ゆうちょ、「mijica」で不備多数もサービス内容は継続へ--セキュリティ点検結果を公表

　ゆうちょ銀行は、即時振替サービスを介した不正送金や、Visaデビット・プリペイドサービス「mijica」による不正利用などの発覚により、社長管轄のタスクフォースを設置。11月9日に、「セキュリティ総点検」として実施したセキュリティチェックについて結果を公表した。

会見冒頭、現経営陣が謝罪した

　タスクフォースでは、即時振替サービスやmijicaのほか、キャッシュレス決済サービス「ゆうちょPay」、「JP BANKカード」の4サービスでセキュリティチェックを実施した。点検事項は、本人認証にかかる検知・防御態勢、取引データに基づく不正取引の検証態勢の2項目。アカウント作成から銀行口座紐づけ、チャージ、決済・送金、取引後の5フェーズに分けて検証された。

　チェック項目については、キャッシュレス推進協議会のガイドラインなどが定める必須項目に加え、今回の不正事案にともない作成した「ゆうちょ銀行チェックリスト」を用いた。内容については、第三者評価機関の確認済みという。なお、セキュリティ点検は10月時点の取り組みについてであり、被害発生よりも前の状態についての調査ではないとしている。

5つのフェーズごとに調査

　即時振替サービスでは、接続するコード決済事業者6社、その他の決済事業者6社、ECサイト1社、公営競技7社、証券会社6社、ノンバンク3社においてセキュリティチェックを実施。各事業者によって利用する機能が違うため、チェック項目は異なる。

　結果、コード決済事業者は6社中5社で必須項目を充足したものの、1社については追加確認が必要な事項があったため評価中。その他の決済事業者6社では、3社で問題なしとなったものの、1社で充足していない項目があり12月中までに対応予定。追加確認項目による評価中の会社が1社、回答内容について協議している会社が1社存在する。また、ゆうちょ銀行側の評価については、9月に二要素認証を決済事業者12社に導入したこともあり、必須項目すべてを充足したとしている。その他、EC、公営競技、証券会社、ノンバンク各社についても問題は見当たらなかった。

キャッシュレス事業者12社の点検結果

ゆうちょ銀行側の点検結果

　一方で、不正利用が発覚したmijicaについては、必須項目22項目のうち14項目が未実施、または不十分という結果だった。特に、9月13日に停止した送金機能と、10月3日に一時閉鎖した会員向けウェブサイト「mijica web」に関するものが多く、カード到着前に決済・会員サイトが利用できてしまった点や認証強度の強化、複数回のログイン試行、チャージ額の制限、送金時の追加認証、モニタリング体制、不正検知時の対応など5つのフェーズすべてで問題が露見した。

mijicaでは、22項目中14項目で問題が発覚

　同サービスについては、10月4日に発表された1422人以外に、不正ログインされた可能性のあるユーザーは確認されなかったとのこと。ただし、mijicaカードの不正発行・不正利用は、10月6日に発表した3件に加え、調査期間を2020年7月1日から同年4月1日に広げた結果、さらに3件が確認された。いずれもカードは返却されており、不正利用の申し出もないとしている。なお、現在提供しているデビットカード機能などについては、今回の点検項目に該当するセキュリティ上の問題はなかったとして、引き続き利用可能という。

　そのほか、ゆうちょPayは必須項目22項目すべて、JP-BANKカードはVisa/Master/JCBともに必須項目19項目すべてで充足すると確認できたとしている。ネットバンキング「ゆうちょダイレクト」は今回の点検対象に入っていないものの、同行執行役副社長の萩野善教氏によると、「過去の経験などを踏まえてブラッシュアップしてきた。今回は決済サービスで問題が出たので総点検となった。ゆうちょダイレクトについても、今後も継続的に点検していく」と述べた。

　なお、今回のセキュリティ総点検では、ゆうちょ銀行だけでなく、国内大手サイバーセキュリティ・コンサルティング会社による第三者評価を実施しているが、関わったベンダー名を公表していない。会見では記者から、「第三者評価の信ぴょう性が担保されないのでは」といった質問が飛んだが、萩野氏は、「会社名を公表しないことを前提に契約を結んでいる」と回答するにとどまっている。

今後の対策は？

　この結果を受けてゆうちょ銀行では、モニタリング体制の高度化として、口座紐づけ時の監視機能やモニタリング態勢の整備、チャージ時の異常取引の監視体制の整備を挙げる。セキュリティ強化策では、口座紐づけ時にユーザー宛に手紙で通知するほか、口座紐づけ時の二要素認証としてIVR（音声認証）の導入に向けた協議を開始。宛先が確認できなかったユーザーについては紐づけを解除する。同行取締役兼代表執行役社長の池田憲人氏によると、普段のユーザーと異なる行動を検知するリスクベース認証の導入も検討するという。

ゆうちょ銀行 取締役 兼 代表執行役社長の池田憲人氏

　mijicaについては、新規サービスの構築や他のペイメントサービスによる代替案も含めたサービス策を検討。池田氏は、あくまでも「継続を前提に検討する」と述べた。池田氏はサービス終了という言葉を使わなかったものの、継続という言葉はmijicaで提供しているサービス内容を指しており、mijicaの名前がなくなることも含めて検討するようだ。

　また、全銀協で作成中のガイドラインへの対応、分断している問い合わせ窓口の一本化、商品サービスの導入時チェックに加え、導入後の定期的なチェックも実施。ゆうちょ2000部署の連携を強めてセキュリティ強化体制を図り、補償についても明確化。さらに、総点検で策定した対策が確実に実行されていることを確認するため、萩野氏を責任者としたフォローアップ会議を開催。進捗などを確認する。

　なお、今回はキャッシュレス決済サービスのセキュリティ点検に注力しており、現在の社内体制に至った背景についての検証はこれからのため多くは語らなかったものの、池田氏は事象発生から公表までの1カ月という空白期間について、「分析能力が不十分だった。十分な検証ができなかった」と自省。今後の進退については、「信頼回復に取り組むことで経営責任を果たす」と述べた。

今後の対応について