ChatGPT
記者会見で事態の説明をする、ゆうちょ銀行の池田憲人社長(右)と田中進副社長。
撮影:小林優多郎
ゆうちょ銀行が、同行の口座や連携サービスをめぐる不正に揺れている。
先週15日の会見に続き、9月24日に開いた記者会見では、同行を中心に発生したここ最近の不正事件の中間報告と、今後の対応について釈明した。質疑応答は100分におよぶ長丁場となった。
現在同行をめぐる不正送金などの被害は、大きく3点が確認されている。
- ドコモ口座を発端に被害が判明した「即時振替サービスの不正利用」
- SBI証券への不正アクセスにからみ、偽造書類で開設したゆうちょ銀行の口座に不正送金した事件をめぐる「口座開設時の本人確認の問題」
- 記者会見前日にゆうちょ銀行から正式に注意喚起が出されたデビット・プリペイドカードmijicaを使った「mijica会員間の不正送金」
この3つだ。
田中進副社長とともに登壇したゆうちょ銀行社長の池田憲人氏は、上記の問題を踏まえてゆうちょ銀行が提供するキャッシュレス決済サービスについて、社長直轄のタスクフォースを設置し、セキュリティの堅牢性の確認や利用状況のモニタリングなどを、10月末までをめどに総点検することを表明した。
スマホ決済サービスでの不正チャージ補償は10月中にも
ゆうちょ銀行のWebサイトのトップにはさまざまな注意喚起のお知らせが並んでいる。
撮影:小林優多郎
現在の「即時振替サービス」の被害状況だが、すでに公表済みのものを含めて約380件で約6000万円(9月22日時点)となっている。
9月16日の会見時点では109件、総額1811万円が判明していたが、その後、過去の被害150件(約3400万円と公表)と、新たに100件の被害(差し引き780万円ほどの計算)に広がった形だ。
ただ、これら被害報告は利用者からの申告が中心となっているため、今後も引き続き増減が発生する可能性はある。今後、決済事業者と連携し、必要な調査を済ませたうえで早期補償に向けた手続きを進めていくという。現状で把握されている約380件については、10月末をめどに補償を完了させる。
直轄で「総点検」に取り組むことを決めた池田社長。
撮影:小林優多郎
ゆうちょ銀行によると、先週15日の会見のタイミングで、即時振替サービスを利用する決済事業者全12社のうち、口座接続に際して「2要素認証を行ってない10事業者」のチャージや口座の新規登録、変更を止めている。現時点で2要素認証の対応が進んでおり、今後同じ手法での不正利用が発生することはない、と説明した。
また、一連の問題による被害の全容把握のため、サービスを停止している決済事業者に接続された口座を持つすべての利用者について、心当たりのない取り引きがないか、今後確認を進めるという。
サービスごとにばらばらだった口座やアカウントの「名寄せ」をした結果、複数の事業者に重複登録しているものを合わせて、550万口座が現在特定されている。これら利用者すべてに対して、メール発信やダイレクトメール発送を通じて注意喚起を行う。
また会見当日の新聞各紙の朝刊に「お詫びとお知らせ」広告を掲載し、さまざまな手段を通じて広く周知していく考えだ。とくに即時振替サービスの取引状況から「より注意が必要」と判断された約600口座については、個別に電話での確認も実施する。
9月24日の朝日新聞朝刊に掲載された、ゆうちょ銀行「お詫びとお知らせ」。心当たりのない取り引きがないか、ゆうちょ口座の確認を呼びかけた。
撮影:浜田敬子
なお、今後、ゆうちょ銀行をかたって暗証番号を盗むなどの犯罪行為が新たに発生する恐れもある。田中副社長は「ゆうちょ銀行からお客様の口座暗証番号を求めることは一切ない。くれぐれもご注意いただきますようお願い申し上げます」とした。
偽造書類による、ゆうちょ口座開設は「写真付き身分証」で厳格化へ
記者会見で配られた資料。
撮影:鈴木淳也
今回のゆうちょ銀行にまつわる一連の問題のうち、おそらく一番深刻で、利用者に大きな影響を与える可能性が高いのが「口座開設時の本人確認手続きの厳格化」だ。
「(SBI証券の問題については)さまざまな状況から不正に作成された本人確認書類が用いられたと判断せざるを得ない」(田中副社長)
という認識が背景にある。窓口での本人確認の甘さから、流出先の1行として、9229万円という巨額の不正出金へとつながっているからだ。
9月24日から開始した本人確認の厳格化では、口座開設時の本人確認書類を原則「顔写真付きの本人確認書類(住所、氏名、生年月日の記載があること)」に統一する。
従来までは顔写真のない本人確認書類しかない場合であっても、2種類の確認書類、または補完書類の追加や郵送による住所確認で対応可能だったが、今後は運転免許証やマイナンバーカードなどに限定される。
なお、これらは原則とし、顔写真付きの確認書類を持たない利用者については、個別の相談を求めた。
また、外国人の口座開設もいっそうの厳格化を進める。これまでも在留カードと、学生証など組織への所属が確認できる書類提出が必要だったが、10月以降は在留カードの情報をデータベース化し、在留期間が満了すると、再提示がない場合に取引制限がかかるようになる。
SBI証券にまつわる不正口座については、現在捜査中の事案のため「(手口などの)詳細はお答えできない」(田中氏)とするが、これら本人確認の厳格化によって当面の穴を塞いだ形だ。
mijicaでの不正送金はいかに行われたのか
ゆうちょ銀行の公式ページでもmijicaの取り扱いが停止したことを知らせている。
撮影:小林優多郎
今回の会見で新たに浮上したのが、デビット・プリペイドカード「mijica」の送金機能(「おくってmijica」)を使った不正送金被害の問題だ。
ゆうちょ銀行の報告によると、2020年8月から9月にかけて計3回、複数の利用者のmijicaカードから不正送金され、ショッピングでの利用が確認されたという。
ゆうちょ銀行のプレスリリースで示された不正送金の説明。複数の口座から不正利用者の口座へと送金され、それがショッピングで使われた。
出典:ゆうちょ銀行
今回のケースでは、被害を訴える利用者側からの申し出を受けて調査し、被害者と不正利用者双方のmijicaカードを都度、すぐに停止している。被害の発生を踏まえ、9月11日にまずmijicaの送金金額や送金回数の上限を引き下げ、9月16日時点ですべてのmijicaカードの送金機能を停止した。
はたして現時点で判明している被害りすべてなのだろうか?
同社ではmijicaカードの問題報告を受け、2018年1月以降に始まった会員間送金機能を利用したすべての取り引きに対してスクリーニングを実施した。
とくに「“1カ月以内に2件以上の送金を受けた受取人”に対して、送金した会員」「送金前に利用通知メールの宛先を変更した会員」「メール宛先の変更後に短時間で送金を行った会員」を中心に調査した結果、問題に該当する会員は発見できなかったという。
記者陣からの矢継ぎ早の質問に対応する田中副社長。
撮影:小林優多郎
現在判明しているmijicaにまつわる被害は、計54名で332万2000円。8月8日に4名、9月6日に7名、9月15日に43名という内訳だ。傾向から判断して、最初に不正送金の可能性を試しつつ、事件が判明してサービスそのものが停止される前に、一気に犯行に及んだというのが正しいだろう。
9月22日の時点ですでに電話またはメールで被害者のうち51名には通達済みで、9月末をめどに補償対応を完了させていくという。不正送金の手口については現在調査中としているが、SBI証券の件と同様に警察当局が捜査中の案件であり、アクセス状況や不正送金を行った利用者の属性や利用状況(どのエリアで買い物が行われたのかなど)については説明を控えた。
mijicaの不正送金をめぐっては、まだその手法で未解明の部分が多い。
機能の利用はWebサイトへのログインが必要だが、IDとパスワードの入力に加え、送金時に送金者(今回の場合は被害者)が保有する「mijicaカード裏面のカードID(5桁数字)」の入力が必要な仕組みだ。
どのような方法で、この5桁の認証を突破したのか?詳細が判明するのは捜査の進展を待つことになりそうだ。
(文・鈴木淳也)
