ドコモ口座の波紋、銀行の大失態が浮き彫りに
東洋経済オンライン 2020/09/17
https://toyokeizai.net/articles/amp/376067?page=3
>「ドコモ口座」を発端とする銀行口座からの不正出金問題。その波紋が広がっている。ゆうちょ銀行は9月16日、ドコモ口座を含む6つの決済サービスで被害が確認されたと発表した。被害件数は109件、金額は1811万円に
>これらの決済事業者の二要素認証はSMS(ショートメッセージサービス)が中心だった。Kyashを例にとると、不正利用者の端末でSMS認証をするという方法で不正利用が行われた。ほかのサービスでも起こりうる不正利用法で、SMSだけの認証では不十分ということだ。
>決済事業者の対応は早く、eKYC(オンライン本人確認)の導入が進んでいる。例えば、PayPayでは銀行口座を登録する際にeKYCを行う顧客を2020年9月から拡大している。9月以降は、ゆうちょ銀行と接続する顧客すべてにeKYCを導入し、それ以降は不正利用は発生していないという。
※eKYC :手元の身分証明書の情報を送信することで本人確認を行う認証技術。
-参考:
eKYCとはなにか。ドコモ口座問題で注目を集める「本人確認」
https://www.watch.impress.co.jp/docs/news/1276982.html
>決済事業者の追加的な対策で、被害の拡大はある程度防ぐことができるだろう。ただ、顧客から預金を預かっているのは銀行だ。「安全性が決済事業者まかせではいけない」(大手地銀の行員)という声も多い。特に被害の出た銀行は早期に、自社としての対応策を示す必要がある。
>一連の不正出金問題で、銀行のセキュリティー意識の低さを露呈したのが、「BankPay」だ。“オールバンクのスマホ決済サービス”をうたい、メガバンクや地方銀行が参加するQRコード決済サービスだが、9月14日に新規口座登録の停止を発表した。
>運営をしているのは日本電子決済推進機構。メガバンクをはじめ、全国地方銀行協会加盟行や第二地方銀行協会加盟行なども会員になっており、「会員の承認を得ながら物事を決めていく」(日本電子決済推進機構の広報担当)。つまり、このサービスにおいては銀行界全体が決済事業者としての側面も持っていると言える。
>ドコモ口座と同様にメールアドレスのみでアプリの登録ができてしまう仕様だった。そして、口座とアプリをつなぐ際に二要素認証の設定をせずに接続している銀行もあった。
>現時点で不正出金被害は出ていないものの、このセキュリティーで「金融機関ならではの安心・安全な決済を利用できます」とうたっていた。被害が出ていない銀行も含め、銀行全体でセキュリティー意識を改めるべきだろう。
>こうした状況に対し、監督省庁である金融庁も動き出した。口座接続時のセキュリティーに脆弱性がないか改めて確認し、不十分な場合は新規接続や入金を停止するよう金融機関に要請している。
>そして、セキュリティーの甘さのほかに、個人の口座情報や暗証番号がどこかから漏洩しているのかという問題も未解決のまま。銀行の課題は山積みだ。
「SMS認証をしているからウチは二段階認証やってる、大丈夫だ問題無い」という態度のWebサービス、結構多いです。
情シス界隈でも、稀に「二段階認証=SMS認証」ということを言っている人がいて、唖然とさせられます。SMS用の電話番号なんて格安SIMを契約していれば数百円でいくらでも追加できるんですよね。メールアドレスと変わらないんですよ。
まあ、eKYCはeKYCで、「身分証明書が立体じゃ無いから認証できない」とか意味不明な事言い出す某社のAIとかあるんで、それもまた問題なんですけどね。
この辺の認証基盤を政府で提供してくれれば、利用者も事業者も随分負担が減るとは思うのですが。
自民党政権では無理ですね。だってやれるんだったらとっくにやってますよ、そこまで急浮上した技術でもない。8年近く政権担ってきてやってないということは、自民党じゃ絶対にできない、ということなわけです。
