キャッシュレス

ドコモ口座事件で分かったリスク、銀行口座紐付けのどこが問題?

キャッシュレス

ドコモ口座を通じた不正引出し事故は、その後11行で被害が発覚しました。そして、本事故への認知が広まるにつれて、不正引出しは、ドコモ口座以外にも、PayPay、Kyash、Line Payなどのアプリ決済でも発生していることが発覚しています。

現在、アプリ決済と銀行口座との新規紐付け手続きは、大半の銀行で停止されていますが、既に紐付けされてしまった銀行口座からの不正引出しが、今後どれくらい見つかるかは未知数です。

金融庁からは、銀行口座とアプリ決済との連携手続きについて、そのセキュリティレベルの検証を促す通知が出ています。
そのため、今後は、セキュリティ対策は強化される見通しですが、

  • 当面の間、何に気を付けた方が良いのか?
  • そもそも銀行口座との紐付け手続きとは?

など、ドコモ口座の不正引き出し事件から見つかった課題について分かり易く解説します。

1.ドコモ口座以外の被害状況について

ドコモ口座を用いた銀行口座からの不正引出し事故は、その後、複数のアプリ決済サービスにおいても同様の被害が発生していることが明らかになっています。

ドコモ口座に関しては、こちらの記事で続報を追加しています。

関連記事
ドコモ口座アプリ
ドコモ口座不正引出し、被害者になり得るのは誰?
ドコモ口座を通じた銀行口座からの不正引出し事故は、日本中の人々を不安にさせています。 この不正引出しは、ドコモ口座と…[続きを読む]

なお、9月28日現在、ドコモ口座の不正引出し事故については、被害額が2,848万円に増加しています。
それ以外にも、被害が発生している銀行は被害額が一番大きいゆうちょ銀行において約6,000万円となっている他、全11行で被害が発生しています。
不正引出しに使われたアプリ決済サービスは、ドコモ口座以外にも、PayPay、Line Pay、Kyash、メルペイなど全部で7種類となっています。

Kyashに関しては、銀行口座との紐付けサービスがスタートしたのは9月初旬であり、僅か1週間程度の短い間に被害が発生していることには驚きを隠せません。

金融庁からの指導もあり、現在では被害が発生した銀行では、新たな銀行口座紐付けサービスは一時停止をしていて、セキュリティの不備が懸念される他行でも、サービスを停止しているところが多くなっています。
そのため、この事故が公表されてからの新しい被害は発生していないようですが、過去に被害に遭っている方が、今回の事故の公表を機に通帳記帳等でその被害を見つけているという状況です。

従って、今しばらくは被害額が増えることが予想されます。この記事を読まれている方も、心配な方は早めに通帳記帳を行い、被害に遭っていないことを確認することをお勧めします。

2.なぜ銀行口座との紐付け手続きが本人確認手続きになるのか?

この事故は、アプリ決済サービスを使っていない人が被害者になっていることから、普段使っていないサービスに関することなので、理解が難しいという声が聞かれます。
まず、なぜ、銀行口座との紐付け手続きが、アプリ決済サービスの本人確認手続きとして認められているのか?について、分かり易く説明します。

2-1.銀行口座との紐付けとは?

ネットでは情報が錯綜しているようですが、銀行口座との紐付け手続きは、日本では法律によって正規な本人確認手続きと認められています。
今後、この扱いがどうなるかの見通しは不透明ですが、そのロジックは次の通りです。

  1. 銀行口座を開設する時には、免許証等を用いて、銀行において正規な手続きを踏んで本人確認手続きを行っている。
  2. 銀行口座を開設した後、その銀行口座に正当にアクセスして利用できるのはその名義人だけであり、その人にしか知り得ないパスワード、暗証番号、個人情報(住所、電話番号、口座名義人)で保護されている。
  3. 従って、その人自身が名義人である銀行口座の預金を使うために、その名義人にしか知り得ないパスワード等の情報を使って、銀行口座とアプリ決済を紐付けしたのであれば、そのアプリ決済サービスはその銀行口座の正規な名義人によって、その手続きがされたとみなすことが出来る。すなわち、銀行口座と同等の本人確認手続きを行ったものと判断出来る。

このように、銀行口座を開設した本人確認手続きを外部のサービスの本人確認手続きとみなすために、その紐付け手続きでは、口座名義人しか知り得ない情報を使った手続きが必要となります。
しかしながら、その手続きは、銀行によって厳格さに差があり、今回はその手続きが甘い銀行が標的になったものと判断出来ます。

この紐付け手続きサービスは、以前から事業者が電気代やガス代の収納に使っている機能と同じです。
B to Bでの手続きであれば、悪用されるという発想は必要なかったのかもしれませんが、B to Cに利用されるようになり、その手続きが甘かったことで、悪意を持った犯人に使われてしまったという訳です。

2-2.今回の不正引出しが発生してしまった手続きの抜け穴は何か?

今回の不正引出しは、おそらく悪意を持った者が組織的に行ったものと思われます。
被害者は、何らかの悪意を持った誘導で、フィッシングサイト等に誘導されて、銀行口座番号、名義人氏名、暗証番号(場合によっては住所、電話番号などの個人情報も)などを入力してしまった可能性が高いと思われます。

しかしながら、今までは、それらの情報を入手しても、キャッシュカードを手に入れるか、ネットバンキングにアクセス出来なければ、銀行口座から不正引出しをすることは不可能でした。それが、アプリ決済サービスが媒介することで可能になってしまったのです。
分かり易く説明をします。

①銀行口座から引き出しが出来るのは、キャッシュカードを持っていて、銀行口座の暗証番号を知っている利用者(口座名義人)だけ。

銀行口座紐付け

②今までは、キャッシュカードを盗まれるか、ネットバンキングに不正アクセスされなければ不正引き出しなどは出来なかった。

銀行口座紐付け

③けれども、アプリ決済サービスというキャッシュカードに代わるものが登場して、そこに銀行口座を紐付けすることで、そのアプリ決済サービスがキャッシュカードの代替物となってしまった。

銀行口座紐付け

平たく説明をすると、このようになります。

2-3.不正引出しが発生していない銀行は?

注意したいことは、この不正引出しは、アプリ決済サービスと紐付けが出来るすべての銀行で起こっている訳ではないということです。
みずほ銀行は過去に同様な事故が起きていますが、現在はその手続きを厳格化されていて、今回は事故が発生していません。

その理由は、銀行口座との紐付けて続きをする際に、口座名義人でないと知り得ないワンタイムパスワードを使ったり、口座名義人の手元にあるはずの通帳の、手続きをするタイミングでの残高を知らないと紐付けが出来ないようになっているからです。つまり、セキュリティのレベルを厳格化しているわけです。

銀行口座紐付け

また、旧シティバンクであるSMBC信託銀行や新生銀行、あおぞら銀行など、比較的多額な残高があることが想定される銀行は、そもそもこのサービスをアプリ決済事業者に開放していません。
海外では、銀行口座残高を決済サービスで使うようにすることは出来ても、その手続きを、その決済サービスの本人確認手続きとしている国は、筆者が知る限りありません。

その意味では、口座維持手数料を取るなど銀行サービスを差別化してきた銀行は、このサービスそのものを採用していない銀行もあるのです。

3.私たちが出来る当面の不正利用防止対策について

今後、この銀行口座との紐付け手続きだけで本人確認手続きとすることは是正されて、全体的にセキュリティのレベルが上がるものと予想されますが、それまでの当面の間、不正引出し等の被害に遭わないためにはどのようなことに気を付けたら良いのでしょうか?

大前提として、フィッシングサイトへの誘導などには引っかからないようにすることが必要ですが、フィッシングサイトへの誘導はかなり巧妙になって来ていて、それを100%防ぐことはかなり難しいと言われています。
従って、仮にパスワードや暗証番号などが知られても、被害に遭わないようにするためには、以下のような対策を講じることをお勧めしたいと思います。

  • ①基本的にネットで口座情報を入力する銀行としない銀行に分ける。
  • ②ネットで口座情報を入力することが想定される銀行口座は、口座情報及び個人情報の変更の際には登録したメールや携帯に通知が来るものを選ぶこと。また、その口座残高を多くしておかないこと(無理であれば普通口座ではなく定期預金などを活用する)
  • ③残高が多い銀行はネットで使わない。
  • ④引き落とし銀行と貯蓄用銀行を分ける。

日本では、銀行口座は比較的簡単に作れますし、銀行口座を幾つも持つことが出来ます。そのため、深く考えずに銀行口座を次々と作ってしまう人が多いと思います。
けれども、銀行口座の開設が難しい国や、そもそも銀行口座は一つしか持てない国などもあります。そのような国では、銀行口座を開設する時には、自分のライフスタイルに合った銀行を慎重に選んでいます。

今回の事故ではっきりしたことは、日本の銀行は横並びと言われてきたものの、デジタル化やネット利用に関しては、そのセキュリティ対策は千差万別であるということです。
従って、これからは、メインバンクとして使う銀行は、自分のライフスタイルと照らし合わせて、そのセキュリティ対策がしっくり来るものを選ぶということが必要だと思います。

仮に、ネットでは銀行口座は一切使わないということであれば、ネットバンキングサービスは開設しないということも選択肢に入れるべきだと思います。

日本の銀行口座の平均残高は10万円程度だそうです。逆に言えば、10万円しか入っていない銀行口座を無料で鉄壁なセキュリティ対策をして貰うことは、将来的には無理な相談だという時代が来るかもしれません。
この意味では、将来的には、口座維持手数料が課せられることを念頭に置いて、銀行口座を適切な範囲で集約することも必要だと思います。

4.まとめ

今回の事故では、ゆうちょ銀行の被害額が突出していますが、それは口座数が圧倒的に多いということも影響しているのであり、ゆうちょ銀行だけがセキュリティが甘いということではありません。
今しばらくは、一連の不正引出しに関しては新しい情報がアップされることが予想されますので、自分の財産を守るためにも、関連するニュースは意識して確認しましょう。

最後に、留意すべき点についてまとめてみました。

  • ①今は、事故が起こった銀行では新たな銀行口座紐付け手続きは停止されているので、これから被害が生じる可能性はないので、銀行口座を持っていたら、過去に不正引出しがないかを確認することが重要です。
  • ②今回事故が見つかった銀行をメイン口座に使っている人は、今後セキュリティの改善が図られるはずなので、その後の経緯もフォローすることが必要です。
  • ③日本人は、銀行口座が簡単に作れるので、銀行の特性を踏まえて使い方を変えることをしていない人が多いので、自分が持っている銀行口座の使い分けを考えることも必要です。
  • ④とりあえず、オンライン取引をするものとしないものは明確に分けて、オンライン取引をするものは普通口座の残高は多くしないようにするか、セキュリティが厳しいネットバンクにすることをお勧めします。
  • ⑤どうしても心配な人は、そもそも銀行口座紐付けサービスを提供していない銀行(※)を使うことも検討してください。

※主要なところでは、新生銀行、SMBC信託銀行(旧シティバンク)、あおぞら銀行など

執筆
荒井 薫(あらい かおる)
労働省→公認会計士→コンサルタント→事業会社CFO&国際ブランド付きプリペイドカード事業の立ち上げをやりました。子供の頃から物書きになりたかったため、書く感性を磨きながら、皆さんに様々な情報をお伝えしていければと思っています。
荒井 薫 ブログサイト この執筆者の記事一覧
\この記事が役に立った方は是非シェアをお願いします/
  • Pocket
  • LINE
  • ブックマーク