https://news.yahoo.co.jp/articles/5b6cf78da0559baac3897f0ec2b7493270a4e2da
9/17(木) 6:00配信
NTTドコモの「ドコモ口座」での発覚に端を発し、多くのスマートフォン対応決済サービスと金融機関で判明してきた不正な預金引き出し。
被害が発生した金融機関のひとつ、ゆうちょ銀行が16日夕方、緊急会見を開催し、代表執行役副社長の田中進氏が、現時点で把握している被害の状況、今後の対策を語った。
田中副社長は「これまで決済サービス事業者に二要素認証の導入をお願いしていたが合意にいたらなかった」とコメント。近日、早期に導入して対策とする考えを示した。
その一方で、決済サービス事業者からは「そのような依頼を受けたことはない」という声が出ており、ゆうちょ銀行側の説明に大きな疑問符が付く。
■被害状況
(中略)
■対策について
現在、連携を止めている決済サービスとは、その多くで9月17日までに口座登録時に二要素認証が導入される予定だ。ゆうちょ銀行自身の用意する二要素認証は、音声通話を活用するIVR認証(2019年1月導入)や、通帳残高の入力を求める認証(2020年5月)になるという。
この二要素認証は、ゆうちょ銀行にとって、不正な預金引き出しの大きな防止策と位置づけられているが、これまでゆうちょ側の二要素認証は、多くの決済サービスで活用されてこなかった。
なぜこれまで導入されてこなかったのか。
■「強く求めてきた」「依頼はない」食い違う言い分
ゆうちょ銀行の田中氏は「二要素認証の導入を決済事業者に強く求めてきた。しかし合意にいたらなかった」と説明。「私どもなりにお願いしてきたが、十分だったのか。我々にも反省すべき点がある」と反省する姿勢を見せる。
これに、決済サービス事業者のひとつであるLINE Payは「ゆうちょ銀行側が二要素認証を導入した段階で、そもそも依頼がなかったと認識している」と本誌取材に回答。LINE Payは「私どもはセキュリティ対策に注力したと自負している。もしそうした依頼があれば前向きに検討する」とも説明する。
さらに本誌では、複数の決済事業者から「そうした依頼はなかった」「電話で、二要素認証の導入計画の考えを示されたことはあったが、その後、話はなかった」などの回答を得た。そうした中の1社、メルペイは「二要素認証を入れる旨のコミュニケーションがあったのは直近」としている。
またゆうちょ銀行口座の登録数が約450万件と、他社よりも遥かに多いPayPayでも「ほかの地銀では、二段階認証を導入する話が打診され、その後、実際に導入された。私どももセキュリティは向上したい。やりたくないから入れられないわけはない」と本誌にコメント。
16日の緊急会見における質疑でも、参加した記者から「決済サービス側からそうした依頼はなかったという声がある」と指摘があがった。これに、ゆうちょ銀行の田中氏は「私どもの力が足りなかった」と回答。
田中氏は「二要素認証を入れていただければ、かなりのセキュリティ向上になるのではないか、というのが基本的な認識」とその重要性を語る場面もあった。
しかし、決済事業者側の回答を踏まえると、田中氏の言う「強く求めた」といった打診が、本当に実行されていたのか疑問を抱かざるを得ない。少なくとも、ゆうちょ側と決済事業者側の認識に大きな隔たりがあることは明らかで、その状況が放置されてきたことになる。
■ほかの金融機関との情報共有もなし
(中略)
そうした上で、問題解決に向け、金融庁や、ほかの金融機関と情報交換をしているのか? という問いには「萌芽はある」と語るにとどまり、今回の不正利用に関して明確な動きには至っていないことを明らかにした。
(中略)
スマートフォンを使っていなくても、スマホ決済サービスを使っていなくても、口座を持つ、全てのユーザーが被害をこうむる可能性がある事案。田中氏は、記帳が難しい高齢者や過疎地の人々に向けた取り組みとしては、今回、特別なチームを立ち上げるといった施策は「まだ着手していない」とも語っており、ゆうちょ側の説明や取り組みが不十分という印象を残す会見となった。
全文はソース
のに連携はしたってことなの?
導入をお願いしていた→危険性は認識していた。
サービス提供→顧客の安全性より利益重視
クズだねぇ。
なんで求める話になるんだろ?
二要素じゃない接続も認めてたって事だろ
要するにゆうちょ銀行の責任逃れ
その説明が本当なら〇〇までに二要素にしないと、
相互接続は遮断するという交渉をするはず
そもそも導入するのがゆうちょ側なんだよな
口座振替システムに2要素認証を導入するという話なので
事業者はお願いされても触れない部分
が正しい認識
どこも報道しないってやる気あるのか?
ファイヤーウォール以前の問題だからな
それはユーザーが直接負担してないよね?
紙の通帳と物理のハンコ、キャッシュカードまでにしてネット連携はやめる。
サポートにちゃんと電話がつながる会社のクレカで明細は金払っても紙で受け取る。
通販は大手ecサイトを利用して、後は現金で済ますのが1番気楽や。
「なぜそんなカスみたいな件でわざわざ出なくてはならないのか、下層愚民の相手など私のする事ではない」 だろうねぇ
口座連携を止めるべき
事業者は「是非お願いしたいけど、そんな話したことあった?」という答え
事業者は拒否する理由もないしどちらかというとお願いされるのはゆうちょ側
ゆうちょのシステムに二要素認証を入れるという話なんだから
二要素認証入れるために事業者側に金銭的なコストは必要ない
ゆうちょの担当者の責任逃れでしょ
「お願いしていた」ってw
そんなものサービスインの時点で当然詰めてあるはず
相手先が2要素認証しなかったのが悪いとか自分の責任のなすりつけ
だいたいゆうちょダイレクトとかかなり前に2要素認証いれたし、ハードウェアトークンも導入してたのに
口座振替には適用していなかったのが問題
これを前提に銀行も決済事業者も話を進めるから、口座振替サービスを提供する銀行側はシステムをそのままに『決済事業者が本人確認しろよ』と言い
決済事業者は『銀行に接続で本人確認なんだから銀行接続に本人確認を厳格化しろ』と言ってくる
混乱の真の元凶は金融庁
決済事業者の顧客が登録した情報が顧客本人の証明と合致していなければ決済事業者の本人確認にはならないんだから
いくら銀行側で二段階認証を導入していてもWEB口座振替サービスは決済事業者が行うべきKYCの代用にはなりえない
最低でも決済事業者の登録情報を送信して銀行側で本人確認情報と合致しているかどうかを突合せずに本人確認は成立しないだろというね
こんな単純なら論理関係すら見逃した金融庁がほとんど矢面に立たないんだから終わってる
金融庁は犯罪収益移転防止法の本人確認の法解釈を誤っていましたと出てこなければ
永遠に日本じゃ電子行政は根付かないぞ
Source: XM Trading 評判・口コミ ? FX・投資・マネーまとめ速報
【不正利用】ゆうちょ銀の緊急会見、「二要素認証、決済事業者に求めていた」は本当か 複数の決済事業者「そうした依頼はなかった」