ドコモ口座の波紋､銀行の大失態が浮き彫りに ゆうちょ銀行のほかに｢Bank Pay｣にも問題

これらの決済事業者の二要素認証はSMS（ショートメッセージサービス）が中心だった。Kyashを例にとると、不正利用者の端末でSMS認証をするという方法で不正利用が行われた。ほかのサービスでも起こりうる不正利用法で、SMSだけの認証では不十分ということだ。

決済事業者の対応は早く、eKYC（オンライン本人確認）の導入が進んでいる。例えば、PayPayでは銀行口座を登録する際にeKYCを行う顧客を2020年9月から拡大している。9月以降は、ゆうちょ銀行と接続する顧客すべてにeKYCを導入し、それ以降は不正利用は発生していないという。

決済事業者の追加的な対策で、被害の拡大はある程度防ぐことができるだろう。ただ、顧客から預金を預かっているのは銀行だ。「安全性が決済事業者まかせではいけない」（大手地銀の行員）という声も多い。特に被害の出た銀行は早期に、自社としての対応策を示す必要がある。

「Bank Pay」の甘い認識

一連の不正出金問題で、銀行のセキュリティー意識の低さを露呈したのが、「Bank Pay」だ。“オールバンクのスマホ決済サービス”をうたい、メガバンクや地方銀行が参加するQRコード決済サービスだが、9月14日に新規口座登録の停止を発表した。

運営をしているのは日本電子決済推進機構。メガバンクをはじめ、全国地方銀行協会加盟行や第二地方銀行協会加盟行なども会員になっており、「会員の承認を得ながら物事を決めていく」（日本電子決済推進機構の広報担当）。つまり、このサービスにおいては銀行界全体が決済事業者としての側面も持っていると言える。

Bank Payはドコモ口座と同様にメールアドレスのみでアプリの登録ができてしまう仕様だった。そして、口座とアプリをつなぐ際に二要素認証の設定をせずに接続している銀行もあった。

現時点で不正出金被害は出ていないものの、このセキュリティーで「金融機関ならではの安心・安全な決済を利用できます」とうたっていた。被害が出ていない銀行も含め、銀行全体でセキュリティー意識を改めるべきだろう。

こうした状況に対し、監督省庁である金融庁も動き出した。口座接続時のセキュリティーに脆弱性がないか改めて確認し、不十分な場合は新規接続や入金を停止するよう金融機関に要請している。

そして、セキュリティーの甘さのほかに、個人の口座情報や暗証番号がどこかから漏洩しているのかという問題も未解決のまま。銀行の課題は山積みだ。