銀行の甘すぎる安全認識 ドコモ問題で露呈した

不正出金被害で銀行のセキュリティー意識の低さが浮き彫りに。

「安心・安全」をうたったBank Payはドコモ問題を受けて、新規口座の登録を停止した

「ドコモ口座」を発端とする不正出金問題の波紋が広がっている。

ゆうちょ銀行は9月16日、ドコモ口座を含む6つの決済サービスで被害があったと発表した。被害件数は18日時点で137件、金額は2205万円に上る。

被害の構図はNTTドコモのドコモ口座問題と同じ。不正利用者は、何らかの形で入手した第三者の名前や口座情報を基に銀行口座と決済サービスを接続。その後、口座から決済サービスに入金、お金を使った。

ゆうちょ銀の場合、口座と決済サービスを接続する際の本人確認に甘さがあった。本人確認のセキュリティーを高めるには異なる要素を持っているか確認する「2要素認証」を行う必要がある。具体的には、口座の番号を知っている「知識」、電話や通帳などを持っている「所有」、指紋や顔などの「生体」のうち2つの要素を確認する。

ゆうちょ銀の口座と接続可能な決済サービスは12サービスあった。が、ゆうちょ銀側で2要素認証を導入していたのは2サービスだけ。なぜ一部の決済サービスにしか2要素認証を導入していなかったのか。ゆうちょ銀は会見で「ドコモの問題が出る前から、2要素認証導入のため決済事業者に強くお願いしていた」（田中進副社長）と説明した。