不正引き出し、なぜ問題を丸かぶり? ドコモ内部に不可思議な動き(鈴木淳也)

金融業界全体を巻き込んだ騒動へと発展

鈴木淳也 (Junya Suzuki)
鈴木淳也 (Junya Suzuki), @j17sf
2020年09月18日, 午後 12:16 in docomo
0シェア
FacebookTwitter

「ドコモ口座」から明らかになった不正引き出し問題をめぐって、ゆうちょ銀行は9月16日に緊急記者会見を行い、同行を通じて発生したスマホ決済サービスを経由しての不正預金引き出し事件について状況を説明した。

また同日にはSBI証券の口座への第三者による不正アクセスを通じて資産が引き出される事件が発覚しており、資産の引き出し口となった6つの銀行口座のうち、5つの口座がゆうちょ銀行で偽装身分証によって作成されたものだったため、全体で2時間半にも及んだ記者会見では両問題を合わせた同行の管理体制についてを問う質問が続いた。

緊急記者会見で質問に答えるゆうちょ銀行取締役兼代表執行役副社長の田中進氏

今回の一連の問題の端緒を開いたのは、ドコモ口座で発覚した不正引き出し事件だが、NTTドコモからゆうちょ銀行を経て、金融業界やFintechサービス事業者全体を巻き込んだ騒動へと発展している。現在も新事実や展開が明らかになって進行中の話題ではあるが、本稿では直近のゆうちょ銀行の話題を中心に、現在起きている問題をいったん整理する。

ゆうちょ銀行の説明における奇妙な違和感

ゆうちょ銀行は会見前日の晩に「決済事業者さまのアカウントへの口座登録及び振替(チャージ)の一時停止について」と題した告知を出しており、同行に接続している決済サービス事業者12社のうち、2要素認証を導入していない8社について即時振替サービスにおける「新規口座登録および口座変更」「振替(チャージ)」を停止するとしている。

9月15日に同時点で総務大臣の高市早苗氏が「6社で被害を確認しており、うち2社で登録やチャージを停止済みと報告しており、ここで2社に該当していたNTTドコモとKyashの2社を含む、全10社での接続サービス停止が行われており、16日以降の対応状況をまとめたのが、会場で配布された次の資料となる。

engadget
ゆうちょ銀行の記者会見会場で配布された資料

純粋に資料として興味深いのは、サービス事業者ごとに登録された口座数だ。Kyashのように接続を開始した直後という事業者もあるものの、各サービスの口座数は純粋に事業者間のシェアや勢いを反映しているとみられる。

もう1つこのデータから読み取れるのは、口座接続におけるゆうちょ銀行の比率の高さだ。例えばPayPayは今年2020年7月に登録ユーザー数が3000万人を突破したことを報告しており、それだけでみれば453万人という数字は少ないように見える。ただ、実際に銀行口座への接続を行っているアカウントがどれだけあるかを考えれば、その比率は非常に高いと予想される。

実際、ある事業者によれば「接続される口座の過半数がゆうちょ銀行」ということで、ゆうちょ銀行への接続はそれだけサービスに与える影響が大きいことの証左でもある。

話を今回の件に戻すと、ゆうちょ銀行はスマホ決済サービスを提供する資金移動事業者らに対し、即時振替(Web口座振替)サービス利用時の口座接続時に2要素認証導入を求め、それが完了するまでは新規登録ならびにチャージを停止したわけだが、ドコモが同時点で82件、PayPayが17件(後に13件に修正)という2社が突出しているのを除けば、被害件数は極小のため、セキュリティ強化は事前予防的な意味合いが強い。

今回の問題では、ドコモ口座がドコモ回線を持たないユーザーにも開放された2019年9月の翌月にあたる10月から被害がスタートしているため、明らかにサービス事業者側の本人確認が不十分だったことが被害を拡大させたことは確かで、次に被害報告が多いPayPayについてもSMSを使った回線認証に加えてeKYC認証の必須化を打ち出している。

9月10日に行われたNTTドコモの謝罪と説明会見で配られた資料。概要と本人確認の不手際について解説されている

そして先ほどのゆうちょ銀行のお知らせにあった「2要素認証」だ。サービス事業者のアカウントと銀行口座の接続において、相互で本人認証が行われることはセキュリティ上重要だ。2要素認証とは、2つの異なる要素(例えば「ID+パスワード」と「トークン(ワンタイムパスワード)」や「生体認証」)を組み合わせる仕組みのことだ。

ゆうちょ銀行はWebを使った即時振替の認証において、以前までは口座番号と暗証番号の組み合わせなど、比較的突破が容易な手段しか提供していなかった。その後、2019年1月、2020年5月と段階的にセキュリティレベルを向上させ、現在では4項目+2要素での認証を行っている。ただし、同行によれば「2段階認証を実際に導入するかはサービス事業者との了解によるもので、先方に導入してもらえるようお願いしてきた」(ゆうちょ銀行取締役兼代表執行役副社長の田中進氏)とのことで、了解が得られなかったので2要素認証でセキュリティを強化できなかったというスタンスを貫いている。

一方で、複数のサービス事業者らが事業者名と名前の両方を伏せたうえで「2要素認証を行うのはゆうちょ銀行側であり、こちら側の了解を得て判断するものではない」「そもそも2要素認証について相談されておらず、今回の措置について聞いたのも直前の出来事」と、寝耳に水の反応を見せている。

実際、ゆうちょ銀行が即時振替と呼ぶ「Web口座振替」では、口座登録時にサービス事業者のアプリ(またはサイト)からいったんゆうちょ銀行のページへと飛び、認証が完了した段階でその結果をサービス事業者側に通知する仕組みになっており、サービス事業者側が関知できるものではない。ゆえに、サービス事業者側としてもゆうちょ銀行が2要素認証を導入したからといってシステム的に対応することはなく、せいぜい登録方法について説明や誘導を促す程度しかない。

つまり、ゆうちょ銀行が「サービス事業者の了解が得られないのでセキュリティ強化が進まなかった」と述べているが、サービス事業者側では「セキュリティ強化の裁量はゆうちょ銀行にあるのに、なぜわれわれの了解が必要でそれが原因と責任転嫁をするのか」と嘆いている構図だ。

ドコモ内部の不可思議な動き

今回の件では、前述のゆうちょ銀行の説明をはじめ、いろいろ不可思議な点が多い。例えば「なぜ被害が報告され始めた時点でドコモ口座を停止できなかったのか」「被害の直接の原因をドコモの本人確認不足によるものとして収束させようとしている」といった具合に、主にドコモにおいてドコモ口座まわりの対応の遅さと、案件をすべて1社で抱え込もうという動きが目立っていた。

後者について、実際には他のサービス事業者でも問題は発生していたわけで、サービス事業者側での本人確認の問題はもちろんのこと、Web口座振替における銀行側のセキュリティの弱さを突かれた側面が大きい。ゆうちょ銀行の会見がなければ、このままドコモの問題として取り扱われて話題がフェードアウトしていた可能性もあり、その点で銀行が潜在的に抱える問題にまで踏み込めた点で一連の会見の功績は大きい。

今回、匿名の情報源によれば、ドコモ口座に紐付く一連の攻撃において、Web口座振替で「2要素認証(IVRや通帳に記入した最終残高など)」を導入するなど比較的セキュリティレベルの高い銀行での被害は1件もなく、被害はすべて「口座番号」「暗証番号」「生年月日」「電話番号の下4桁」など比較的入手が容易な情報を組み合わせて本人認証を行っていた金融機関に集中しているという。ゆうちょ銀行をはじめ、地銀で被害報告が多かったのも、後者の認証を行っていたためだ。

また、みずほ銀行がドコモ口座を含む預金の不正引き出しが過去に行われていたという一部報道があったが、同行によれば以前までに提供していた通帳に未記帳の取引を参照できるサービスを通じて通帳の最終記帳残高を類推する手法を用いられたもので、被害と対策を含め1年以上前に解決済みだという。ドコモ口座での一連の被害は2019年10月以降に発生しているため、2要素認証が導入されているみずほ銀行は今回の件に関係ない。筆者の意見では、すでに今回の問題は「銀行のセキュリティ対策の甘さ」を問う段階にきており、バトンは渡されている状態だと考える。

9月10日に行われたドコモの緊急記者会見の一幕

ただ、先ほど触れたドコモの動きで不自然だという部分で、社内の反応が真っ向から割れているという点が依然として気になる。ドコモ口座についても、9月10日に行われた会見から14日のオンライン会計までの間、複数の情報源から「現場ではドコモ口座のサービスそのものを止める方向で動いている」と聞いていたものの、最終的に上層部の判断で現在まで継続に至っているという。

情報源によれば、ドコモ口座自体はドコモのビジネスにおける比重も低く(d払いでの残高利用もごくわずかな比率だという)、停止してもその影響は少ないと考えられている。

実際、ドコモ内部でも目立たなかったサービスゆえにキャリアフリー化のリスクを見抜けなかったという側面があり、この説の信憑性を高めている。また2回行われた会見でも一貫して銀行側の責任には言及しておらず、このあたりも何らかの判断が働いていたと考えられる。

まだ未知の部分が大きいが、社内外のいずれかでドコモに対して圧力を加えている個人または団体がいると考えるのが妥当で、これが問題解決の足かせになっているというのが筆者の意見だ。

いずれにせよ、この問題は被害者への補償を終えたとしてもまだしばらくは続く。NHKなどの報道によれば、全国銀行協会(全銀協)が銀行のセキュリティ対策強化と、資金移動事業者との接続に関するガイドライン制定に踏み込んだという話も出てきており、一連の事件は金融業界全体を巻き込んだ一大騒動へと発展しつつある。

(更新)初出時、PayPayの被害件数に誤りがありました。


 

TechCrunch 注目記事新型コロナのソーシャルディスタンスを支援するビデオチャットアプリ8選

新型コロナウイルス 関連アップデート[TechCrunch]

 

関連キーワード: docomo, payments, news, gear
0シェア
FacebookTwitter

Sponsored Contents