電子決済サービス不正引き出し~問題は2段階認証をしていないゆうちょと地銀にある
ニッポン放送 NEWS ONLINE / 2020年9月16日 17時40分
ニッポン放送「飯田浩司のOK! Cozy up!」(9月16日放送)にジャーナリストの佐々木俊尚が出演。不正引き出しが問題となっている電子決済サービスについて解説した。
電子決済サービスの不正引き出し
高市総務大臣は9月15日、ゆうちょ銀行が提携する電子決済サービスのうち、「ドコモ口座」以外にも5つのサービスで被害が確認されていることを明らかにした。ゆうちょ銀行は提携するキャッシュレス決済事業者12社のうち、合計10社との新規登録や入金サービスを一時停止している。
飯田)銀行の方も、ゆうちょだけではありません。
ドコモ口座ではなく、2段階認証していないゆうちょの問題
佐々木)ゆうちょで不正引き出しがあったのは、ペイペイなどです。これまでは「ドコモ口座がいけない」という話でした。そこにペイペイが入って来た。ドコモ口座とペイペイは違います。アカウントを登録する際、ドコモ口座で必要なのはメールアドレスだけで、携帯電話の番号もいらずに緩いため、それが原因だと言われていました。しかし、ペイペイは2段階認証です。IDとパスワードを登録するときには、自分の電話番号の登録が必要です。電話番号を登録すると、番号あてにSMSのメッセージで暗証番号が送られて来ます。その暗証番号を入力して、初めてアカウント登録が成立します。これはグーグル、アップル、アマゾンでもやっている世界標準ですが、そこも抜かれたということは、ペイペイやドコモ口座側の問題ではないのです。それらに銀行からお金をチャージするとき、銀行側が2段階認証をしていないことが問題なのです。要するに、今回のペイペイのケースで言うと、ゆうちょ口座の口座番号、氏名、生年月日、暗証番号4桁が抜かれてしまうと、どこにでもチャージできてしまうということです。
暗証番号がなぜ漏れるのか~さまざまな攻撃手段
飯田)横浜市港北区の“にごり酒”さん、52歳の会社員の方からメールをいただいています。「暗証番号を何らかの形で入手したと報道で伝えられていますが、どうやって入手するものなのですか?」とあります。
佐々木)いろいろな方法があります。海外で怪しげなサービスを利用してしまい、そこで使った暗証番号が漏洩して、そこから紐付けられ、同じ人物が持っている他のアカウントも同じ暗証番号だという、連想ゲームのようなこともできます。銀行のATMでお金を引き出すときに、カードを入れて暗証番号を3回ほど間違えると、カードが出て来なくなりますよね。
飯田)ロックがかかってしまいます。
佐々木)PCからネットバンキングを利用するときも同じです。同じ口座番号で別の暗証番号を試すと、ロックされてしまいます。でも暗証番号を「1234」としている人は世のなかに一定数いるだろうとして、その「1234」という暗証番号を入れ、口座番号を変えて行くというやり方をすると、ロックされません。パソコンだとカードが要らないので、口座番号「0000001」から順に、無数に試すことができてしまう。こういう攻撃方法があるのです。暗証番号は、わずか4桁ですから。
飯田)あっという間に抜かれてしまうのですね。
問題なのは2段階認証をしていないゆうちょと地銀~大手メガバンクは抜かれない
佐々木)ネットサービスのパスワード設定をするときは、大文字、小文字、数字を入れましょうなど、うるさいですよね。8桁以上にしろだとか。でも銀行は、わずか4桁で数字のみです。しかも2段階認証がありません。今回、ドコモ口座にしろ、ペイペイにしろ、大手メガバンクは抜かれていません。なぜかというと、2段階認証にしているからです。抜かれているのは、ゆうちょと地銀です。ゆうちょ、地銀は2段階認証がなく、暗証番号だけで口座から引き出すことができてしまいます。この問題は、ドコモは決して無罪ではありませんが、最大の問題はゆうちょと地銀が、緩い認証でお金を引き出せるようにしていることです。
ジャパンネット銀行と新生銀行の場合
飯田)ネットバンキングでやると、事前にトークンという小さな機材に、ワンタイムパスワードが発行されますよね。
佐々木)ジャパンネット銀行も、クレジットカードサイズの小さな液晶画面があって、ワンタイムパスワードである6桁の数字が毎回表示されます。新生銀行では、引き出しをしようとすると、スマホのアプリにメッセージが来て、スマホ側で認証しないとお金を送金できません。新しい銀行やメガバンクではそういう対応をしていますが、そこまでやっていないところが多いです。このように、IT化が弱いところを、デジタル庁で「何とかしてくれ」という話になるのですね。
デジタル化の流れに出て来るであろう、縦割りの問題
飯田)そうなると、一般の地銀の管轄官庁は金融庁になります。今回、高市総務大臣が会見したのは、ゆうちょはもともと郵政省であって、総務省だからということですよね。縦割りがいろいろなところに出て来そうですね。
佐々木)これでデジタル庁ができて、平井卓也さんが大臣になり、仮に「ゆうちょ、地銀の認証が緩すぎるから何としろ」と言っても、総務省と金融庁が「うん」と言わなければ進みません。総務省と金融庁からすれば、「新しい省庁が何をえらそうに言っているのだ」となります。その上にいる菅さんなどが、「やれ」と言わなければなりません。そうやって来なかったのが、この20~30年の霞が関の問題だったのです。過去に、電子カルテも早い段階から経産省は実証実験をしていて、「できます」と言っていたのに、反対したのは厚生労働省と医師会です。あげくに東日本大震災が起きて、カルテが津波で流出し、処方箋も出なくなって大変な目にあった。あれで電子カルテ化がようやく進んだのです。
飯田)それもメーカーによって規格が変わるから、互換性をどうするのかとか。
佐々木)本当はクラウドで統一したプラットフォームにした方がいいという話ですが、そうすると、あれやこれやと言って来る人がたくさんいます。あらゆる場面でそれが及んでいます。
飯田)メーカーの方は経産省、お医者さんは厚生労働省だし。
佐々木)教育では文科省が何か言って来たりと、みんな何か言いたくて仕方がないのです。「俺の権限は手離さない」という役人がたくさんいるので。
飯田)縦割りの問題は昔から言われているので、もう解決したのだろうと思いがちですが、そんなことはないですよね。
外部リンク
この記事に関連するニュース
-
飯田浩司・新行市佳アナウンサー 丸の内警察署 1日警察署長就任へ! 「令和6年 丸の内地域安全のつどい」
ニッポン放送 NEWS ONLINE / 2024年9月11日 16時21分
-
ニッポン放送・飯田浩司のそこまで言うか! 「原潜保有」「防衛費増額は増税ゼロで」論争を呼びそうな政策・主張が次々と 総裁選、候補者乱立でなりふり構っていられない?
zakzak by夕刊フジ / 2024年9月11日 11時0分
-
自宅を整理していたら、自分名義の「ゆうちょ銀行」の通帳を発見。10年ほど放置されていましたが、引き出せるのでしょうか?
ファイナンシャルフィールド / 2024年9月6日 2時10分
-
自民党 齋藤健・経済産業大臣が生出演 総裁選・推薦人20人が集まるかは 「一切答えないことにしている」
ニッポン放送 NEWS ONLINE / 2024年9月3日 10時40分
-
阪神ファン 飯田浩司アナウンサー、8月31日(土)「阪神×巨人」に登場!「ゲスト出演できるなんて夢のようです」
ニッポン放送 NEWS ONLINE / 2024年8月26日 8時0分
ランキング
-
1「ドーンという音がして黒煙が…」物流会社でガソリンを運ぶ大型トレーラー7台が焼ける 香川・坂出市
KSB瀬戸内海放送 / 2024年9月23日 9時40分
-
2能登豪雨、輪島市で新たに1人の死亡確認 死者は計7人に
毎日新聞 / 2024年9月23日 16時20分
-
3立憲民主党の新代表に野田佳彦・元首相…決選投票で枝野幸男氏を破る
読売新聞 / 2024年9月23日 15時43分
-
4「眠くて居眠りしてしまった」軽乗用車が横転 4台絡む事故 東京・墨田区の交差点
TBS NEWS DIG Powered by JNN / 2024年9月23日 14時26分
-
5立民現職代表再選ならず 代表選で泉健太氏は決選投票に進めず 当選1回吉田晴美氏も
日刊スポーツ / 2024年9月23日 15時54分
記事ミッション中・・・
記事にリアクションする
記事ミッション中・・・
記事にリアクションする
エラーが発生しました
ページを再読み込みして
ください