BI Daily Newsletter

【ゆうちょ銀行謝罪会見】「ドコモ口座」被害金額の過半数がゆうちょ、主張の食い違いも

japanpostbank-2

緊急会見の冒頭、深々と頭を下げるゆうちょ銀行の代表取締役副社長の田中進氏。

撮影:伊藤有

「一連のサービスを停止している。ご利用いただいている預金者の皆様にはご迷惑をおかけしていることを合わせてお詫びする」

「当行からのからの発信が十分なものでなかったという点についてもこの場をお借りしてお詫びを申し上げる」

9月16日16時、緊急会見を開いたゆうちょ銀行の代表取締役副社長の田中進氏は、会見冒頭に謝罪を口にし、ゆうちょ銀行がかかわる、決済サービス事業者にからむ不正出金の状況説明をはじめた。

ゆうちょ銀行の発表によると、現時点で把握している被害件数は109件、総額1811万円が不正出金の被害にあっている。

ゆうちょ銀行が示した資料では、そのうちNTTドコモの「ドコモ口座」の被害は82件、総額1546万円にのぼることがわかった。

NTTドコモは9月16日午前0時時点の被害申告状況として、被害件数145件、被害金額2678万円と発表している。

ドコモ口座の被害額のうち、過半数がゆうちょ銀行の預金口座からの不正出金だったことになる。

「二要素認証があればかなりのセキュリティーになった」

謝罪会見の資料

緊急会見で判明した被害金額。会見時点の総額1811万円のうち、1546万円がドコモ口座にからんだ不正出金だった。

撮影:伊藤有

犯人が不正出金したプロセスは、これまでのドコモ口座にからんだ状況説明と基本的には同じだ。他人になりすまして銀行口座と決済サービス事業者のサービスが紐づけられ、預金を引き出されていた。

ゆうちょ銀行が公開した資料では、ようやく、「ドコモ口座以外の決済事業者」で発生した不正送金に関して現時点の被害がわかった。最高金額のPayPay・141万円を筆頭に、合計約265万円ほどにのぼる(ただし、LINE Payの不正に関しては、持ち主と近しい人物によるものだと確認がとれた。リストアップはされているが、ドコモ口座などの不正とは様相が違うと考えられる)。

以上はいずれも、原則として2020年以降の被害件数・被害金額だ。

japanpostbank-1

撮影:伊藤有

田中副社長は、今回の不正出金にまつわる本人認証の不備について、二要素認証を実施すれば、完全ではないもののかなりのセキュリティーになるはずだ、との認識を示した。

また質疑のやりとりでは、ゆうちょ銀行としては「ドコモ口座の問題が発覚する以前」から二要素認証の必要性を感じており、仕組みは整えていた、という問題認識があったとする。

実際、2019年1月に通帳残高を入力する方式を、直近2020年5月には電話をかけてワンタイムパスワードを提供する方式を、それぞれ整備していた。

しかし、それらは大半の決済サービス事業者で実装されないまま、サービスが継続していた。ゆうちょ銀行側が二要素認証の必要性を感じていたのに、なぜ導入されないまま今日に至ったのか?

「事業者に二要素認証を強く求めた」「聞いていない」食い違う主張

japanpostbank-4

撮影:伊藤有

二要素認証をめぐっては、2つの謎がある。

まず1つめは「二要素認証の実装は難しかったのか」という問題だ。

ゆうちょ銀行の資料にあるように、連携を停止した事業者10社のうち、ドコモ口座、Kyashの2社は9月16日に、PayPayやLINE Payをはじめとする事業者も8社中7社が9月17日に、二要素認証を導入する見込みだ。

つまり、「緊急事態として取り組めば1週間強で実装できるもの」だったのに、少なくとも1年以上、セキュリティーの甘い状態を双方が「放置」していたことになる。

もう1つは、ゆうちょ銀行と事業者側の「食い違う主張」だ。

田中副社長によると、ゆうちょ銀行は、事業者側への二要素認証の導入を「強力に求めていた」とする。それが導入に至らなかった背景について、ゆうちょ銀行側は「認識の問題だが、(後押しに)もっと汗をかかなければならなかった」「(ゆうちょ銀行側の)努力不足」と、一定の落ち度は認めながらも「導入を強力に求めた」ことは一貫して主張した。

ところが、編集部が接触した一部の事業者は「ゆうちょ銀行側から二要素認証の導入を強く求められた」という認識は全くない、寝耳に水だと言う。両者の主張が、真っ向から食い違っているのだ。

あくまで一般論だが、銀行と事業者のパワーバランスを考えれば、銀行側から強く求められて「実装しない」という選択肢をとることは、なかなか想像しづらい。

この点の真実がどこにあるのかは、今後の取材のなかで明らかにしていくしかない。

最後に、ゆうちょ銀行と決済サービス事業者との接続再開は、今後どうなっていくのか。

現時点でも、ファミPayとpringの2事業者については、二要素認証を採用済みであることを理由に接続を停止していない。

ただし、田中副社長は、二要素認証の実装はあくまで再開のための要素の1つだという見方を示している。前出の接続停止中の事業者のうち9社は9月17日には二要素認証が導入完了する見通しだが、被害が出ている状況も鑑みて、早期の接続再開には慎重な考えを示した。

(文・伊藤有)

  • Twitter
  • Facebook
  • LINE
  • LinkedIn
  • クリップボードにコピー
  • ×
  • …

あわせて読みたい

BUSINESS INSIDER JAPAN PRESS RELEASE - 取材の依頼などはこちらから送付して下さい

広告のお問い合わせ・媒体資料のお申し込み