日記帳だ! with Tux on Libserver

二度目の大改造!! 日記帳…か?を継承し、より柔軟でパワフルなBlogに変身しました。

RSSに対応しています。リンク・コメント・トラックバックは自由にしていただいてほぼ問題ありません。
RSS購読方法、僕のリンク・コメント・トラックバックについての考えを読むことをおすすめします。

どうしてd払いが狙われた?

ニュースでも話題になっているが。

「ドコモ口座」被害 全国12の銀行で計1990万円に (NHK)

NTTドコモの「d払い」のチャージ方法の1つ「ドコモ口座」で他人の銀行口座を不正に登録される被害が出ているとのこと。

いろいろ調べてみると、実はd払いに限った問題ではないことがわかった。

ただし、d払いが問題になったことにもそれだけの理由はある。


そもそも、インターネットで口座自動引落を設定できる「Web口座振替受付サービス」を提供する金融機関が多くある。

先日、セゾンカードの引落口座設定のときにも使ったけど、

公共料金など定期的に発生する費用、あるいはクレジットカードなどの決済手段の設定に使われるわけである。

電子マネーでも PayPay も メルペイ も FamiPay もこの方法を使っている。d払い もそうである。

この登録に当たっての認証方法は各銀行でまちまちで、今回狙われたのは認証方法が簡易な銀行だったという。


一部の銀行ではWebでの口座振替設定には、インターネットバンキングと同様の認証を要求しているが、

インターネット専業銀行を別とすれば、りそな銀行・埼玉りそな銀行・関西みらい銀行のグループぐらいのものである。

インターネットバンキングの契約がなくても認証出来るということは、どうしても脆弱になりやすい傾向はある。

みずほ銀行 では 口座番号・名義人・生年月日・暗証番号・通帳の最終記帳残高 の情報で登録できる。

一方で、インターネットバンキングにログインして、第2暗証番号(トークンがある場合はそれ)での認証も可能となっている。

(メルペイ に みずほ銀行の口座を登録したときは、インターネットバンキングで認証して登録した覚えがある)

スルガ銀行 では 口座番号・名義人・生年月日・電話番号・暗証番号 と電話でのワンタイムパスワード認証が必要となる。

届出の電話番号に電話がかかってくるので、もし不審なことがあればそこで気づけるという点ではよいと思う。

認証に使う要素自体はみずほ銀行と大差ないですけど。


この2行はいずれもマシな方ではあって、銀行によっては 口座番号・名義人・暗証番号 さえ揃えば認証が通ることがあり、

暗証番号というのは高々4桁なので全く知らなかったとしても当てずっぽうで的中することがあって、

どうもそうやって当てずっぽうの情報で不正登録したんじゃないかというような話がある。

数打ちゃ当たるということである。


インターネットバンキングの認証方式に比べると簡易すぎる気がするが、

それでもかまわないと考えた理由は、請求先と口座名義が一致することを確認できるということがある。

例えば、田中さん宅のガス代を シミズ さんの口座で払うことはできないということである。

これにより銀行口座の認証は簡易でもかまわないという判断があったかもしれない。

ただ、問題はインターネットで完結する取引においては、口座名義の一致というのはアテにならないということであり、

実はこの点においてはd払いもPayPayもその他の電子マネーもだいたい同じ問題があるのだという。


ただ、d払いが狙われたことにはそれなりの理由はあった。

ドコモ口座問題、PayPayやメルペイは大丈夫? (ITmediaビジネス)

PayPayの場合、まず最初に電話番号認証が行われる。そこからアプリで銀行口座登録を行うことになる。

一方のd払いでは、昨年10月以降、NTTドコモの契約者以外であれば、メールアドレスで登録できるようにした。

ここが1つ狙われたポイントで、アカウントを容易に作れてしまうということである。

さらにWeb上で銀行口座設定を行うので、アプリに比べると口座情報を変えて何度もトライするというのがやりやすかった。

なので、原理的にはPayPayでも同様のことはできて、実際にそういう被害も少しは出ているらしい。

ただ、最初に電話番号認証が必要であるというハードルもあるので、あまり大規模に試みられることはなかったとみられる。


あと、これは根本的な問題かはわからないんだけど、PayPayにしてもd払いにしても、銀行口座との紐付けが本人確認になるんですね。

みずほ銀行の口座を設定した(実際にはYahoo!ウォレットから移行した)時点でPayPayの本人確認完了になっててびっくりしたんだけど。

これは法令上、銀行口座と紐付けを行うことが本人確認となると定められているからである。

ただ、よく考えてみると、さっき口座名義の一致というのが、口座振替の認証が簡易でよい理由になっているとすれば、

その簡易な認証をパスしたことをもって本人確認したというのはおかしな話じゃないかとなる。

PayPayでは紐付け先の銀行によっては別途本人確認を行わなければ本人確認したとみなさないようにしているようだ。


今回、d払いがここまで問題になったことには銀行口座の情報でこのような被害が出ることがあまり想定されてなかったというのはあると思う。

というのも、ここまで何度か名前に出てきたPayPayはサービス開始当初にクレジットカードで問題を起こしている。

クレジットカードは一般的にはカード番号・有効期限・セキュリティコードが揃えばインターネット上で登録できる。

しかしながら、これらの情報を何らかの方法で入手して、不正利用するということはできてしまう。

PayPayサービス開始当初は、そんな不正利用がクレジットカード決済件数の1%近くも達していたという。

クレジットカード取引におけるセキュリティの改善状況について (PayPay)

その後、クレジットカードで支払える金額を制限したり、3Dセキュアを導入するという対策を実施した。

その結果として、不正利用は大きく減少したということである。


銀行口座とクレジットカードの違いだけでやっていることは大差ないと言えるが、

異なるのがクレジットカードの場合は、そのような不正利用があれば加盟店側の責任であることが明確化されており、

この場合はPayPayは売上の取消(チャージバック)を受けているし、おそらくサービス開始前からある程度は覚悟していたと思う。

そして、クレジットカード会社も対策として3Dセキュアという、強固なパスワードを使った認証サービスを提供している。

結果的にはPayPayも3Dセキュアを導入し、30日間で5000円超の決済をする場合は3Dセキュアを必須としている。(それ以下は任意)

PayPayが当初から3Dセキュアを導入しなかった理由は明確ではないが、

おそらく3Dセキュアの設定が未了だったり、パスワードが不明な人が離脱してしまうことを懸念してリスクを取ったんじゃないか。

インターネット上のクレジットカード加盟店でも、3Dセキュアを使っている加盟店はごく限られるのは、そういう実情がある。

PayPayも当初リスクを取ったが、想定より悪くて3Dセキュア導入にかじを切ったということになると思う。


一方で、銀行口座振替の場合、口座振替を使用する側には、銀行の提供する認証手段を選ぶことは出来ない。

銀行側の認証手段が脆弱なので、口座振替に対応しませんというのは、口座振替を使用する企業の判断することではないよね。

銀行側が口座振替を利用する企業に、利用者と名義人の一致を厳密に確認するようにとか指示していればどうだか知らんが、

おそらくそこまでのことはなくて、PayPayにしてもd払いにしてもメルペイにしても多くの銀行は利用を認めているところである。

例外的なのが 三菱UFJ銀行 でPayPayはYahoo!ウォレット利用者の経過措置のみで新規登録不可、d払いも新規登録不可で、

これはアメリカのマネーロンダリング規制によるものらしいが、機能的に大差ない メルペイ や LINE Pay は登録可能である。

(ちなみに三菱UFJ銀行も みずほ銀行 同様に 暗証番号+通帳の最終残高 あるいは インターネットバンキングでの認証である)


というわけで、NTTドコモに過失がなかったわけではないが、銀行側の過失も決して小さくはないんじゃないかと思う。

これで銀行側が何の責任も負わないとすれば、それはおかしな話である。(両社の取り決めにもよるけど)

インターネットバンキングでは、トークンだなんだと言っている割には、

口座振替の設定がこうも脆弱では利用者に説明が付かないんじゃないか。


それにしても、なんでWebでの口座振替の設定がこんなことになってたんだろうと。

インターネットでの銀行の手続きでインターネットバンキング必須でないのは変な気がするよね。

調べたところ、銀行にとって紙での口座振替手続きというのは、高コストでできるだけ削減したいらしく、

その代替策としてWebでの口座振替設定というのは有効と考えているわけだが、

インターネットバンキングの普及率もそう高くないなかで、それを必須すると結局は紙での手続きは減らないと。

というわけで銀行側の都合という面が大きかったとみられる。


あと、暗証番号というのは、キャッシュカードとの2要素認証だから高々4桁で許されてるんじゃないかという指摘もあった。

ただ、そのためにはキャッシュカードの唯一性が必要なわけですよね。

そこでスキミングが問題になったわけですよね。磁気ストライプだと簡単に複製できてしまうと。

対策としてICキャッシュカード化が行われたが、未だに磁気ストライプ取引を全廃できていない実情もある。

Webでの口座振替設定にしてもそうだけど、複数の要素を集めて、それが揃ったから大丈夫とは言えないんですよね。

キャッシュカードと暗証番号というのは、ATMに取り付けたスキマー と 暗証番号を入力する映像 で揃ってしまうのだから。


この点でもクレジットカードは元来不正利用が多かった分だけ、進んだ考え方を持っている。

クレジットカードの場合は店頭で暗証番号を使う場合は、原則としてICチップとセットであり、

ICチップ+暗証番号が揃った場合は、加盟店がチャージバックの責任を負うことは通常ない仕組みなわけですよね。

割賦販売法の改正により、原則ICチップ取引が義務づけられたので、なおさら不正利用のリスクは軽減される。

そして、いずれのケースでも不正利用であることが立証されれば、カード会員が損失を負うことは通常はないのは明確である。


インターネットバンキングの普及が進まないと、なかなかよい認証手段もないと思いますけどね。

こんな話もあるので、インターネットバンキングの普及は必要ですね。

ecoで便利な生活を始めよう!みずほ銀行の通帳レス (みずほ銀行)

2021年1月以降開設の口座では通帳発行・繰越のたびに手数料徴収となり、

それ以前に開設の口座でも通帳記帳が1年ない場合、自動的に無通帳化されるルールが導入される。

(通帳記帳がなくて無通帳化された場合は、窓口に申し出れば紙の通帳に無料で戻すことは出来る)

インターネットバンキングが十分普及していれば、あんないい加減な認証方法である必要はないので。


Author : Hidemaro
Date : 2020/09/11(Fri) 23:07
お金 | Comment | trackback (0)

Tools