ゆうちょ銀行の口座から、複数の決済サービスを使った不正出金の被害が相次いでいる問題で、同行の池田憲人社長と田中進副社長が9月24日、記者会見で謝罪した。記者からは被害公表やサービス停止などの対応の遅れが指摘され、池田社長は「少しでも早く公表すべきだった」と回答した。

 ゆうちょ銀行によると、決済事業者と連携する即時振り替えサービスを悪用した不正出金の被害は380件で、被害総額は約6000万円(24日午後時点)。16日時点の109件、約1811万円から拡大した。同行が発行するデビット・プリペイドカード「mijica」でも、会員間の送金サービスを悪用した被害が54件発生し、被害総額は332万2000円(24日時点)という。各サービスは16日に一部をのぞき、チャージ機能を停止している。

●公表・対応に遅れ 「反省している」と池田社長

 11日時点で、池田社長はドコモ口座以外でも被害が起きたことを知っていながら、公表しなかったという。池田社長は24日、このことを謝罪をした上で「件数公表の段取りが付いておらず、ドコモの件について聞かれたので(当時は)そのことには答えた。しかし総務大臣にも報告していたため、(ドコモ口座以外の被害についても)少しでも早く公表をすればよかったと反省している」と釈明した。

 ドコモ口座以外でも被害があった事実は、15日に高市早苗総務大臣(当時)が閣議後の記者会見で明らかにした。翌16日には、ゆうちょ銀行が記者会見を開き、田中副社長がドコモ口座以外も含む、決済事業者7社で即時振り替えサービスを悪用した被害があったと報告した。

 この会見の時点で田中副社長は、ゆうちょ銀行が発行する「mijica」でも被害があると認識していた。しかし「その時点では、即時振り替えサービスとは違う話であるとして触れなかった。mijicaの件は(mijica会員内に)閉じている中の被害で、被害者への個別の謝罪対応も可能だと考えた」(田中副社長)と説明した。

 同行によると、mijicaの不正送金被害が初めて発覚したのは8月9日。不正利用者のアカウントは判明した時点で停止しているという。しかし、初めに対策が取られたのは9月11日で、mijicaで使える送金金額と送金回数を引き下げるという対応だった。その後も被害は発生し、16日に送金サービス全体を停止した。この点について、田中副社長は「(早い段階で)被害を公表、サービスを停止すべきだったと考えている」と振り返る。

 ゆうちょ銀行は、被害を公表する基準として、社会的な大きな問題であること、多くの顧客に影響が出ることの2点を挙げる。池田社長は、今回の被害がこれらに当てはまっているとした上で、「できるだけ早く開示しようとしたが、正確な精査をした上で開示をしたいと考え、対応が遅れた。反省している」と謝罪した。

●カードIDは何度でも入力可能な状態 「リスク感度が鈍かった」

 同行は、外部と連携する即時振り替えサービスから被害が発生した原因として、二要素認証を導入していなかったことを挙げている。24日現在、被害が発生していないサービスも含め、二要素認証を導入していない決済サービスとの連携は全て停止。各サービスで二要素認証の導入を進めている。

 自社発行のmijicaでの被害は、会員サイト「mijicaWeb」への不正アクセスによって起きた。mijicaWebへのログインにはID・パスワードが必要で、送金時には送金者(被害者)が保有しているカードの裏面に記載してある5桁のカードIDを入力する必要もある──と同行は説明したが、この5桁のカードIDは入力を間違えてもロックが掛からない仕組みで、第三者が何度でも入力できる状態だったという。

 池田社長はセキュリティ対策の甘さについて、「決済事業者との連携については、両社の間で安全性を議論してきたが、もう少し積極的な点検が必要だった」「自社サービス(mijica)については、新しい事業として手を掛けていた『ゆうちょPay』を優先して、mijicaへの対応が後手に回った」と説明した。「(全体を通して)リスクの感度が鈍かった」(池田社長)

●池田社長が直接指揮するタスクフォースを設置

 今後の対応として、池田社長が直接指揮するタスクフォースを設置。即時振り替えサービス、ゆうちょPay、mijicaを対象に、決済事業者との取引の見直し、認証方法などセキュリティ対策の改善、モニタリングと補償などの“総点検”を10月末まで行う。ゆうちょPayなど、現在も通常通り提供しているサービスは、停止せずに進めるという。

 池田社長は、認証を突破されたときも一定の期間で止めるという対策を講じたいとし、そうした仕組みの導入も検討しているという。

 また、ゆうちょPay、mijica、即時振り替えサービスが連動していないことにも問題があると指摘。システムを連動させ、ガイドラインを設けて運営していく方針を説明した。「サービスを提供する責任をもう一回深く考え、対応したい」(池田社長)