ゆうちょ池田社長「リスク感度が鈍かった」--被害は約6000万円に拡大、2017年から発生

　ゆうちょ銀行は9月24日、即時振替サービスにおける不正引き出しについて、今後の対応策を発表した。また、9月23日に公表した、デビット・プリペイドカードサービス「mijica」での不正送金や、SBI証券が9月16日に公表した不正送金に使われた偽造口座についても状況を説明した。

（左から）ゆうちょ銀行取締役 兼 代表執行役副社長の田中進氏、同行取締役 兼 代表執行役社長の池田憲人氏

　「ドコモ口座」に端を発する一連の不正引き出し被害について、同行では決済事業者10社にて新規口座登録やチャージなどを停止している。当該10社については、すでに2要素認証の実装を完了。さらに、該当決済事業者を登録している口座を持つ全ユーザー（複数の事業者を登録しているユーザーを名寄せした結果、約550万口座を特定）に対し、取引の確認を周知。全国51の新聞で広告を掲載したほか、メール、ダイレクトメールでも案内。また、取引履歴から被害が疑われる約600口座については、個別に電話連絡を取るという。

　振替サービスでの被害件数は、9月22日時点で約380件。総額約6000万円に拡大した。同行によると、最初の被害は2017年7月にユーザーからの問い合わせで発覚。2019年までに150件の被害を確認しており、今回新たに100件ほどユーザーからの申告があったという。なお、過去の150件については、決済事業者とどちらが対応するかの規定がなかったこともあり、補償は3分の1にとどまっている。今後、キャッシュレス事業者と共同で、10月中をめどにすべての被害者への補償を完了するとしている。

送金時に必要な5桁のカード番号は「無制限で入力可能」だった

　さらに、約332万円の不正送金が発覚したmijicaについては、ID・パスワードについては複数回の入力でロックがかかる仕様だったが、送金時に必要なカード裏面の5桁のカード番号については、無制限で入力可能だったという。ゆうちょ銀行取締役 兼 代表執行役副社長の田中進氏は、「回数の制限を設けていなかったのが最大の弱点。そこを狙われた。再開する場合は、その辺をしっかりと改修をする必要がある」と述べた。

ゆうちょ銀行取締役 兼 代表執行役副社長の田中進氏

　mijicaについては、スクリーニングを実施。2018年1月からの会員間送金を対象に、1カ月以内に2件以上の送金を受けた受取人に対して送金したユーザー、送金前に利用通知メールの宛先を変更したユーザー、メール宛先の変更後に短時間で送金したユーザーを調査したところ、該当するユーザーは見当たらなかったほか、送金以外のチャージ被害は発生していないとしている。なお、mijica間の送金件数だが、半年で1200件程度という。

不正口座開設では本人確認を厳格化

　SBI証券が9月16日に発表した顧客資産9864万円の不正出金については、6件中5件で本人確認書類を偽造して開設されたゆうちょ銀行口座が使われていた。該当口座については、顔写真なしの本人確認書類1種類と、郵送での住所確認で本人確認を完了している。同行で開設時に保管した書類のコピーを確認したところ、不審なところは見当たらなかったものの、5つの書類を一様に並べると、筆跡が極めて酷似していたという。なお、捜査当局との連携上、詳細については明かさなかった。

　今回の不正開設を受け、口座開設の条件を厳格化する。これまでは、2枚目の顔写真なし本人確認書類か、補完書類、郵送確認が取れれば、顔写真なしの本人確認書類でも口座を開設できたものの、今回の不正開設を受け、9月24日より顔写真付きの本人確認書類（運転免許証やマイナンバーカードなど）のみに原則変更する。

池田社長「リスク感度が低かった」、セキュリティ総点検実施へ

　同行では、取締役 兼 代表執行役社長の池田憲人氏が陣頭指揮を執り、即時振り替えサービスやmijicaのほか、「ゆうちょPay」やクレジットカードを含めたキャッシュレス決済サービスのセキュリティ総点検を実施すべく、タスクフォースを設置する。堅牢性やユーザーの利用状況をモニタリングするほか、他のモバイル決済サービスが採用するスキームを取り入れたいとしている。

ゆうちょ銀行取締役 兼 代表執行役社長の池田憲人氏

　池田氏は、総点検の内容について「認証についての厳格性がまず第一であること、認証を突破されたときにどういう仕組みを使っているかを考えていきたい」としたほか、「mijicaとゆうちょPay、即振サービスでのシステム連動性が必要。この2つを念頭に置いている」とする。なお、mijicaや即振サービスと異なり、ゆうちょPayについてはサービスを継続しながらの点検となる。

　また同氏は、「mijicaの安全性に対して、結果として非常に手遅れになったと思っている。即振サービスについても、決済業者との取引でいろいろと安全性を議論してきた。そのうえで、即振サービスとmijicaについては、点検が必要だと思った」とし、「何がいけなかったかというと、安全性に対する全体のリスク感度が鈍かった」と自身の考えを述べた。送金時のカード情報の入力回数に制限が設けられていなかったなど、昨今のFinTechサービスとしては甘かったセキュリティレベルを、総点検で改善していく。

　なお、こうした不正送金などの問題を把握しておきながら、前回の会見では公表していない。これについては、田中氏は「公表の段取りがついていなかったのと、即時振替サービスの件についてだったのでお受けしていなかった」とした上で、「早急に公表すべきだった。深くお詫び申し上げる」と謝罪した。