ゆうちょ銀行以外でも「不正引き出し」、金融庁が注意喚起

　ドコモ口座の不正利用問題が波紋を呼んでいる。高市早苗総務大臣が9月15日の記者会見で、ゆうちょ銀行へのヒアリング結果を公表して以降、同行が提携する決済サービスが話題にあがっている。ただ、問題は決済事業者だけではない。業界関係者は、「ゆうちょ銀行だけではない」と明かす。一連の問題について、金融庁は銀行や決済事業者に対し、注意を呼び掛けている。

●決済サービス事業者の対策
　決済サービス「Kyash」は、ゆうちょ銀行以外でも不正引き出しが確認されたため、新規登録と入金を一時停止したと9月15日に発表した。
　対象はイオン銀行。ドコモ口座が踏み台にされた際と同様、口座保有者ではない第三者が、不正に取得したイオン銀行の口座情報と個人情報をもとに、該当の口座を自身のKyashアカウントにひもづけ、口座残高を引き出したとしている。なお、発表時点で同社から顧客情報が漏えいした事実は一切なく、金融機関と協議の上、全額補償するという。あわせて、セキュリティの強化も進める。
　また、PayPayは9月16日からゆうちょ銀行と大分銀行の口座新規登録と口座からのチャージを一時停止している。ゆうちょ銀行については実際に不正引き出しが発生したためだが、大分銀行については「セキュリティを確認する目的で一時停止の申請があった」（広報担当者）という。大分銀行は被害が発生する前に対策しようと動いているが、広報担当者は「ゆうちょ銀行以外にも不正利用は発生している」と説明する。
　PayPayにおける不正発生率は、ゆうちょ銀行の不正引き出しを含めて0.00004％。ドコモ口座などと異なり、アカウント作成時に携帯電話番号を使用した2段階認証（SMS認証）を実施しているが、「携帯電話を契約するときから悪意がある場合は、防ぐのが難しい」（同担当者）。
　このほかPayPayでは、システムや24時間365日の専任スタッフによる監視体制の構築などを実施。銀行口座登録を本人確認とみなす仕組みはドコモ口座などと同様だが、一部のユーザーに対してPayPay側でも口座登録時にオンライン本人確認（eKYC）を導入しており、9月に対象を拡大したという。
　LINE Payも、アカウント作成時の電話番号認証や24時間365日体制のモニタリングを行っているが、ゆうちょ銀行以外でもごく少数の不正利用が発生しているという。PayPayと同様、携帯電話番号を取得するタイミングから悪意がある可能性が高そうだ。
　いずれのサービスも、不正利用の被害にあった場合は全額補償としている。できるだけ被害を防ぐために消費者は、個人情報を信頼できない第三者に渡さない、怪しいメールに返信しないなど、情報管理を徹底することが重要になる。
●金融庁が注意喚起
　一連の事態を受けて、金融庁は「資金移動業者の決済サービスを通じた銀行口座からの不正出金に関する対応について」を9月15日に公表した。
　銀行と決済事業者に対し、銀行口座を決済サービスに登録する際、キャッシュカードの暗証番号のみで認証するケースで被害が発生していることを踏まえ、連携の過程に脆弱性がないか確認することを要請。また、セキュリティの強化や、確認・強化期間中におけるチャージの一時停止、被害者への迅速で丁寧な対応についても実施するよう呼び掛けている。
　サイバー攻撃は日々高度化・巧妙化しており、対応にコストがかかる。ただ、問題が発生してからでは取返しのつかない事態に陥る可能性もあるので、サイバーセキュリティの重要性を認識し、コストをかけてでも必要な体制を整備することが求められる。
　登録のしやすさとセキュリティは二律背反だ。被害を避けるなら、多少複雑な申し込みも「仕方ない」と思われる時代が近づいているのかもしれない。（BCN・南雲 亮平）
【関連記事】
全国銀行協会、ドコモ口座を受けてウェブ口座振替サービスの認証強化を指示
高市総務大臣「NTTドコモだけではない」　ゆうちょ銀行の提携サービス5社でも被害
ドコモ口座の不正利用、被害総額2542万円へ 増加する可能性も
ドコモ口座を利用した一部銀行の不正利用被害　根底にあるのはITリテラシー不足
メルペイでも3件の不正被害、新規口座登録・チャージ時のeKYCを義務化へ