全銀協、ドコモ口座問題を受け、認証強化などを銀行に要請
コメント
注目のコメント
今回のドコモ口座の不正事案の議論を見るに、資金移動事業者のアカウント開設プロセスとオンライン口座振替契約のプロセスを一括に議論しているケースが散見されます。
ドコモ口座は、前払い部分は前払いとして適切なアカウント登録プロセスであったのか?モニタリングを含めたAML/CFTの与件を満たしていたのか?といった観点で議論するべきです。
その上で、昨今の情勢からしてメールアドレスだけでは不十分であろうといった事は検討して然るべきですが、犯収法規定のKYCがなされていないといった指摘は前払い事業者に対しては的はずれであり、それが不備として指摘されうるのであれば、日本中のサーバ型前払い事業者が同様の議論にさらされることになります。
他方、被害にあった銀行のオンライン口座振替のプロセスがセキュリティ的に不十分ということであれば、それは指摘されて然るべきであり、どうやって改善するかを検討し実装すれば良い話です。これは資金移動事業者ではなく銀行の役割です。
もちろん、資金移動事業者に非がないかと聞かれれば、事前の対策は打ちようはありましたし、実際に他の事業者は過去の経験から様々な不正対策を行っています。狙われたのには理由があるでしょう。
しかし、オンライン口座振替プロセスのセキュリティ強度の高低に大して資金移動事業者に責任を問うのは流石にお門違いでしょう。
決済サービスは、様々なプレイヤーが協力して成り立っていますから、単純に一人が悪いということではなく、複合的な要素を捉え、個々の責任分界点の範囲を理解した上で議論するべきです。このニュースを別記事で読んだときにモヤモヤとしたのは「複数の認証手段を組み合わせるなど」という部分です。
7Pay事件以来バズワード化した感もある「二段階認証」ですが、IT関連の現場で実際に広く使われる言葉は「二要素」もっと一般的には「多要素認証」(MFA)です。MFAの方が「二段階認証」よりも明確な定義を持ち、各国の規制で取り入れられているのもこちらです。
「複数の認証手段を組み合わせるなど」を読んでモヤモヤしたのは、これは多要素認証の事を言っているのは否か判別に困ったからです(この記述だけではMFAとはいえません)。「など」と大変日本語的でもありますし。
EUで施行されているPSD2では「強い顧客認証(SCA)」として多要素認証が明確に定義されており、"PSD2 SCA"で画像検索するとSCAで使われる三つの要素のインフォグラフィックが沢山出てきます。
これなんか可愛い。
https://www.sharetribe.com/academy/wp-content/uploads/2019/08/Marketplace-SCA-elements.png
全銀協の中では認証方式について明確な要件が定義されていて銀行間で共有されているのかもしれませんが、最終的にそれを利用するのは銀行の利用者です。
この際「銀行のオンライン利用には今後こんな方法が必要になります」と多要素認証を明確に定義してメディアを通じて一般にも解りやすくアピールするのも有りなのではないかと思います。決済サービス事業者と金融機関、いずれか一方を糾弾する論調が目立ちますが、
一義的には決済サービス事業者の問題、ただし金融機関にも問題あり
という評価が妥当と考えます。
まず、今般の不正利用された銀行取引は、「口座振替」。家賃、保険、クレカetc.の引落しと同じ仕組みです。
(cf. 昨今話題になる「オープンAPI」とは別物)
「振込」と比べて安全な(=不正利用の発生可能性が低い)取引形態とみなされており、ゆえに簡易な認証を維持している金融機関が相当数存在していると考えられます。
金融機関側に改善の余地があるのはこの部分であり、ゆうちょ銀の場合は対応が間に合わず止血措置として連携停止の判断を下したと推察します。
改善策としては二要素認証(ワンタイムパスワード等)の追加が挙げられますが、フィッシング等の手法で突破された事例が判明しており完全ではありません。
見かけ上は「普通の」取引に見える口座振替であるため、取引監視にも限界があります。
(cf. 「振込」の場合、振込先の口座情報や振込金額を切り口とした監視が可能です)
そうなると、被害の防止は決済サービス事業者側のセキュリティ対策にかかってくる訳ですが、本人確認等を接続する金融機関にもたれかかっている事業者が残存しているのが実情です。
金融犯罪対策は、関係するプレーヤー各々による多層防御が必須です。
