日記帳だ! with Tux on Libserver

二度目の大改造!! 日記帳…か?を継承し、より柔軟でパワフルなBlogに変身しました。

RSSに対応しています。リンク・コメント・トラックバックは自由にしていただいてほぼ問題ありません。
RSS購読方法、僕のリンク・コメント・トラックバックについての考えを読むことをおすすめします。

<< 過去

未来 >>

過失に対して自衛できるか?

先日、「d払い」のチャージ方法「ドコモ口座」を使って、不正に口座残高を引き出される被害が出てるという話を書いた。

どうしてd払いが狙われた?

その後、やはり他でも件数・金額の差はあれど被害が出ていることが判明して、

被害が出た銀行の中では事業規模が大きい ゆうちょ銀行 では10のサービスで新規登録・振替を停止した。

やっぱりあるんだなぁって。


不正利用について、どのようなアクセスがあったのかということが調査されているが……

ドコモ口座 不正引き出し 10のIPアドレスから不審なアクセス (NHK)

どうも、暗証番号をあてずっぽうで当てたわけではなく、口座番号・暗証番号のペアをあらかじめ知ってたんじゃないかとのこと。

フィッシング詐欺などで口座番号・暗証番号のペアを入手していたのでは? という話もあって、

もしそうだとすると、利用者の過失を問われる可能性もあるのかもしれない。


当たり前ですけど暗証番号は本当に必要なところ以外に漏らしてはいけないわけですよね。

金融犯罪にご注意ください! (ゆうちょ銀行)

こうして警告しているにもかかわらず、暗証番号を漏らすというのは利用者の過失なわけですよね。

ゆうちょ銀行では、ゆうちょダイレクト や キャッシュカードの不正利用について、一定の条件で補償すると言っている。

ただ、利用者に重大な過失があった場合や、同居人や二等親以内の親族に引き出された場合は補償しないと言っている。

(この辺のルールは他行でも似たようなもんだと思う)

単に4桁の暗証番号を漏らしたことを重大な過失と言えるかはわからないが、

重大な過失とまで言えなくても、何か過失があったことが判明すれば、全額補償しないことがあるとも書いてある。

今回のケースに適用するかは不明だけど。


ただ、一方で利用者側にとってみれば、4桁の暗証番号を漏らしただけで不正利用されてはたまったものではないという考えもある。

そこに対して自衛策があるかという観点もある。

キャッシュカードの不正利用について、ICチップ付きキャッシュカードと生体認証の普及を進めているわけだが。

ゆうちょICキャッシュカードのご案内 (ゆうちょ銀行)

磁気ストライプ・ICチップ・ICチップ+指静脈認証 のそれぞれについて限度額を設定できる。

磁気ストライプの限度額を0円にすれば、スキミングの被害を受ける可能性はなくなる。

指静脈認証を使わない場合の限度額を0円にすれば、カード盗難による被害を受ける可能性はごく小さくなる。

そういう観点で利用者側で対策していることはそう多くないだろうけど。

(ATMではICチップ取引しかしないだろうと思いつつ、J-Debitを使う可能性があるので磁気ストライプ取引の限度額を0円にしがたい実情もある)

どちらかというとICチップ利用時、生体認証利用時に希望によって上限額を引き上げられることの方が嬉しいかも。


ネットバンキングもそうですよね。

ちなみに僕が契約しているインターネットバンキングでは、下記の通り、認証の強固化を行っている。

  • ゆうちょ銀行 : スマートフォンでの生体認証 と PINコード の両方が必須
  • 住信SBIネット銀行 : スマートフォンでの生体認証 または PINコード が必須
  • みずほ銀行 : ハードウェアトークンが必要
  • 三菱UFJ銀行 : スマートフォンで発行されるワンタイムパスワードが必須

そういえばスルガ銀行は利用者側で設定できる強固化はないんですよね。

一方でスルガ銀行では取引内容によってE-mailによるワンタイムパスワードを併用するようにしている。

僕はそのE-mailの送信先を携帯電話のMMSにすることで、ワンタイムパスワードの流出リスクを下げている。


ただ、今回の Web口座振替受付サービス は自衛策に乏しいんですよね。

この口座振替の設定は何かのサービスに付随するものではないと思う。あらかじめ口座振替の限度額を決めるのもあり得ない。

キャッシュカード持ってなければ暗証番号もないかも知れないけど……今どきそんな使い方できるのかな?

そこら辺を考慮すると、暗証番号の流出は確かに過失かも知れないが、

暗証番号流出があった場合に想定されるリスクの範囲を想定していた人も、さすがにこれは気づかなかったのでは?

対策するにも、口座振替設定の認証が簡易な銀行に口座を持たない、あるいは残高を少なくするという以外の有効な手はないよね。

(だからこそ、ゆうちょ銀行は一時的に問題となりそうなサービスの新規登録・振替を停止したわけですよね)


あと、だいたいの銀行で「同居人や二等親以内の親族」だとか一定の関係の人による被害は補償しないと言っている。

もちろん、そこには合理的な理由もあるとは思うのだが、親族であっても他人は他人なんですよね。

そういう不正利用もできるだけ防ぎたいが、なかなか実現手段に乏しいところはあるかもしれない。

1つの打開策は生体認証ということになろうと思う。

スマートフォンの生体認証でできることも増えてきましたからね。


不正利用の被害を完全になくすことは難しいと思うね。

理論上はこうすれば……というのがあっても使える人が少なければ意味は無いわけですよ。

一方で、根本的に強固になったと言えなくても、操作の手間が増えれば被害が少なくなるというのは、

d払いとそれ以外のPayPayなどの被害件数の差を見てもわかるところはある。

そういう意味では手間ばかりかかってそこまで強固になったか? という対策もご勘弁ってことだね。


そういえば、この話とは直接関係ないんだけど、スマートフォンに「イオンウォレット」というイオンカードのアプリを入れてて、

これの用途の1つにはサンキューパスポートをはじめとするイオンで使うクーポンを表示するというものがあって、

それはこのアプリ特有のものではあるけど、このアプリは明細確認にもよく使っている。

明細確認ならばPCからWebサイトにアクセスしてもよさそうなのだが、ほぼ毎回、E-mailでのワンタイムパスワード認証を要求されるんだよね。

それが煩わしくて、スマートフォンアプリで生体認証でログインしたら必ず回避できるわけですから。

このPCからログイン時にワンタイムパスワードを要求されるのはリスクベース認証である。

本当に強固化されてる? とは思うんだけど、少しでも難易度が上がれば効果のある可能性はあるんですよね。

接続環境が変わったときなどに追加認証を要求する仕組みなんだけど、なんかPCからだと妙に厳しい。


銀行によってはこういうことも増えてくるかも知れない。本当に効果があるのかなという操作ばかり増えると。

一方で、生体認証を利用するとか、そういう強固な手段を使っている人への恩恵も欲しい。

前の記事にも書いたけど、インターネットバンキング相当の認証ができれば救える部分は多いんですよね。

まずはそこだと思いますね。もちろんそれでも不十分なところはあるんだけど、利用者側にとっても打てる手は増えてくるので。


Author : Hidemaro
Date : 2020/09/16(Wed) 23:53
お金 | Comment | trackback (0)
blog comments powered by Disqus

トラックバック

トラックバックURL取得

Tools