ゆうちょ銀行の不正引き出し、記者会見の一問一答まとめ

2

2020年09月17日 11:42  ITmedia NEWS

  • チェックする
  • つぶやく
  • 日記を書く

ITmedia NEWS

写真ゆうちょ銀行の田中進副社長
ゆうちょ銀行の田中進副社長

 複数の決済事業者の決済サービスを通して、ゆうちょ銀行の口座から不正に預金が引き出された問題を受け、ゆうちょ銀行は9月15日、被害者やサービスの利用者に謝罪した。同社が同日に開催した記者会見の内容の一部を一問一答でまとめた。



【その他の画像】



――公開している被害額(約1811万円)と件数(109件)の期間は?



田中:各決済事業者から聞いているもの。主に2020年になってからの数字だ。



――ドコモ口座の事案以降、(銀行と決済事業者の)セキュリティのシステムに問題があるように見える。どのように認識しているか、どちらに責任があると考えているか



田中:現時点で銀行サイドとしても、2要素認証を強力に実装していく必要があると強く考えている。セキュリティの問題は完全なゴールがない領域だ。技術の進歩にも目を配りながら、お客さまが安心して使えるサービスを引き続き提供していきたい。



――技術の問題でなく、決済事業者とのやりとりなど別の問題点もあるのではないか



田中:ご指摘の通り、(決済事業者とのやりとりなどにも)改善を図るべきという点もあり、2要素認証を入れたということを言っている。



――現在も稼働中の決済事業者として「ファミPay」と「pring」の2社を挙げているが、ファミPayは最初から2要素認証を導入していた。始めから2要素認証を入れていた決済事業者とそうでない事業者にはどのような違いがあったか



田中:私どもと決済事業者との間で相談をしながら、最終的には決済事業者側のテストなどを合わせてやっている。私どもとしては2要素認証を強く入れて頂きたいと(ドコモの事案が発覚する以前から)各決済事業者にお願いをしていて9月中に実施する予定だった。



――ドコモ以外に(2要素認証導入を)交渉していた事業者はあるか



田中:先週のドコモの報道以降、(ゆうちょ銀行の)スタッフに2要素認証未導入の決済事業者に対して、もう一度導入の交渉をするようにと指示した。決済事業者も極めて積極的に動いて頂いている。この1、2週間で現在のスケジュールが固まってきつつある。



――2要素認証をドコモ口座の事案以前から導入していた決済事業者とそうでない決済事業者について。ゆうちょ銀行が2要素認証の導入を連携の条件としていれば、全決済事業者が導入していたのではないか



田中:2要素認証を要件として交渉してきた事実はない。ただ、ドコモの事案以前から2要素認証をやらなければならないという認識があり、各決済事業者に強く依頼してきた。



――ファミPayとpringが2要素認証を導入したのはいつか。ゆうちょ銀行が2要素認証が必要であると認識した時期はいつか



田中:(ゆうちょ銀行が導入している2要素認証は)通帳の残高を入力するものを2019年の1月、電話認証(IVR)を2020年5月から導入している。ファミPayとpringとは同意の上で(2要素認証)が実現できている。2要素認証を準備した時期からできるだけ速やかに導入していただきたいと(各決済事業者に)お願いしている。



――ファミPayとpringのIVR導入は2020年5月以降からという認識であっているか



田中:はい。



――キャッシュレス決済が広まりだしてから、各決済事業者は口座数が多いゆうちょ銀行との連携を強く求めていたと思う。連携についてもっと慎重になるべきだったと考えているか、(キャッシュレス決済が)発展途上で仕方ない事案と考えているか



田中:これは2択の問題ではない。キャッシュレス決済事業者との連携は利便向上の観点から強く推奨していくべきだと考えている。一方で、セキュリティがないがしろになっていいものとは考えていない。両立しなければならない。セキュリティの強化については努力してきた。これからも努力していくべきものと考えている。



――預金口座情報の流出経路で分かっているものと、可能性が考えられるパターンはあるか



田中:流出経路については、現在分かっていないため申し上げられない。



――ゆうちょ銀行側から、不正が行われた情報と預金者の口座情報を照らし合わせて、注意喚起するようなことは技術的に可能なのか



田中:一度立ち止まって検討していきたい。銀行口座に対して第三者が不正アクセスしてきているわけではないため、一定の限界があるのではと現時点では考えている。決済事業者と協力することで、(注意喚起に)近いようなことができないか勉強させていただきたい。



――記者会見の冒頭から、(同日発表された)SBI証券で発生した不正送金事件に触れていない。ゆうちょ銀行と三菱UFJ銀行に作られた偽の銀行口座に送金、出金されたと(SBI銀)が発表しているが、ゆうちょ銀行として大した話ではないと考えているのか



田中:SBI証券の件のついては、午後3時以降に発表されたものと承知している。SBI証券の口座に不正アクセスがあり、出金用の口座にゆうちょ銀行が含まれていた件だが、セキュリティの問題なので決して軽く考えているわけではない。SBI証券の発表にもあるように、まずは全容の解明に尽くしたい。



――(SBI証券の件について)かなりクリティカルな問題だと思われる。回答がかなり受け身のように聞こえるが、ゆうちょ銀行としてあまり把握していないということか



田中:SBI証券からも情報共有されている。どのような手口かなど、調べてからでないと話すべきではないと考えている。ゆうちょの口座開設方法などを再確認しなければならないと私は認識している。



――証券口座からの振替出金で被害が出るのは初めてか



田中:全記録を調べたわけではないが、私の認識上では初めてのケースだ。



――ゆうちょ銀行から各事業者に2要素認証について協力にお願いしていたというが、最近まで導入していなかったサービスが多かった。これはなぜか



田中:過去にうまくいっていなかったが、現時点でできていることを考えると、もっと強力にお願いするべきだったと反省している。



――ゆうちょ銀行側は強くお願いをしていたが、各事業者が受け入れなかったということか



田中:(2要素認証を全てのサービスで)導入できていなかったのは、決済事業者だけの問題とするのは申し訳ないと考えている。ゆうちょ銀行側の説得性(を高めるなど)など、汗をかくべきだったと思っている。



――メルペイやKyashなどの2要素認証導入は最近だが、それまでは相手は否定的だったのか



田中:少なくとも合意はできなかったと認識している。



――15日昼の時点では、2要素認証を入れていないサービスも、サービス提供を継続しながら2要素認証を導入していくという方針だった。同日夜には提供を停止するという判断に変わったが、なぜ15日昼の時点でサービスを継続しようという考えになったのか



田中:(決済事業者の)利用者がゆうちょ銀行の預金者の口座数とほぼイコール。とはいえ、何も関係がないゆうちょ銀行の利用者が大変不安に感じている。できることなら、(サービスの)利用を続けていただきながら、不安を取り除く方法はないかと15日昼時点では考えていた。しかし、その後の関係者会議で、不安を取り除くには誠に申し訳ないが、サービスを停止することが妥当ではないかと判断した。



――(15日昼時点での)サービス継続という判断は間違いだったのではないか



田中:昨日の今日で事態も動いている。今の時点で昨日の判断がどうだったのかということについては、事態が落ち着いてから振り返りを行い、次の経営判断に生かしていきたい。



――SBI証券から被害についてゆうちょに連絡があったのはいつか



ゆうちょ銀行の事務局:9月10日。



――SBI証券での被害は金額的に約1億円くらいとあるが、現時点で分かっている被害の状況は



田中:事務局に(情報が)入ったのが10日で、私が一報を聞いたのは11日。16日にSBI証券が正式に公表したのも承知している。それなりの金額の問題でもあるので、今の時点で把握していることがあれば答えるが、臆測で申し上げるのは控えたい。



事務局:SBI証券が本日発表した内容にある銀行口座は、偽造の本人確認書類を使って作られたもの。証券口座の名義と合った偽造の本人確認書類を犯人グループが用意した。もともと証券口座のユーザーがひも付けた出金口座を変更したということを聞いている。変更に当たって同じ名義の口座を犯人が用意した。変更がなぜできたかというと証券口座のID、パスワードが盗まれた。犯人が口座を乗っ取る形になった。



――その際、印鑑照合はいらないのか



事務局:銀行口座自体は普通に窓口に行って本人確認書類で普通の手続きで作っている。証券会社の手続きでは特に印鑑は必要ない。口座番号と名義が合えば出金先に指定した口座に送金できる条件が整う。



――過去にこういったケースはあったのか



事務局:SBIの発表の中に三菱UFJ銀行の名前も出ていた。同じように口座が作られたと推測している。その点では証券会社の口座の出金先口座のひも付けは、おおむね証券業界では同じような仕組みがとられていると理解している。可能性としてはないとは言い切れない。



田中:証券口座に対する不正アクセスは一般的ではないと思っている。銀行口座はフィッシング対策などこれまでもセキュリティ面を強化している。証券会社に対する不正アクセスがどれぐらい一般的かは、証券会社の方に聞いた方がより的確だと思う。



――実際に1億円近い被害が出ている。責任、保証をどう考えているか



田中:今、当行として何かを考えがあるわけではない。SBI証券の報道発表についてもSBI証券が責任を持って速やかに保証する予定だと書いている。そういう理解をしている。



――2要素認証を導入した後のサービス再開に向けた判断状況は



田中:2要素認証は今日明日(に導入する)というスケジュールで来ているが、2要素認証ができたら直ちに再開しようと決めているわけではない。決済事業者と話をする必要がある。



――不正が起きた一因として、ゆうちょ銀行側で決済事業者に2要素認証の積極的な導入を促せなかった点にあると認めているか



田中:私どもの説明が欠けていたという批判については真摯に受け止める。2要素認証がこれまで私どもなりに各決済事業者にお願いしてきたと思っているが、結果を見るとお願いが十分だったかというと、われわれの方にも反省すべき点があると思っている。



――2要素認証の欠落が一因になったのは間違いないか



田中:できていれば事態は変わり得たと思う。



――決済サービスとゆうちょ銀行の口座をひも付けする際に、2要素認証を導入するかというのは事業者側の判断なのか



田中:合意の上でやるもの。システムの関係もある。



――セキュリティの強化は非常に重要で、普通に考えて強く要請したら導入すると思うがなぜ10社は採用していなかったか



田中:先方が答えるべきことだと思うが、一般論ではセキュリティを強化することになると、ユーザーにワンオペレーション、ツーオペレーションをお願いすることになる。できるだけ簡便にサービス運営することのバランスを考えるのは一般論としてはあるだろう。もっと前からこの(導入が進められる)状態ができていなかったのは残念だなとは思う。



――2要素認証を導入してもすぐにサービスを再開するわけではないとのことだが、ファミPayとpringは2要素認証導入した上でサービスを継続している。事業者間で不公平があるのではないか



田中:全部が全部ではないが、(サービスを)止めたところは被害が実際に発生している。そういう状況も現実問題として、再開にあたり考慮していく必要がある。



――即時振替サービス以外でも口座からの送金方法はあるが、それらの手段のセキュリティ対策は十分か



田中:今回のような不正に外にお金が出てしまうというリスクは仕組み上少ないと思っている。不正送金の手口はますます巧妙化するリスクがあるので、他社とも引き続き連携してセキュリティレベルは常に意識していく必要がある。



――即時振替サービスを使った決済サービス以外は、2要素認証を入れる対象ではないのか



田中:現時点ではそう思っている。



――ゆうちょペイには2要素認証入っているのか。被害は発生しているか



事務局:2月から2要素認証を導入している。被害は発生していない。



――LINE Payで発生した2件の被害は、LINE Pay社の認識では他と同様(第三者による不正)ではない(知人による犯行)としている。ゆうちょ銀行が被害件数に入れているのはなぜか



事務局:LINE Payと認識を合わせてこうした数字としている。LINE Payの認識が変わった可能性については同社と打ち合わせをしたい。



――被害状況の数字は、ゆうちょ銀行側が現時点で不正だと判断して出している数字なのか



田中:15日夜の段階で各決済事業者から把握している数字をもらい、取りまとめた数字だ。



――決済事業者はユーザー規模の拡大を目指しているが、ゆうちょ銀行は預金者の財産を守る立場。立場の違いについての認識は



田中:これからもフィンテック事業者と連携していきたいと思うが、指摘を頂いたことも肝に銘じて今後の案件については考える必要がある。今回改めて痛感している。



――結果的に被害が広がったことに対して経営責任の認識は



田中:まずは被害を心配されているユーザーに早急に補償することが一番大事。2要素認証の導入などをきちんとやっていくことが経営責任だろうと今は思っている。



――被害状況は決済事業者からの申告ベースとのことだが。口座の入出金の動きはモニタリングしているのか。今後の対策は



田中:口座の取引は主にマネーロンダリングの観点などでモニタリングしているのは事実だが、詳細については控える。決済事業者は(取引の)上限額を定めており、一つ一つのトランザクション(取引)は大きな金額ではない。ゆうちょ銀行の口座に対するアクセスが直接のものではないというのもあって、一定の制約がある条件での問題と思っている。



――認証を厳しくすると新規ユーザーをとりにくくなる可能性がある。将来的な考えは



田中:一般論としては指摘の通り。預金者の大切な預金を預かっていることを中心に置いて、トレードオフの問題を解決していくべきだ。



――チャージ手数料を期待して、2要素認証なしのまま事業者と接続したのか



田中:特段そういうことを考えていたわけではない。



――キャッシュレス事業者のセキュリティについてどう思うか



田中:今のこの時点では足元で起きていることをきちっとやっていくということが私どもに課せられた責務。今の時点で申し上げる立場にはない。



――電話認証(IVR)以外の認証手段は考えているか



事務局:いろんな手法がある中で、IVRは総合的に見るとベストではないかと考えている。状況を踏まえながら新たなものも対抗策として考えていきたい。



――SBI証券で、偽造本人確認書類を使って口座が作れてしまったのは致命的な話ではないか



事務局:仮におっしゃるような可能性がある場合は、決して軽々に考えているわけではない。この件はこの件としてきちんと対応していかないといけないと思っている。



――いつから決済事業者に2要素認証の導入を要請してきたのか



事務局:この機能を付けることでセキュリティが上がるだろうということで決済事業者と話をさせていただいた。個別の事業者との記憶は持っていないが、そういう機能が付いたということで決済事業者と認識合わせはした。



――2要素認証を強力に要請してきたというのは間違いないか



田中:そういう認識だ。



事務局:これについては強力にお願いしてきたということ。



――複数の決済事業者から「お願いされてない」とコメントが集まっている。他行ではすでに2要素認証の導入が進んでいる中で、決済事業者が消極的な姿勢だったという認識は疑わしい



事務局:われわれの認識としては強力に要請したが、決済事業者がそのように認識していないのであれば、それはわれわれの努力不足と反省している。



――顧客対応はゆうちょ銀行が窓口になっているのか



田中:当行に申し出があった方については、当行が窓口になって今後の補償の対応を進めるのは自然なこと。そこは当行が中心になって対応していくことになるだろう。



――不審な取引の調査やユーザーへの連絡を検討しているというが、検討はまだ続いているか



田中:まずは、現に心配だと言ってこられているユーザーをサポートするのが最優先だ。それに次いでおっしゃったようなところも検討しているが、今のところは、これをうあればいまくいくだろうというのは見つかっていない。



――多くの銀行は先週半ばくらいから不審な取引を調査している。ゆうちょ銀行はすぐに着手できないのか



田中:それも含めて考えていきたい。



――対応が遅い印象を受ける



田中:当然精いっぱいやっているつもりだが、指摘の点には真摯(しんし)に受け止めたい。



――前回の会見でゆうちょ銀行の池田憲人社長が、チャージ機能を停止しているから被害は起きないと説明していた。振り返ると、別の決済サービスから被害が起きる状況だったのではないか



田中:その時点で池田がお答えしたのは、NTTドコモについて答えたつもりで、食い違いはないと思う。全体像も見ていないわけでなく、早くに状況を踏まえて2要素認証を入れようと動いている。だからこそスピーディーに導入できるようになっている。



――ドコモ以外のサービスを使って不正引き出しができることを知りながら、ドコモの話だけをしたのか



田中:そうではなく、ドコモに関する質問に対して答えたと思う。



――外部の人間はその時点でドコモのことしか知らなかった。ゆうちょ銀行側は、なお危険な状態にあることを把握しながら、ドコモに限った話をしたのではないか



田中:ドコモについてはその時点で2段階認証を導入する予定だったので、それに加えてドコモ以外についても2段階認証を入れないといけないという認識は持っていた。知っていて違うことを答えたつもりはない。



――その時点でドコモ以外について話す必要は無いと考えていたのか



田中:必ずしもそういう意図ではないと思う。



――前回の会見で、ドコモ以外で被害が起きていることに触れなかったのはなぜか



田中:私どもとしてはその時点では、かなりの件数(の被害)が出ているのがドコモだと思ったので、その旨を答えたということ。五月雨的に発表をすることになった点については今後の改善点にしていきたいと思う。



――今後、ゆうちょ銀行と連携するサービスは2要素認証を必須化するのか



田中:まだ会社として決定しているわけではないが、今回の事象を踏まえると必須でお願いしないといけないと個人としては思っている。



―――2要素認証のない決済サービスがあると今後も不正引き出しの被害が想定されるということか



田中:現にこういう被害が2要素認証がないところで起きているので、そういう意味では、かなりのリスクがある状態に、そういうこと(2要素認証がない状態)を続けているとなってしまうと思う。



――今回の事件では「リバースブルートフォース」という手口が使われた可能性がある。このような事実はあったか



事務局:例えばパスワードを変えて試行するなど、犯人が(ゆうちょ銀行に)直接アクセスして試すという行為であれば検知できる。今回はそうではないのでそういう動きを検知するのは非常に難しい。今後もしっぽをつかむに至らない非常に難しい問題だと認識している。



――直接ゆうちょのシステムにアクセスされているわけではないから検知が難しいというが、即時振替サービスはNTTデータが開発したもの。NTTデータと情報共有はしていないのか



事務局:別の決済サービスを経由してゆうちょのシステムに入ってくるから、そこがつかめない。ベンダーがというより、このようなシステムの性質のために悪意のあるアクセスを見抜きにくいという認識。



――詳細なアクセスログがNTTデータにないということか



事務局:NTTデータにないというのがどういった意味か理解しにくい。



――総当たり攻撃のようなものがあれば、即時振替サービスの開発元であるNTTデータは検知ができるのでは



事務局:客の口座から決済サービスへのチャージが1日に10回や30回というように、回数があればちょっとおかしいんじゃないかとは考えられる。しかしパスワードを持って悪意をもったアクセスを見るのと、口座の不審な動きを見るのはちょっと観点が違う。不審な動きは口座の出し入れで見ていくことは可能。入出金の金額を見ていくしかない。



――再三の質問になるが、NTTデータとのアクセスログの共有はないということか。例えば同じIPアドレスから不審と思えるほどのログイン試行のログなどはNTTデータに残っていないのか



事務局:そういう意味では総合的にNTTデータとデータを共有して適正な判断を今後していくことも考えられる。事態を踏まえていろいろな角度から不正なアクセスの検知を考えていきたい。


このニュースに関するつぶやき

  • まるでゆうちょが不正アクセスしたかのような厳しい追及。吊し上げるべきは実行犯だと思うけどな。
    • イイネ!1
    • コメント 0件

つぶやき一覧へ(1件)

あなたにおすすめ

ランキングIT・インターネット

前日のランキングへ

ニュース設定