ニュース

ゆうちょ銀の緊急会見、「二要素認証、決済事業者に求めていた」は本当か

被害は109件1811万円に

 NTTドコモの「ドコモ口座」での発覚に端を発し、多くのスマートフォン対応決済サービスと金融機関で判明してきた不正な預金引き出し。

 被害が発生した金融機関のひとつ、ゆうちょ銀行が16日夕方、緊急会見を開催し、代表執行役副社長の田中進氏が、現時点で把握している被害の状況、今後の対策を語った。

田中副社長

 田中副社長は「これまで決済サービス事業者に二要素認証の導入をお願いしていたが合意にいたらなかった」とコメント。近日、早期に導入して対策とする考えを示した。

 その一方で、決済サービス事業者からは「そのような依頼を受けたことはない」という声が出ており、ゆうちょ銀行側の説明に大きな疑問符が付く。

被害状況

 ゆうちょ銀行では、これまでにドコモ口座やKyash、PayPayなど10の決済サービスとの連携(新規口座登録と出金)を停止している。

 ゆうちょ銀行が16日の会見で配布した資料を見ると、サービスごとの被害額と被害件数がわかる。口座とスマホ決済の登録件数も添えられており、PayPay、LINE Pay、メルペイ、PayPal、ドコモ口座(d払い)という順であることがわかる。あわせて、二要素認証の導入時期も示されている。

 件数としてはドコモが最も多く、82件、1546万円におよぶ。ドコモ口座とゆうちょ銀行口座を紐付けている件数は13万6909件で、ほかの決済サービスのなかでは、比較的少ないほうに入るが、ドコモが発表した被害額(2676万円、15日0時)の半数以上を占めている。ドコモは14日の会見で「現時点での認識では、大量のアタックがあったわけではなく、ピンポイントで狙われ紐付けられていると考えている」としており、その説明を裏付けるかのような被害状況だ。

 またゆうちょ銀行では、LINE Payでも2件の不正利用があったとしている。一方、LINE Pay側では、被害者の身近な人物による事例としており、ほかの被害例とは異なる内容と見られる。

 被害の件数と金額は、基本的にユーザーからの申告を取りまとめたもので、2020年に発生したものが中心という。

 NTTドコモの会見では、ドコモ側で不正な入金か確認できず、銀行側からの情報が頼りとしていた。そのゆうちょ銀行も、今回の会見で、モニタリングは実施しているものの、不正利用かどうかは、ユーザーの申告次第と説明。ユーザーが気づかなければ、被害の全容解明が難しいことを示した。

対策について

 現在、連携を止めている決済サービスとは、その多くで9月17日までに口座登録時に二要素認証が導入される予定だ。ゆうちょ銀行自身の用意する二要素認証は、音声通話を活用するIVR認証(2019年1月導入)や、通帳残高の入力を求める認証(2020年5月)になるという。

 この二要素認証は、ゆうちょ銀行にとって、不正な預金引き出しの大きな防止策と位置づけられているが、これまでゆうちょ側の二要素認証は、多くの決済サービスで活用されてこなかった。

 なぜこれまで導入されてこなかったのか。

「強く求めてきた」「依頼はない」食い違う言い分

 ゆうちょ銀行の田中氏は「二要素認証の導入を決済事業者に強く求めてきた。しかし合意にいたらなかった」と説明。「私どもなりにお願いしてきたが、十分だったのか。我々にも反省すべき点がある」と反省する姿勢を見せる。

 これに、決済サービス事業者のひとつであるLINE Payは「ゆうちょ銀行側が二要素認証を導入した段階で、そもそも依頼がなかったと認識している」と本誌取材に回答。LINE Payは「私どもはセキュリティ対策に注力したと自負している。もしそうした依頼があれば前向きに検討する」とも説明する。

 さらに本誌では、複数の決済事業者から「そうした依頼はなかった」「電話で、二要素認証の導入計画の考えを示されたことはあったが、その後、話はなかった」などの回答を得た。そうした中の1社、メルペイは「二要素認証を入れる旨のコミュニケーションがあったのは直近」としている。

 またゆうちょ銀行口座の登録数が約450万件と、他社よりも遥かに多いPayPayでも「ほかの地銀では、二段階認証を導入する話が打診され、その後、実際に導入された。私どももセキュリティは向上したい。やりたくないから入れられないわけはない」と本誌にコメント。

 16日の緊急会見における質疑でも、参加した記者から「決済サービス側からそうした依頼はなかったという声がある」と指摘があがった。これに、ゆうちょ銀行の田中氏は「私どもの力が足りなかった」と回答。

 田中氏は「二要素認証を入れていただければ、かなりのセキュリティ向上になるのではないか、というのが基本的な認識」とその重要性を語る場面もあった。

 しかし、決済事業者側の回答を踏まえると、田中氏の言う「強く求めた」といった打診が、本当に実行されていたのか疑問を抱かざるを得ない。少なくとも、ゆうちょ側と決済事業者側の認識に大きな隔たりがあることは明らかで、その状況が放置されてきたことになる。

ほかの金融機関との情報共有もなし

 犯人の手口について、ゆうちょ側は、「暗証番号などの情報の入手経路は調査中。パスワードをゆうちょのシステム上で直接試す行為は検知できるが、今回はそうではない。動きを見るのは非常に難しい」と説明。決済サービスを経由して入ってくるため、攻撃を検知しづらいとした。

 ほかの金融機関で起こり得るのか、ゆうちょ銀行だけの問題はなかったか、田中氏は「他行のことは報道ベースでしかわからないが、私どもが何か特に変わった仕組みだったわけではないと思っている」とコメント。

 そうした上で、問題解決に向け、金融庁や、ほかの金融機関と情報交換をしているのか? という問いには「萌芽はある」と語るにとどまり、今回の不正利用に関して明確な動きには至っていないことを明らかにした。

 16日夕のゆうちょ銀行の会見は、被害の状況がひとまず開示されたこと、二要素認証が導入されることという、現状および解決に向けた一歩を紹介する内容だった。しかし、そもそも高市早苗総務大臣が15日付けで「ゆうちょ銀行からヒアリングした」と語るまで、ドコモ口座以外のスマホ決済サービスで、不正利用が発生していたことを伏せたままだった。その高市大臣は、16日、安倍内閣総辞職に伴う最後の会見において「金融庁とゆうちょ銀行は責任を持って、正しい情報を開示すべき」と語る異例のコメントまで残している。

 スマートフォンを使っていなくても、スマホ決済サービスを使っていなくても、口座を持つ、全てのユーザーが被害をこうむる可能性がある事案。田中氏は、記帳が難しい高齢者や過疎地の人々に向けた取り組みとしては、今回、特別なチームを立ち上げるといった施策は「まだ着手していない」とも語っており、ゆうちょ側の説明や取り組みが不十分という印象を残す会見となった。