ゆうちょ銀行が不正送金対策を発表

Business

ゆうちょ銀行の口座から、ドコモ口座などの決済サービスを通して不正に預金を引き出されていた問題で、ゆうちょ銀行の池田憲人社長は、9月24日謝罪を行っていた。

今回の件を受け同社は今後サイバーセキュリティ体制の総点検のほかに本人確認の厳格化、VISAデビット・プリペイドカードサービスの「mijica(ミジカ)」の一時停止などを行うという。

ゆうちょ銀行の被害状況

9月24日の会見で池田社長が発表した22日時点の被害状況や対策は下記の通りである。

「ドコモ口座」関連の被害状況

ドコモ口座をはじめとする即時振り替えサービスを活用し、決済サービスを悪用して不正に現金が引き出された事件では、ゆうちょ銀行が確認している被害件数は合計380件、被害総額は合計6,000万円にもおよぶ。

ドコモ口座だけでなく、「PayPay」「LINE Pay」「メルペイ」「Kyash」「PayPal」といったほかのサービスにおいても被害が確認されている。

 

9月18日にはあらゆるサービスで合計137件、被害総額は2,205万円としていたものの、24日の発表では380件にまで増加した。

380件のうち約150件は、今回のドコモ口座のトラブル以前の2017年から2019年に発生しているもので、その間の被害額は3,400万円に上った。

「SBI証券」関連の被害状況

SBI証券は9月16日に、SBI証券の証券口座から約1億円もの資金が不正に引き出されたことを発表。

犯人は偽造した本人確認書類を作成した不正なゆうちょ口座を使用。不正にログインしたSBI証券の口座からゆうちょ銀行に約9,000万円を引き出していた。

「mijica」関連の被害状況

9月23日にはゆうちょ銀行が提供しているmijicaを利用した不正送金が約332万円発見された。

犯人の手口は、mijica利用者のアカウントに不正ログイン、犯人のmijicaカードへ送金したとみられている。

対策として2要素認証を導入

ゆうちょ銀行では、ドコモ口座などのサービスを経由して発生した事案について、他社決済サービスを連携しているゆうちょ銀行の口座約550万件を特定。口座の所持者に不審な取引がないか確認するように個別に案内をする。

中でも取引状況から特に注意が必要な600の口座の所有者に、電話で取引確認の確認を求めるという。

被害を受けた預金者への保証は10月中をめどに行う予定だ。

 

また、ゆうちょ銀行では今回の件を受け、今後決済サービスでアカウントに口座登録をする際に2要素認証を求めるようにするという。

現段階では口座の登録やチャージ機能を中止している10のサービスにおいて2要素認証の導入が完了している。

口座開設時の本人確認を厳格化

一方でSBI証券を経由した不正利用問題の要因は、偽造した本人確認書類によって開設されたゆうちょ銀行口座にあった。

このことを受け、ゆうちょ銀行では24日、顔写真付きの本人確認書類でなければ口座を開設できないように本人確認を厳格化すると発表。

 

SBI証券での不正問題で作成された不正なゆうちょ口座は全部で5口座で、そのすべてで顔写真のない本人確認書類が使われていた。

調査では5つの口座はすべて別の窓口で口座開設処理が行われ、それぞれの書類には不審な点は見られなかったという。一方で5件の本人確認書類はすべて筆跡が酷似しており、同一人物によって作成されたものではないかと考えられている。

 

これまでゆうちょ銀行では、口座開設時に本人確認書類と書類の郵送を利用した住所確認を行ってきたが、本人確認書類は顔写真がついていなくとも開設が可能だった。

田中進副社長はこの手続き方法について、あくまでも一般的な方法であると触れながらも、今後は顔写真付きの本人確認書類を必須とした。

また、田中副社長は会見で「顔写真付きの本人確認書類のみを認めることにすると、利用者には負担を掛けることになる」としながら、「現状も顔写真付きの本人確認書類を提出する人が大多数」「顔写真なしの本人確認書類が巧妙に偽造されている」という現状をみて、本人確認の厳格化を決断したと言及した。

mijicaは一時停止し調査

mijicaは送金時にカードの下5ケタの入力をセキュリティ対策としていたものの、田中副社長はこのセキュリティについても見直す必要があると述べた。

mijicaについてはサービスを一時停止し、利用者約20万人に対して注意喚起を行った。また被害を受けたユーザーへの補填は9月中に行われた。

ゆうちょ銀行ではmijicaのサービスを開始した2018年1月から現在に至るまでの送金を調査し、

  • 1か月に2件以上送金した
  • 通知メールの宛先を変えた
  • 宛先変更後すぐに送金を行った

という条件に当てはまるユーザーを洗い出し。

3つすべてに当てはまるユーザーはいないとしながら、2つ目までに当てはまるユーザーに対し個別に連絡し確認するという。

さらにmijicaについてもセキュリティ強化策を検討する予定だ。

 

今回の事案について池田社長は「安全性に対するゆうちょ銀行内部の全体のリスク感度が非常に鈍かった」とし、社長主導でキャッシュレス決済サービスを検討するタスクフォースを立ち上げている。

10月末までに即時振り替えサービスや決済サービスである「ゆうちょPay」、mijicaなどを対象にサイバーセキュリティ対策、取引状況のモニタリングを行う予定だ。

また現在停止していないサービスについては、今後は調査のためにサービスの停止を行わない予定だという。

コメント

Translate »
タイトルとURLをコピーしました