人も被害に遭う可能性があったが今回は?
今回も同じです。
「PayPay」「Kyash」のユーザーか否かというのは全く関係なく、銀行の口座が被害に遭う可能性があります。
ゆうちょ銀行やイオン銀行だけでなく、「ドコモ口座」の洗礼で明らかになった提携銀行すべてが対象だと考えていいです。
リバースブルートフォースではない可能性も
――1つのパスワードに対したくさんのIDを総当たりで試す「リバースブルートフォース」が使われた?
何らかの方法で氏名・口座番号、生年月日を入手して、リバースブルートフォースで暗証番号を割り出したと言われてきましたが、一部で「暗証番号は間違わず入力していた」という報道も出ています。
これが本当ならリバースブルートフォースではなく、暗証番号まではっきりわかっているリストを手に入れたかもしれません。
――銀行の偽サイトから暗証番号を入手したという話も出ているが?
フィッシングサイト(偽サイト)で暗証番号も含めた情報をとるのなら、口座振替ではなく直接ネットバンキングを狙うと思います。
去年1年間のネットバンキングの不正送金は約25億円もあり、去年10月から今年の前半にかけて被害が増えている状況です。今回の事件の被害規模よりも2桁ぐらい大きな被害がもうすでに出ているんです。
ただし前述した「暗証番号は間違わず入力していた」報道が事実なら偽サイトで情報を集めた可能性も捨てきれず、何とも言えないところです。
――「ドコモ口座」の時は、不正引き出しがないか自分で確かめるしかない、としていたが対策は?
えー、相変わらず対策は「ない」ですね。
唯一言えるのは、本人確認を含めたセキュリティがしっかりした銀行を選ぶことなんですが、例えば地方に住んでいるなど銀行の選択肢がない人もいるでしょう。
――電子決済サービスの不正引き出しはこれからどうなる?
被害はまだ広がると思います。
ただし「ドコモ口座」の被害件数は数百ぐらいで被害額も億単位ではないので、これから被害が10億円になるようなことはないと思います。金額レベルはそのぐらいで済んでも、「口座振替」という仕組みを揺るがす事態だという事は間違いないでしょう。
被害額は少なくとも、当事者にとっては大きな問題であることは間違いない。そしてこうした事態が続くとキャッシュレス決済の普及にも歯止めをかけてしまうかもしれない。
様々な会社で全額補償を申し出ているので、該当する銀行に口座がある人は不審な引き出しがないかまずは確認して頂きたい。
【関連記事】
「ネットバンキング」の被害が昨年度は急増…理由は“2段階認証をかいくぐる手口”にあった
不正アクセス「7pay」で指摘されるシステムの穴…他の「ペイサービス」にも確かめてみた