ドコモ口座など複数の決済サービスを通してゆうちょ銀行の口座から不正に預金が引き出された問題で、ゆうちょ銀行の池田憲人社長は9月24日、謝罪した。同社は今後、サイバーセキュリティ体制の総点検や本人確認の厳格化、VISAデビット・プリペイドカード「mijica(ミジカ)」の一時停止などを行う。

 池田社長が会見で話した、各連携サービスの被害状況と対策を以下にまとめた。記事末には質疑応答の一部抜粋も掲載する。

●22日時点での各連携サービスでの被害状況 

「ドコモ口座」などの電子決済サービス

 ドコモ口座など即時振替サービスを活用した決済サービスを悪用して不正に現金が引き出された事件を巡り、ゆうちょ銀行が22日までの時点で確認した被害件数は合計380件で、被害額は合計6000万円。ドコモ口座の他に「PayPay」「LINE Pay」「メルペイ」「Kyash」「PayPal」などでも被害があった。

 18日には計137件、2205万円の被害としていたが、今回の発表で被害件数は380件に増加。このうち約150件は2017年から19年末までに発生しており、被害額は3400万円に上るという。

SBI証券

 16日にはSBI証券が、同社の証券口座から約1億円の資金が不正に引き出されたと発表。犯人は偽造した本人確認書類で作成した不正なゆうちょ口座を使い、不正ログインしたSBI証券の口座からゆうちょ口座へ約9000万円を引き出したという。

mijica

 23日には、ゆうちょ銀行が提供するmijicaを利用した不正送金が約332万円見つかった。犯人はmijica利用者のアカウントに不正ログインし、犯人のmijicaカードへ送金したという。

●他社決済サービス:決済事業者との連携時に2要素認証導入

 ドコモ口座などを経由して発生した事案については、他社決済サービスと連携しているゆうちょ口座約550万件を特定した。口座の所有者に不審な取引がないか確認するよう個別に案内をするという。取引状況などから、特に注意が必要と判断した600口座の所有者には、電話でも取引履歴の確認を求める。被害を受けた預金者への補償は10月中をめどに行う。

 今後、決済サービスでアカウントに口座を登録する際には2要素認証を求めるようにする。現在、口座の登録やチャージ機能を中止している10の決済サービスで、2要素認証の導入が完了したという。

●不正なゆうちょ口座作成:口座連携時の本人確認を厳格化

 SBI証券を経由した不正利用問題では、何者かが偽造した本人確認書類を使ってゆうちょ銀行の口座を開設したことが問題が起こった一因となった。これを踏まえ、ゆうちょ銀行は24日、顔写真付きの本人確認書類でなければ口座を原則開設できないよう本人確認の厳格化を行うと発表した。

 SBI証券を経由した不正利用問題で作られた不正なゆうちょ口座は5口座。いずれも顔写真のない本人確認書類が使われた。調査によると、それぞれ別の窓口で口座開設の処理を行っており、個別の書類には不審なところが見つけられなかったという。一方、5件の本人確認書類を並べてみると筆跡が酷似していることから、同一人物によるものではないかと考えられるという。

 これまで、ゆうちょ銀行では口座開設時に本人確認書類と書類の郵送による住所確認を行ってきた。本人確認書類は顔写真がないものでも良かった。同行の田中進副社長は「この手続きは慣習に基づいた一般的な方法」というが、今後は顔写真付きのものを必須とした。

 田中副社長は会見で「顔写真付きの本人確認書類のみを認めることにすると、利用者には負担を掛けることになる」としながらも「現状も顔写真付きの本人確認書類を提出する人が大多数」「顔写真なしの本人確認書類が巧妙に偽造されている」という現状を鑑みて決断したと説明した。

●mijica:一時停止し調査

 mijicaでの不正送金事案については、mijicaは送金の際にカード番号の下5桁を入力を行うことでセキュリティ対策としていたが、「セキュリティについてはもう一度見直す必要がある」(田中副社長)という。

 まずはサービスを一時的に停止。利用者約20万人に対して注意喚起を行うとともに、被害を受けたユーザーへの補償を9月中に行う。

 ゆうちょ銀行はmijicaで送金機能を始めた2018年1月当初から現在までに行われた送金を調査し、(1)1カ月に2件以上の送金を行った、(2)通知メールの宛先を変えた、(3)宛先変更後すぐに送金を行ったという条件に該当するユーザーを洗い出した。全てに該当するユーザーはいなかったが、(2)までに該当するユーザーには個別に連絡して確認を行う。

 具体的な対応策はまだ決まっていないが、mijicaのセキュリティ強化対策も検討する。

●社長主導でサイバーセキュリティ体制を総点検

 池田社長は「安全性に対するゆうちょ銀行内部の全体のリスク感度が非常に鈍かった」として、社長主導で同行が提供するキャッシュレス決済サービスを総点検するタスクフォースを立ち上げた。

 10月末までをめどに、即時振替サービスや決済サービス「ゆうちょPay」、mijicaなどを対象に、サイバーセキュリティ対策や取引状況のモニタリングなどを行うとしている。ゆうちょPayなど現在停止していないサービスを、調査のために一時的に止める予定はないという。

●情報公開、対応の遅れ

 池田社長は会見で「公表が遅れることで関係者に多大な迷惑を掛けた」として謝罪した。

 情報開示の在り方については「下手な話をすると間違って伝わってしまうという恐怖もある。(情報を)精査してから発表したいという思いから(発表が)遅れてしまった」としながらも「社会的に大きな問題であり、ユーザーの不安があるような情報についてはできるだけ早く開示しようという意思はある」と答えた。

 田中副社長は、問題発生後の対応について「結果論ではあるが、正しい判断だったとは言いがたい」とした。

●質疑応答(一部抜粋)

――一連の事案説明や被害報告に問題はなかったか

池田:(以前の会見で)ドコモ口座以外の事象を把握しながら(当時の会見で)公表しなかった件について大変申し訳ない。その時点で公表についての段取り調整が進んでいなかったこと、そして質問がドコモの件について受けたという認識から、ドコモの件について回答した。今振り返れば、総務大臣に報告したその他の事象も早急に公表すべきだったと考えている。深くおわびしたい。

――mijicaの不正利用について。不正利用者側がデビット(即時決済)機能付きVisaプリペイドカード「mijica」を作成している。不正利用者が口座開設をしていると思うがどうなっているのか

田中:その口座の調査を進めている。この件は捜査当局に相談しているので、この場での情報開示は控えたい。

――(犯人が)口座開設しているのか、それとも誰かの口座を悪用しているのか

田中:そこまで突き止められていないのが実情。

――mijicaのでは送金の際に5桁の番号を入れるが、この仕組み自体はいつ始まったものか

田中:2018年1月のmijica導入当初から入っている

――mijicaの会員数は約20万とあるが、mijicaで被害にあう可能性がある人は最大約20万人という認識で合っているか

田中:その通りと認識している。

――口座開設の厳格化について。ゆうちょ銀行は他の銀行に比べて口座が開きやすいといった認識はあるか

田中:従来のやり方について、犯罪収益移転防止法に基づいたもので一般的なフローの範囲だったと認識している。

――口座開設に写真付き本人確認書類を必須化するとあるが、利便性は確保できるのか

田中:お客さまに負担を掛けるのは事実だが、顔写真なしの本人確認書類で巧妙に偽造されているという現状を考えると、(顔写真なしは)リスクが高い。現在も顔写真付き本人確認書類で口座開設を受け付けているのが多数。原則として限定すると社内協議で決めた。難しいお客さまについては都度ご相談いただくことになるだろう。

――mijicaについて、8月8日に最初の不正送金が起きて翌日に対処された。ドコモ口座の問題が起きた時点でこういった問題は把握されていたと思うが、なぜ発表が遅れたのか

田中:一連の経過を鑑みると、現時点ではいち早く公表するべきだった、またはサービス停止を検討するべきではなかったかと考えている。

――mijicaについて。不正送金で使われてしまった脆弱の部分についてどう分析しているか

田中:1つはセキュリティについてカード番号の下5桁を入れるということで確保してきたつもりだったが、現実に50件近い被害が出てしまった。mijicaのセキュリティについてもう一度見直す必要がある。具体策については早急に議論を社内で行う必要がある。

――mijicaの利用実績は

事務局:半年で1200人ぐらいの方に利用されている。

――銀行口座の本人確認について、内閣府などマイナンバーカードの普及を推進しているところではICチップを使った本人確認は推奨しているが、検討しているか

田中:そういうことについても検討していかなければいけない課題だ。

――決済サービスの総点検について、その際にゆうちょ関連のサービスを止める必要性はあるか

池田:できるだけ(サービスの提供を)並行してやりたいと思っている。お客さまにご不便をかける部分についてできるだけ早く再開を目指したい。(ゆうちょ銀行は)スマホ関連サービスで遅れている。早く追い付きたいと考えている。何を手本にするかは私の頭の中にいくつかある。どういったお客さまとお取引をするか、認証の問題、モニタリングの問題、補償の問題、これらをうまく絡めて新しい体系を作っていきたい。

――電子決済の送金を止めているが、新たにサービスを止めることはあるか

田中:(ゆうちょPayなどを止めることは)ない。

――モニタリングというのは、これから新たにセキュリティ対策として(モニタリング体制を)作っていくということか

田中:認証を突破されたとしても一定の期間で止められる仕組みを作りたい。

――(セキュリティ対策について)ゆうちょ銀行だけではなく、他社との連携については

田中:キャッシュレス推進協議会がガイドラインを作られた。問題意識があったと思う。それらに沿って対策していきたい

――mijicaは不正送金だけで不正チャージなどは発生していないか

事務局:確認されていない