【不正利用】ゆうちょ銀の緊急会見、「二要素認証、決済事業者に求めていた」は本当か 複数の決済事業者「そうした依頼はなかった」
1: trick ★ 2020/09/17(木) 09:29:01.84 ID:CAP_USER
ゆうちょ銀の緊急会見、「二要素認証、決済事業者に求めていた」は本当か(Impress Watch) – Yahoo!ニュース
https://news.yahoo.co.jp/articles/5b6cf78da0559baac3897f0ec2b7493270a4e2da
9/17(木) 6:00配信
NTTドコモの「ドコモ口座」での発覚に端を発し、多くのスマートフォン対応決済サービスと金融機関で判明してきた不正な預金引き出し。
被害が発生した金融機関のひとつ、ゆうちょ銀行が16日夕方、緊急会見を開催し、代表執行役副社長の田中進氏が、現時点で把握している被害の状況、今後の対策を語った。
田中副社長は「これまで決済サービス事業者に二要素認証の導入をお願いしていたが合意にいたらなかった」とコメント。近日、早期に導入して対策とする考えを示した。
その一方で、決済サービス事業者からは「そのような依頼を受けたことはない」という声が出ており、ゆうちょ銀行側の説明に大きな疑問符が付く。
■被害状況
(中略)
■対策について
現在、連携を止めている決済サービスとは、その多くで9月17日までに口座登録時に二要素認証が導入される予定だ。ゆうちょ銀行自身の用意する二要素認証は、音声通話を活用するIVR認証(2019年1月導入)や、通帳残高の入力を求める認証(2020年5月)になるという。
この二要素認証は、ゆうちょ銀行にとって、不正な預金引き出しの大きな防止策と位置づけられているが、これまでゆうちょ側の二要素認証は、多くの決済サービスで活用されてこなかった。
なぜこれまで導入されてこなかったのか。
■「強く求めてきた」「依頼はない」食い違う言い分
ゆうちょ銀行の田中氏は「二要素認証の導入を決済事業者に強く求めてきた。しかし合意にいたらなかった」と説明。「私どもなりにお願いしてきたが、十分だったのか。我々にも反省すべき点がある」と反省する姿勢を見せる。
これに、決済サービス事業者のひとつであるLINE Payは「ゆうちょ銀行側が二要素認証を導入した段階で、そもそも依頼がなかったと認識している」と本誌取材に回答。LINE Payは「私どもはセキュリティ対策に注力したと自負している。もしそうした依頼があれば前向きに検討する」とも説明する。
さらに本誌では、複数の決済事業者から「そうした依頼はなかった」「電話で、二要素認証の導入計画の考えを示されたことはあったが、その後、話はなかった」などの回答を得た。そうした中の1社、メルペイは「二要素認証を入れる旨のコミュニケーションがあったのは直近」としている。
またゆうちょ銀行口座の登録数が約450万件と、他社よりも遥かに多いPayPayでも「ほかの地銀では、二段階認証を導入する話が打診され、その後、実際に導入された。私どももセキュリティは向上したい。やりたくないから入れられないわけはない」と本誌にコメント。
16日の緊急会見における質疑でも、参加した記者から「決済サービス側からそうした依頼はなかったという声がある」と指摘があがった。これに、ゆうちょ銀行の田中氏は「私どもの力が足りなかった」と回答。
田中氏は「二要素認証を入れていただければ、かなりのセキュリティ向上になるのではないか、というのが基本的な認識」とその重要性を語る場面もあった。
しかし、決済事業者側の回答を踏まえると、田中氏の言う「強く求めた」といった打診が、本当に実行されていたのか疑問を抱かざるを得ない。少なくとも、ゆうちょ側と決済事業者側の認識に大きな隔たりがあることは明らかで、その状況が放置されてきたことになる。
■ほかの金融機関との情報共有もなし
(中略)
そうした上で、問題解決に向け、金融庁や、ほかの金融機関と情報交換をしているのか? という問いには「萌芽はある」と語るにとどまり、今回の不正利用に関して明確な動きには至っていないことを明らかにした。
(中略)
スマートフォンを使っていなくても、スマホ決済サービスを使っていなくても、口座を持つ、全てのユーザーが被害をこうむる可能性がある事案。田中氏は、記帳が難しい高齢者や過疎地の人々に向けた取り組みとしては、今回、特別なチームを立ち上げるといった施策は「まだ着手していない」とも語っており、ゆうちょ側の説明や取り組みが不十分という印象を残す会見となった。
全文はソース
https://news.yahoo.co.jp/articles/5b6cf78da0559baac3897f0ec2b7493270a4e2da
9/17(木) 6:00配信
NTTドコモの「ドコモ口座」での発覚に端を発し、多くのスマートフォン対応決済サービスと金融機関で判明してきた不正な預金引き出し。
被害が発生した金融機関のひとつ、ゆうちょ銀行が16日夕方、緊急会見を開催し、代表執行役副社長の田中進氏が、現時点で把握している被害の状況、今後の対策を語った。
田中副社長は「これまで決済サービス事業者に二要素認証の導入をお願いしていたが合意にいたらなかった」とコメント。近日、早期に導入して対策とする考えを示した。
その一方で、決済サービス事業者からは「そのような依頼を受けたことはない」という声が出ており、ゆうちょ銀行側の説明に大きな疑問符が付く。
■被害状況
(中略)
■対策について
現在、連携を止めている決済サービスとは、その多くで9月17日までに口座登録時に二要素認証が導入される予定だ。ゆうちょ銀行自身の用意する二要素認証は、音声通話を活用するIVR認証(2019年1月導入)や、通帳残高の入力を求める認証(2020年5月)になるという。
この二要素認証は、ゆうちょ銀行にとって、不正な預金引き出しの大きな防止策と位置づけられているが、これまでゆうちょ側の二要素認証は、多くの決済サービスで活用されてこなかった。
なぜこれまで導入されてこなかったのか。
■「強く求めてきた」「依頼はない」食い違う言い分
ゆうちょ銀行の田中氏は「二要素認証の導入を決済事業者に強く求めてきた。しかし合意にいたらなかった」と説明。「私どもなりにお願いしてきたが、十分だったのか。我々にも反省すべき点がある」と反省する姿勢を見せる。
これに、決済サービス事業者のひとつであるLINE Payは「ゆうちょ銀行側が二要素認証を導入した段階で、そもそも依頼がなかったと認識している」と本誌取材に回答。LINE Payは「私どもはセキュリティ対策に注力したと自負している。もしそうした依頼があれば前向きに検討する」とも説明する。
さらに本誌では、複数の決済事業者から「そうした依頼はなかった」「電話で、二要素認証の導入計画の考えを示されたことはあったが、その後、話はなかった」などの回答を得た。そうした中の1社、メルペイは「二要素認証を入れる旨のコミュニケーションがあったのは直近」としている。
またゆうちょ銀行口座の登録数が約450万件と、他社よりも遥かに多いPayPayでも「ほかの地銀では、二段階認証を導入する話が打診され、その後、実際に導入された。私どももセキュリティは向上したい。やりたくないから入れられないわけはない」と本誌にコメント。
16日の緊急会見における質疑でも、参加した記者から「決済サービス側からそうした依頼はなかったという声がある」と指摘があがった。これに、ゆうちょ銀行の田中氏は「私どもの力が足りなかった」と回答。
田中氏は「二要素認証を入れていただければ、かなりのセキュリティ向上になるのではないか、というのが基本的な認識」とその重要性を語る場面もあった。
しかし、決済事業者側の回答を踏まえると、田中氏の言う「強く求めた」といった打診が、本当に実行されていたのか疑問を抱かざるを得ない。少なくとも、ゆうちょ側と決済事業者側の認識に大きな隔たりがあることは明らかで、その状況が放置されてきたことになる。
■ほかの金融機関との情報共有もなし
(中略)
そうした上で、問題解決に向け、金融庁や、ほかの金融機関と情報交換をしているのか? という問いには「萌芽はある」と語るにとどまり、今回の不正利用に関して明確な動きには至っていないことを明らかにした。
(中略)
スマートフォンを使っていなくても、スマホ決済サービスを使っていなくても、口座を持つ、全てのユーザーが被害をこうむる可能性がある事案。田中氏は、記帳が難しい高齢者や過疎地の人々に向けた取り組みとしては、今回、特別なチームを立ち上げるといった施策は「まだ着手していない」とも語っており、ゆうちょ側の説明や取り組みが不十分という印象を残す会見となった。
全文はソース
2: 名刺は切らしておりまして 2020/09/17(木) 09:31:22.92 ID:f/QpFa7z
そもそも口座登録部分のシステムはゆうちょ側のものでしょう
3: 名刺は切らしておりまして 2020/09/17(木) 09:34:33.42 ID:tpF6xWIy
責任逃れ合戦
4: 名刺は切らしておりまして 2020/09/17(木) 09:36:53.88 ID:nxvPQIOe
今更言った言わないの争いに
7: 名刺は切らしておりまして 2020/09/17(木) 09:45:23.56 ID:uuHDDLqZ
> 「これまで決済サービス事業者に二要素認証の導入をお願いしていたが合意にいたらなかった」
のに連携はしたってことなの?
のに連携はしたってことなの?
20: 名刺は切らしておりまして 2020/09/17(木) 10:05:48.69 ID:WIjd5WyQ
>>7
導入をお願いしていた→危険性は認識していた。
サービス提供→顧客の安全性より利益重視
クズだねぇ。
導入をお願いしていた→危険性は認識していた。
サービス提供→顧客の安全性より利益重視
クズだねぇ。
13: 名刺は切らしておりまして 2020/09/17(木) 09:51:29.94 ID:f9CZfBua
議事録も取らずに会議や打ち合わせしてきたんか?
14: 名刺は切らしておりまして 2020/09/17(木) 09:52:43.13 ID:X5TImnWV
言い訳は良いから現段階分は保証してさっさとやれ
スポンサーリンク
15: 名刺は切らしておりまして 2020/09/17(木) 09:58:44.21 ID:4ay/SWFu
ほんまに、何もかもいい加減やわ
38: 名刺は切らしておりまして 2020/09/17(木) 10:39:56.76 ID:nGZ90Hbl
郵便はブラックだの、かんぽは犯罪集団、ゆうちょはザルだし、郵政民営化になって時代に追いつけないダメ企業じゃんw
40: 名刺は切らしておりまして 2020/09/17(木) 10:43:09.34 ID:DDDx3rEW
暗証番号+αの要素での接続方法はゆうちょ銀で提供しなきゃならんだろ?
なんで求める話になるんだろ?
なんで求める話になるんだろ?
48: 名刺は切らしておりまして 2020/09/17(木) 11:01:17.06 ID:E4pJELEI
>>40
二要素じゃない接続も認めてたって事だろ
要するにゆうちょ銀行の責任逃れ
その説明が本当なら〇〇までに二要素にしないと、
相互接続は遮断するという交渉をするはず
二要素じゃない接続も認めてたって事だろ
要するにゆうちょ銀行の責任逃れ
その説明が本当なら〇〇までに二要素にしないと、
相互接続は遮断するという交渉をするはず
49: 名刺は切らしておりまして 2020/09/17(木) 11:04:17.18 ID:l+I+f+gW
>>48
そもそも導入するのがゆうちょ側なんだよな
口座振替システムに2要素認証を導入するという話なので
事業者はお願いされても触れない部分
そもそも導入するのがゆうちょ側なんだよな
口座振替システムに2要素認証を導入するという話なので
事業者はお願いされても触れない部分
41: 名刺は切らしておりまして 2020/09/17(木) 10:43:21.24 ID:ALZuAIO/
民間企業になったのにも関わらず、セキュリティ対策を出来なかった。
が正しい認識
が正しい認識
42: 名刺は切らしておりまして 2020/09/17(木) 10:44:33.46 ID:85QpaFSX
で、引き落とした犯人はどうなったんだよ
どこも報道しないってやる気あるのか?
どこも報道しないってやる気あるのか?
53: 名刺は切らしておりまして 2020/09/17(木) 11:16:47.79 ID:68Nh74md
そら天下りのスイーツ連中なんて
ファイヤーウォール以前の問題だからな
ファイヤーウォール以前の問題だからな
54: 名刺は切らしておりまして 2020/09/17(木) 11:18:03.38 ID:vj+UDw4r
決済サービスで金融機関側は手数料取ってるってこと?
それはユーザーが直接負担してないよね?
それはユーザーが直接負担してないよね?
57: 名刺は切らしておりまして 2020/09/17(木) 11:21:24.86 ID:JYEHm3YH
もうめんどくさい。
紙の通帳と物理のハンコ、キャッシュカードまでにしてネット連携はやめる。
サポートにちゃんと電話がつながる会社のクレカで明細は金払っても紙で受け取る。
通販は大手ecサイトを利用して、後は現金で済ますのが1番気楽や。
紙の通帳と物理のハンコ、キャッシュカードまでにしてネット連携はやめる。
サポートにちゃんと電話がつながる会社のクレカで明細は金払っても紙で受け取る。
通販は大手ecサイトを利用して、後は現金で済ますのが1番気楽や。
58: 名刺は切らしておりまして 2020/09/17(木) 11:22:10.68 ID:dRZdyYxu
ゆうちょ代表執行役副社長の田中進 ドコモといいクソ企業は社長が出て来ないねぇ
「なぜそんなカスみたいな件でわざわざ出なくてはならないのか、下層愚民の相手など私のする事ではない」 だろうねぇ
「なぜそんなカスみたいな件でわざわざ出なくてはならないのか、下層愚民の相手など私のする事ではない」 だろうねぇ
62: 名刺は切らしておりまして 2020/09/17(木) 11:30:17.53 ID:VJJ9ilcu
ホラっちょ銀行じゃん
69: 名刺は切らしておりまして 2020/09/17(木) 11:54:23.33 ID:o1ywg+q/
>>1
口座連携を止めるべき
口座連携を止めるべき
75: 名刺は切らしておりまして 2020/09/17(木) 12:37:44.86 ID:mSIVE3uy
ゆうちょが言ってるのは「私の家の鍵を強化しても大丈夫か?」ということを強く言ってきたという話
事業者は「是非お願いしたいけど、そんな話したことあった?」という答え
事業者は拒否する理由もないしどちらかというとお願いされるのはゆうちょ側
ゆうちょのシステムに二要素認証を入れるという話なんだから
事業者は「是非お願いしたいけど、そんな話したことあった?」という答え
事業者は拒否する理由もないしどちらかというとお願いされるのはゆうちょ側
ゆうちょのシステムに二要素認証を入れるという話なんだから
78: 名刺は切らしておりまして 2020/09/17(木) 12:45:09.52 ID:SBzKfzN5
eKYCバブルが来るな
81: 名刺は切らしておりまして 2020/09/17(木) 12:53:26.40 ID:mSIVE3uy
あと二要素認証を入れても手数料は上がらないと会見でゆうちょが明言してる
二要素認証入れるために事業者側に金銭的なコストは必要ない
二要素認証入れるために事業者側に金銭的なコストは必要ない
82: 名刺は切らしておりまして 2020/09/17(木) 12:55:21.48 ID:TWVB/fbB
フツーに考えて
ゆうちょの担当者の責任逃れでしょ
「お願いしていた」ってw
そんなものサービスインの時点で当然詰めてあるはず
ゆうちょの担当者の責任逃れでしょ
「お願いしていた」ってw
そんなものサービスインの時点で当然詰めてあるはず
87: 名刺は切らしておりまして 2020/09/17(木) 13:29:47.66 ID:c2Eptfz4
7pay大勝利やな
88: 名刺は切らしておりまして 2020/09/17(木) 13:37:22.99 ID:y+rWMfXl
地銀よりひどい運営だなw
89: 名刺は切らしておりまして 2020/09/17(木) 13:39:55.98 ID:BcouO1vx
デジタルは素人なのに
90: 名刺は切らしておりまして 2020/09/17(木) 13:46:10.38 ID:IhrEgFSX
ドコモ口座が未だに稼働してるって……凄いな。全く無関係の人の口座から金が引き抜かれてるって……金融庁なにやってるの?大事な天下り先だからか?
91: 名刺は切らしておりまして 2020/09/17(木) 13:48:32.51 ID:zXNxnJzx
「求めていたで押し通すつもり」
93: 名刺は切らしておりまして 2020/09/17(木) 13:54:30.41 ID:3zKgWJ4G
これが日本のキャッシュレスの実態なんだと良くわかった
95: 名刺は切らしておりまして 2020/09/17(木) 14:01:12.09 ID:ChUO3tGF
そもそも銀行が口座振替っていう非常に強力な送金方法に対する認識が昭和のままだったのが原因の一つなのに
相手先が2要素認証しなかったのが悪いとか自分の責任のなすりつけ
だいたいゆうちょダイレクトとかかなり前に2要素認証いれたし、ハードウェアトークンも導入してたのに
口座振替には適用していなかったのが問題
相手先が2要素認証しなかったのが悪いとか自分の責任のなすりつけ
だいたいゆうちょダイレクトとかかなり前に2要素認証いれたし、ハードウェアトークンも導入してたのに
口座振替には適用していなかったのが問題
96: 名刺は切らしておりまして 2020/09/17(木) 14:04:57.38 ID:hrKmafTr
仮に本当だったとしたら合意できなかったのに安全無視してスタートしたってことだからまずいんじゃ?
97: 名刺は切らしておりまして 2020/09/17(木) 14:13:28.65 ID:GZPC7OMR
金融庁が、銀行口座に暗証番号で接続出来ただけで『決済事業者の本人確認の代用にできる』という運用を認めていたことがそもそものボタンの掛け違い
これを前提に銀行も決済事業者も話を進めるから、口座振替サービスを提供する銀行側はシステムをそのままに『決済事業者が本人確認しろよ』と言い
決済事業者は『銀行に接続で本人確認なんだから銀行接続に本人確認を厳格化しろ』と言ってくる
混乱の真の元凶は金融庁
これを前提に銀行も決済事業者も話を進めるから、口座振替サービスを提供する銀行側はシステムをそのままに『決済事業者が本人確認しろよ』と言い
決済事業者は『銀行に接続で本人確認なんだから銀行接続に本人確認を厳格化しろ』と言ってくる
混乱の真の元凶は金融庁
98: 名刺は切らしておりまして 2020/09/17(木) 14:18:57.82 ID:GZPC7OMR
第一、銀行口座に接続できたとしても銀行側顧客の本人確認情報を銀行側で確認したに過ぎない
決済事業者の顧客が登録した情報が顧客本人の証明と合致していなければ決済事業者の本人確認にはならないんだから
いくら銀行側で二段階認証を導入していてもWEB口座振替サービスは決済事業者が行うべきKYCの代用にはなりえない
最低でも決済事業者の登録情報を送信して銀行側で本人確認情報と合致しているかどうかを突合せずに本人確認は成立しないだろというね
こんな単純なら論理関係すら見逃した金融庁がほとんど矢面に立たないんだから終わってる
金融庁は犯罪収益移転防止法の本人確認の法解釈を誤っていましたと出てこなければ
永遠に日本じゃ電子行政は根付かないぞ
決済事業者の顧客が登録した情報が顧客本人の証明と合致していなければ決済事業者の本人確認にはならないんだから
いくら銀行側で二段階認証を導入していてもWEB口座振替サービスは決済事業者が行うべきKYCの代用にはなりえない
最低でも決済事業者の登録情報を送信して銀行側で本人確認情報と合致しているかどうかを突合せずに本人確認は成立しないだろというね
こんな単純なら論理関係すら見逃した金融庁がほとんど矢面に立たないんだから終わってる
金融庁は犯罪収益移転防止法の本人確認の法解釈を誤っていましたと出てこなければ
永遠に日本じゃ電子行政は根付かないぞ
引用元: https://www.logsoku.com/r/2ch.sc/bizplus/1600302541/