「ドコモ口座」で相次ぐ不正出金、なぜ地銀だけが狙われた? 専門家の見解は
コメント
注目のコメント
今回狙われた地銀さんの共通項はオンライン口振契約が簡便という点です。記事にある通り、CNSさんが提供しているWeb口振受付サービスは、口座番号、名義の突合、暗証番号で口振契約が成立します。(地銀さんによって異なる為、十把一絡げにはしないで下さい)
他方、メガバンクやネット銀行等は、IBのID/PASSと乱数表やOTP等の他要素認証が必須となっているケースが多く、同じ手口では契約を成立させる事ができず、狙われなかったと考えられます。
また、この手口は新しいものではなく、以前から複数のペイメントサービスにおいて発生していたものです。
今回狙われた地銀(CNS)側の対応としては、口座番号+4PINから変えるのはシステム的な対応コストがかかると思うので、2要素認を実装してセキュリティ強度を上げる事が考えられますが、外部に出せる認証機能がない場合は、設定画面をどこに設けるのか?という課題があり、短期的に解決する事は難しいでしょう。
決済事業者の対応としては、オンライン口振契約のセキュリティ強度が低い場合、前払いであっても自主的にKYCを行うという対応が考えられます。
なお、銀行の口振契約が成立したらKYC済になるのは、警察庁所管の犯罪収益移転防止法の令第13条第1項第1号にある、特定事業者が他の特定事業者に委託して行う7条第1項第1号に定める取引に基づいており、資金移動業者が銀行に依拠しKYC済としています。
米国や中国等には類似の規定はない為、海外では考えられないというご指摘はもっともですが、我が国にはオンライン上で簡便にKYCを行う手段がなかった為、多様されてきました。
eKYCの普及、特にマイナンバーカードによるオンライン完結型で即時のKYCが普及すれば、安全性と利便性のバランスが良い方に流れて行くと思われます。
この辺りの話はOIDFJにてリポートを出しておりますので、ご参考下さい。
https://www.openid.or.jp/news/2020/01/kycwg-report.html
今回はドコモ口座と地銀が論点になっておりますが、不正犯はプリペイド残高の現金化(所謂マネロン)を行っているはずです。入り口から出口までを一気通貫で議論し、対策を検討しないと片手落ちになってしまいますので出口の強化も重要だと思います。この記事を読むと、今まで漠然と感じていたdアカウントに対するセキュリティの不安が明確になります。
確かに、dアカウントは、パソコンからでもアクセスして作成することが出来てしまいます。というより、古くからのドコモユーザーは、幾つものドコモユーザーアカウントを経て今のdアカウントになっているので、dアカウントを作ったという認識がない人も多いのでは?
→私はそうです、長いドコモユーザーなので。
銀行口座を使った本人確認手続きは、日本では金融庁が認めている手続きではありますが、日本のように、かつては銀行口座が簡単に作れてしまう国で、銀行口座の4桁の暗証番号と氏名だけで本人確認が出来てしまうのは、安易ですね。
つまり、銀行口座の管理レベルが銀行によってかなり差がある実情を考えると、これを一律に本人確認手続きと認めることにも問題があると感じます。
ちなみに、今銀行では、住所変更手続きをコールセンターだけで完結するサービスが導入されつつあります→私がやったのはメガバンクだけ
これだと、その口座の本当の所有者であることを、通帳に記帳してある口座残高を使うので、いわゆる休眠口座だと本人すら利用出来ないと思われます。
中々良く出来ているな…と、使って感じましたが、通帳そのものが廃止されると使えないサービスでもあります。通帳を有料化したら、どうするのか?気になります。
