ゆうちょ銀行の不正送金・不正アクセスから学ぶ「システム開発者に必要なこと」

「ドコモ口座」で様々な被害が発覚したゆうちょ銀行

9月上旬、NTTドコモが提供する電子決済サービス「ドコモ口座」を第三者が不正に使用して、提携している銀行の一部の預金口座から不正送金を行う事件が発生し、大きな話題となりました。

• 

  ドコモ口座を使った、不正に預金を引き落とされる被害が続出

提携している銀行のうち、11の銀行の預金口座で不正な送金があり、確認されているだけでも、238件・総額2904万円の被害があったことがわかっています。(10月1日の時点)

被害があった銀行の中でも、最も被害件数が多かったのがゆうちょ銀行でした。

邦銀の中でも、ゆうちょ銀行は利用者が多い

ゆうちょ銀行は、全国の郵便局がメイン窓口となっており、全国に約2万4000の窓口、約2万9800台ATMを構えています。利便性が高く多くの人が口座を開設しており、通常預金口座数1億2000万にも上ります。
そのせいか、被害件数が多く、メディアでもゆうちょの被害が重点的に伝えられていました。

しかし、被害調査を進めていくにつれ、新たな被害が浮き彫りになります。

「PayPay」「LINE Pay」などを使用した不正送金も確認

ゆうちょ銀行の預金の不正引き出しに使用されたのはドコモ口座だけではありませんでした。
調査を進めるとPayPay・LINE Pay・メルペイ・Kyash・PayPalなどの電子決済サービスを活用した被害も発覚。
ドコモ口座と合わせて380件、総額6000万円もの被害があったことがわかりました。

ゆうちょ銀行が提供するVISAデビット「mijica」

ゆうちょ銀行の不正送金に使用されたのは、電子決済サービスだけではありません。

ゆうちょ銀行では、Visaデビットカード・プリペイドカード「mijica」を提供していますが、「mijica」を不正に使用した送金も調査の結果確認されました。

mijica利用者のアカウントが不正にログインされ、第三者のmijicaカードへ総額約332万円が送金されてしまいました。

• 

  ゆうちょ銀の相次ぐ不正送金問題　各サービスの被害状況と銀行側の対策まとめ

画像引用：https://www.itmedia.co.jp/news/articles/2009/24/news173.html

原因は「本人確認の甘さ」と「セキュリティの脆弱性」

電子決済サービスを使用した不正送金の原因

被害がドコモ口座だけしか確認されていなかった当初は、メールアドレスだけでアカウントが作成できる「ドコモ口座」に問題があるとされていました。
確かに、携帯番号の登録が不要で、登録者が本人かどうか確認するフローが抜けていたNTTドコモ側にも問題はあります。

しかし、同じく不正に使用されたPayPayは、ドコモ口座とは異なり、2段階認証を行っていました。

PayPayの２段階認証では、最初にユーザーデータを登録する際に、電話番号を登録させます。その後、その番号宛にSMSで暗証番号を送信し、それを入力させて初めてアカウントが作成できる仕組みになっています。

そのため、他の原因があるのではとの見方が強まりました。

調査の結果、ドコモ口座をはじめとする電子決済サービスを銀行口座に紐付ける際に、２段階認証が導入されていなかったことが原因であることが判明しました。

これを受け、ゆうちょ銀行は不正利用された電子決済サービスの他、連携時の２段階認証を行っていないサービスを停止する対応をとっています。

• 

  『#不正引き出し』の最大の原因は銀行側の『昭和システム』にある

画像引用：https://news.yahoo.co.jp/byline/kandatoshiaki/20200918-00198801/

「mijica」を使用した不正送金の原因

「mijica」を使用した不正送金の場合は、不正ログインによる個人情報の漏洩が原因ではないかという可能性が高まっています。

• 

  ゆうちょ銀のVISAデビット「mijica」不正ログインで情報流出　1422人に被害か

画像引用：https://www.itmedia.co.jp/news/articles/2010/05/news057.html

不正送金をきっかけとしたセキュリティチェックの結果、「mijica」のユーザー用Webサイト「mijicaWEB」が不正アクセスを受け、1422人の個人情報が閲覧された可能性が発覚。
送金の被害にあった54人はこの1422人に含まれることから、不正アクセスで入手した情報をもとに、送金が行われたことが考えられています。

年々問題となる不正アクセスや個人情報漏洩

モノやお金、サービス、人と人とのコミュニケーションなどがオンラインでやり取りされるのに従い、氏名や住所、電話番号などの個人情報や、クレジットカード番号や口座番号などの金融情報をオンライン上で登録することは、今や当たり前になっています。

非常に世の中が便利になりましたが、その反面セキュリティに不備があったり、システム上の安全性が足りなかったりするなどして、今回のゆうちょ銀行のような不正アクセス・不正利用・個人情報漏洩は度々問題となっています。

セキュリティ構築や安全対策を第一に

今回NTTドコモは会見にて、口座を多くの人に開設してもらうため、登録を簡略した結果、不正に使用されてしまったことを発表しています。

簡単に誰でも利用できるようにするのは良いことですが、本人確認やサイトのセキュリティ構築など、簡略化してはいけない部分というのは必ずあります。

開発を急いだり手軽さばかりを重視したりして、簡略化してはいけない部分をないがしろにしたり見落としてしまったりしないよう、開発者は心得ておくべきだと、非常に強く感じました。

また、各業界でDXが推進されています。
オンラインミーティングを導入したり、企業の名刺管理をクラウド上で行ったりする他、重要な顧客情報や個人情報をインターネットのデータベース上で管理する企業や自治体は増えています。

そのような時に、不正アクセスなどが起こってしまうと、大混乱に陥ってしまうのが目に見えていますよね。

人の情報が多く集まる場所こそ、利益やスケジュールを重視するのではなく、「安全」を第一に考えることを意識することが大切です。