皆さんこんにちは!SAKURAです。
ところで
ゆうちょ銀行からドコモ口座を利用して不正引き出しがされたようですが、どのような仕組みで不正が行われたのですか?
という疑問をお持ちの方に
9月16日、ゆうちょ銀行はドコモ口座を含むキャッシュレス決済サービスで不正引き出しの被害があったと発表しました。被害件数は109件、金額は1811万円です。
※9月24日更新
9月24日ゆうちょ銀行からの発表で、被害件数は109件、金額は1811万円が確認されました。
最も古い被害は2017年7月です。
※9月24日更新
不正利用者は、何らかの形で入手したゆうちょ銀行の口座情報をもとに、ドコモ口座を含むキャッシュレス決済と連携しました。
その後、ゆうちょ口座からキャッシュレス決済に入金し、コンビニや家電量販店などでお金を使いました。
不正利用が行われた原因のひとつに、ゆうちょ口座とドコモ口座を含むキャッシュレス決済を連携する際の、本人確認システムがに甘さがありました。
この記事では、ゆうちょ銀行からドコモ口座を利用した不正引き出しについて、その仕組みや原因についてお伝えします。是非参考になさってください!
スポンサードリンク
ゆうちょ銀行からドコモ口座を利用した不正引き出し!仕組みや原因は
9月16日、ゆうちょ銀行はドコモ口座を含むキャッシュレス決済サービスで不正引き出しの被害があったと発表しました。
※9月24日更新
9月24日ゆうちょ銀行からの発表で、被害件数は109件、金額は1811万円が確認されました。
最も古い被害は2017年7月です。
※9月24日更新
不正利用者は、何らかの形で入手したゆうちょ銀行の口座情報をもとに、ドコモ口座を含むキャッシュレス決済と連携しました。
その後、ゆうちょ口座からキャッシュレス決済に入金し、コンビニや家電量販店などでお金を使いました。
不正利用された原因のひとつは、ゆうちょ口座とドコモ口座を含むキャッシュレス決済を連携する際の、本人確認システムがに甘さがあったという点です。
本人確認のセキュリティを上げるためには、本人の異なる要素(知識、所有、生体のうち2つ)を確認する二要素認証を行う必要があります。
※口座の番号を知っている(知識)、電話や通帳などを持っている(所有)、指紋や顔などの認証(生体)
ところが、ゆうちょ銀行では、「口座番号、4桁の暗証番号、生年月日」といった「知識」の要素のみだけで、キャッシュレス決済と連携することができました。
これでは、誰かが不正に口座情報(知識)を手に入れた場合、たやすくキャッシュレス決済のための口座を作ることができてしまいます。
ゆうちょ銀行が提携しているサービスで、二要素認証の導入は2つ(Famipayとpring)のみでした。
ほかのサービスについては、銀行側では二要素認証を「決済業者に強くお願いしていた」ということですが、要請のみに留まり、結果として300件を超える不正引き出しに繋がってしまいました。
スポンサードリンク
【ドコモ口座の二要素認証の不備】
ドコモ側にも二要素認証では不備がありました。
ドコモ口座では、不正に入手したゆうちょ銀行の口座情報(被害者名義)で、ドコモ口座が開設され、ゆうちょ口座より入金が行われました。
ドコモ口座を開設するためにはdアカウントの取得が必要になります。
ところが、このdアカウントは、メールアドレスさえあれば誰でも取得できるものでした。
他のキャッシュレス決済では、メールアドレスでの認証、さらに携帯番号宛に認証に必要な番号をSMSで送信する二要素認証は設けていました。
しかしドコモ口座では、今後の顧客獲得戦略もあり、利用者の利便性を考え、こうした二要素認証の仕組みを設けていませんでした。
つまり、ゆうちょ口座を所有している人は、第三者が不正にその人の口座情報を手に入れさえすれば、ドコモ口座が勝手に開設され、ゆうちょ銀行から預金額を引き出される可能性があったということです。
今回の不正引き出しは、ゆうちょ銀行側、キャッシュレス決済側(ドコモ口座)双方に、本人確認のための二要素認証導入に対して、不備があったといえます。
ゆうちょ銀行は被害が判明した利用者に対し、10月末をめどに全額の補償を完了させます。
また10月末までに、すべてのキャッシュレス決済サービスの安全性や利用状況を総点検します。
さらに、二要素認証を採用していなかった、10キャッシュレス決済事業者を利用する550万人の全口座の調査も進めます。メールなどでも被害の有無の問い合わせを行います。
ドコモ口座では9月15日に、提携する35全ての銀行が新規口座の登録を停止しています。
ドコモ口座も再発防止策として、メールアドレス認証だけでなく携帯番号宛に認証に必要な番号をSMSで送信する二要素認証を「可及的速やかに導入する」としています。
ドコモ口座も、被害額は全額賠償するとしています。
スポンサードリンク
いかがでしたでしょうか?
ゆうちょ口座を持っているだけで、口座情報を盗まれた場合には、キャッシュレス決済サービスと連携され、不正に預金額が引き出される可能性がありました。
(筆者も急いでゆうちょ銀行の通帳記入を行いました。)
ゆうちょ銀行側、ドコモ側両者で、本人確認のためのセキュリティを上げるための二要素認証の導入を急いでいます。
今後、銀行やキャッシュレス決済を選ぶ際には、利便さだけでなく、セキュリティの面でもしっかりとチェックすることが重要です。
まとめ
・9月16日、ゆうちょ銀行はドコモ口座を含むキャッシュレス決済サービスで不正引き出しの被害があったと発表しました。被害件数は109件、金額は1811万円です。
※9月24日更新
9月24日ゆうちょ銀行からの発表で、被害件数は109件、金額は1811万円が確認されました。
最も古い被害は2017年7月です。
※9月24日更新
・ゆうちょ銀行、ドコモ口座ともに、不正利用者に対抗する本人確認認証システムが甘かったことが原因です。
・本人確認のセキュリティを上げるためには、本人の異なる要素(知識、所有、生体のうち2つ)を確認する二要素認証を行う必要があります。
ゆうちょ銀行では、キャッシュレス決済と連携する際の本人確認認証に、二要素認証の採用が不十分でした。
ドコモ口座では、口座を開設するためのdアカウントの取得に、メールアドレス認証のみで二要素認証を用いていませんでした。
・ゆうちょ銀行はこれを受け、9月15日には提携するキャッシュレス決済のサービスを順次停止しています。
ドコモ口座も9月15日には提携する35全ての銀行が新規口座の登録を停止しています。
・ゆうちょ口座、ドコモ口座ともに被害額は全額賠償するとしています。
・ゆうちょ銀行、ドコモ口座ともに本人確認認証のセキュリティをあげるための二要素認証の採用を急いでいます。
・銀行やキャッシュレス決済を選ぶ際には、利便さだけでなく、セキュリティの面でもしっかりとチェックすることが重要です。
スポンサードリンク