電子決済サービス不正引き出し～問題は2段階認証をしていないゆうちょと地銀にある

ニッポン放送「飯田浩司のOK! Cozy up!」（9月16日放送）にジャーナリストの佐々木俊尚が出演。不正引き出しが問題となっている電子決済サービスについて解説した。

ニッポン放送「飯田浩司のOK! Cozy up!」

電子決済サービスの不正引き出し

高市総務大臣は9月15日、ゆうちょ銀行が提携する電子決済サービスのうち、「ドコモ口座」以外にも5つのサービスで被害が確認されていることを明らかにした。ゆうちょ銀行は提携するキャッシュレス決済事業者12社のうち、合計10社との新規登録や入金サービスを一時停止している。

飯田）銀行の方も、ゆうちょだけではありません。

【ドコモ口座不正引き出し】会見するNTTドコモの丸山誠治副社長＝2020年9月10日午後、東京都千代田区　写真提供：産経新聞社

ドコモ口座ではなく、2段階認証していないゆうちょの問題

佐々木）ゆうちょで不正引き出しがあったのは、ペイペイなどです。これまでは「ドコモ口座がいけない」という話でした。そこにペイペイが入って来た。ドコモ口座とペイペイは違います。アカウントを登録する際、ドコモ口座で必要なのはメールアドレスだけで、携帯電話の番号もいらずに緩いため、それが原因だと言われていました。しかし、ペイペイは2段階認証です。IDとパスワードを登録するときには、自分の電話番号の登録が必要です。電話番号を登録すると、番号あてにSMSのメッセージで暗証番号が送られて来ます。その暗証番号を入力して、初めてアカウント登録が成立します。これはグーグル、アップル、アマゾンでもやっている世界標準ですが、そこも抜かれたということは、ペイペイやドコモ口座側の問題ではないのです。それらに銀行からお金をチャージするとき、銀行側が2段階認証をしていないことが問題なのです。要するに、今回のペイペイのケースで言うと、ゆうちょ口座の口座番号、氏名、生年月日、暗証番号4桁が抜かれてしまうと、どこにでもチャージできてしまうということです。

ニッポン放送「飯田浩司のOK! Cozy up!」

暗証番号がなぜ漏れるのか～さまざまな攻撃手段

飯田）横浜市港北区の“にごり酒”さん、52歳の会社員の方からメールをいただいています。「暗証番号を何らかの形で入手したと報道で伝えられていますが、どうやって入手するものなのですか？」とあります。

佐々木）いろいろな方法があります。海外で怪しげなサービスを利用してしまい、そこで使った暗証番号が漏洩して、そこから紐付けられ、同じ人物が持っている他のアカウントも同じ暗証番号だという、連想ゲームのようなこともできます。銀行のATMでお金を引き出すときに、カードを入れて暗証番号を3回ほど間違えると、カードが出て来なくなりますよね。

飯田）ロックがかかってしまいます。

佐々木）PCからネットバンキングを利用するときも同じです。同じ口座番号で別の暗証番号を試すと、ロックされてしまいます。でも暗証番号を「1234」としている人は世のなかに一定数いるだろうとして、その「1234」という暗証番号を入れ、口座番号を変えて行くというやり方をすると、ロックされません。パソコンだとカードが要らないので、口座番号「0000001」から順に、無数に試すことができてしまう。こういう攻撃方法があるのです。暗証番号は、わずか4桁ですから。

飯田）あっという間に抜かれてしまうのですね。

ニッポン放送「飯田浩司のOK! Cozy up!」

問題なのは2段階認証をしていないゆうちょと地銀～大手メガバンクは抜かれない

佐々木）ネットサービスのパスワード設定をするときは、大文字、小文字、数字を入れましょうなど、うるさいですよね。8桁以上にしろだとか。でも銀行は、わずか4桁で数字のみです。しかも2段階認証がありません。今回、ドコモ口座にしろ、ペイペイにしろ、大手メガバンクは抜かれていません。なぜかというと、2段階認証にしているからです。抜かれているのは、ゆうちょと地銀です。ゆうちょ、地銀は2段階認証がなく、暗証番号だけで口座から引き出すことができてしまいます。この問題は、ドコモは決して無罪ではありませんが、最大の問題はゆうちょと地銀が、緩い認証でお金を引き出せるようにしていることです。

ニッポン放送「飯田浩司のOK! Cozy up!」

ジャパンネット銀行と新生銀行の場合

飯田）ネットバンキングでやると、事前にトークンという小さな機材に、ワンタイムパスワードが発行されますよね。

佐々木）ジャパンネット銀行も、クレジットカードサイズの小さな液晶画面があって、ワンタイムパスワードである6桁の数字が毎回表示されます。新生銀行では、引き出しをしようとすると、スマホのアプリにメッセージが来て、スマホ側で認証しないとお金を送金できません。新しい銀行やメガバンクではそういう対応をしていますが、そこまでやっていないところが多いです。このように、IT化が弱いところを、デジタル庁で「何とかしてくれ」という話になるのですね。

ニッポン放送「飯田浩司のOK! Cozy up!」

デジタル化の流れに出て来るであろう、縦割りの問題

飯田）そうなると、一般の地銀の管轄官庁は金融庁になります。今回、高市総務大臣が会見したのは、ゆうちょはもともと郵政省であって、総務省だからということですよね。縦割りがいろいろなところに出て来そうですね。

佐々木）これでデジタル庁ができて、平井卓也さんが大臣になり、仮に「ゆうちょ、地銀の認証が緩すぎるから何としろ」と言っても、総務省と金融庁が「うん」と言わなければ進みません。総務省と金融庁からすれば、「新しい省庁が何をえらそうに言っているのだ」となります。その上にいる菅さんなどが、「やれ」と言わなければなりません。そうやって来なかったのが、この20～30年の霞が関の問題だったのです。過去に、電子カルテも早い段階から経産省は実証実験をしていて、「できます」と言っていたのに、反対したのは厚生労働省と医師会です。あげくに東日本大震災が起きて、カルテが津波で流出し、処方箋も出なくなって大変な目にあった。あれで電子カルテ化がようやく進んだのです。

飯田）それもメーカーによって規格が変わるから、互換性をどうするのかとか。

佐々木）本当はクラウドで統一したプラットフォームにした方がいいという話ですが、そうすると、あれやこれやと言って来る人がたくさんいます。あらゆる場面でそれが及んでいます。

飯田）メーカーの方は経産省、お医者さんは厚生労働省だし。

佐々木）教育では文科省が何か言って来たりと、みんな何か言いたくて仕方がないのです。「俺の権限は手離さない」という役人がたくさんいるので。

飯田）縦割りの問題は昔から言われているので、もう解決したのだろうと思いがちですが、そんなことはないですよね。