ドコモ口座の波紋､銀行の大失態が浮き彫りに ゆうちょ銀行のほかに｢Bank Pay｣にも問題

ゆうちょ銀行では6つの決済サービスで被害が確認されたと発表した（撮影：梅谷秀司）

「ドコモ口座」を発端とする銀行口座からの不正出金問題。その波紋が広がっている。

ゆうちょ銀行は9月16日、ドコモ口座を含む6つの決済サービスで被害が確認されたと発表した。被害件数は109件、金額は1811万円にのぼる。

被害の構図はNTTドコモの「ドコモ口座」と同じだ。不正利用者は、何らかの形で入手した第三者の名前や口座情報をもとに銀行口座と決済サービスを接続。その後、口座から決済サービスに入金し、お金を使った。

ゆうちょ銀行の場合、口座と決済サービスを接続する際の本人確認に甘さがあった。本人確認のセキュリティーを高めるには異なる要素を持っているかを確認する「二要素認証」を行う必要がある。具体的には、口座の番号を知っている「知識」、電話や通帳などを持っている「所有」、指紋や顔などの「生体」のうち2つの要素を確認する。

二要素認証の導入は2つだけ

ゆうちょ銀行の口座と接続可能な決済サービスは12サービスあった。そのうち、ゆうちょ銀行側で二要素認証を導入していたのは「FamiPay」と「pring」の2つだけ。残りの10サービスは氏名、口座番号、4桁の暗証番号、生年月日といった「知識」の要素のみで口座を接続することが可能だった。

こうした事件の発生を受けて、ゆうちょ銀行は二要素認証の導入を進めており、9月17日には計11サービスで二要素認証を導入された状態になる予定だ。残る1つの「ゆめか」（事業者はゆめカード）とも協議を進めている。

なぜ、一部の事業者にしか二要素認証を導入していなかったのか。ゆうちょ銀行は9月16日に行った会見で「ドコモの問題が出る前から、二要素認証を導入するため決済事業者に強くお願いしていた」（田中進副社長）と説明した。つまり、自分たちはセキュリティーを厳格化する意識を持っていたというのだ。

2019年1月から通帳最終残高を入力する方式、2020年5月から電話でワンタイムパスワードを通知する方式と、2種類の二要素認証を準備済みで、それを決済事業者側が受け入れなかったというのがゆうちょ銀行側の主張だ。