ドコモ口座の波紋､銀行の大失態が浮き彫りに ゆうちょ銀行のほかに｢Bank Pay｣にも問題

会見の場では、決済事業者側が合意しなかった理由についての質問が相次いだが、「先方が答えるべきこと」（田中副社長）と詳細な説明は避けた。決済事業者側からは「二要素認証を導入する予定だと電話はあったが、それ以降具体的な連絡はなかった」（PayPayの広報担当者）という見解もあり、ゆうちょ銀行の”本気度”は不明だ。

ほかの銀行では決済事業者との接続で二要素認証を使っているところも多い。一方、ゆうちょ銀行は二要素認証導入の合意ができないところとも口座接続をしていたのだから、田中副社長が言うように「結果的には、われわれももっと汗をかくべき（合意の努力をするべき）だった」ということだろう。

このほかに、9月16日にはみずほ銀行は、過去に複数の決済事業者で不正出金が確認されたと発表した。みずほは二要素認証を用いていたが、残高をウェブ上で確認できる別サービス（現在は停止済み）が不正アクセスを受け、そこから情報を抜き取られたことで二要素認証を突破されてしまった。つまり、当該サービスで二要素認証をしているからといって、不正送金の可能性はゼロにはならない。

銀行側のセキュリティー強化が不可欠

不正出金の問題は深まっている。ゆうちょ銀行の発表によって、NTTドコモのほかに、PayPay、メルペイ、Kyashといった決済サービスでも被害が確認されたからだ。

最初に確認されたNTTドコモの被害は、ドコモ口座との連携部分（銀行側）だけでなく、サービス事業者の側でも二要素認証がなかった。メールアドレスだけで開設、入金ができてしまういわばセキュリティーの甘いサービスだった。つまり、サービス事業者と銀行の両方にセキュリティーの「甘さ」があることを突いて不正出金が行われた。

しかし、PayPayなどは異なる。これらのサービスはユーザーの登録時に二要素認証を導入していた。ドコモ口座と比較すれば、セキュリティー水準は高い決済事業者だ。そのため、ドコモ口座で被害が発生した時点では、「決済事業者側の改善である程度防げるはず」（被害のあった地銀）という声もあったが、銀行側のセキュリティー向上の必要性が改めて明らかになった形だ。