「SBIや三菱UFJも被弾」相次ぐ不正出金のウラに隠れたもう1つの危ない現実
コメント
注目のコメント
セブンペイ、ドコモ口座、SBI証券、それぞれの事例は同じ不正被害であっても、手口は全く異なります。だからなんとかペイは危険なんだ!証券や銀行も駄目なのか?という論調になってしまっては議論が前に進まないので、それぞれの事例を冷静に把握をして、各サービスの脆弱性に対して適切な対応策が行われたのかを見ていかなければなりません。
まず、IDとパスフレーズによるログインが機微情報を保管するサービスにおいて、強度が十分なのか?という議論は認証界隈ではされつくしていますから、決済や金融のように高い認証強度を必要とするサービスを定義し、多要素認証やFIDOの導入等を行うべきというのは言わずもがなでしょう。
次にドコモ口座の開設については、記事にある通り、メールアドレスによる登録からSMSによる登録に変える事で、大量アカウントを作成する手間を増やす事で狙われ難くし、さらにeKYCを導入するということですから、他の多くのペイメントサービスと同等ないしは以上の登録の手間となり対策と言えるでしょう。
この手間がかかるというのが不正対策では重要な点で、SMSにしたから不正登録が起きないわけではありません。現代の多くの不正事案は愉快犯ではなくビジネスなので、不正を実現する為のコストを上げる事でビジネスとして成立しなくする事が対策になります。
また今回狙われたオンライン口振のチャネルのセキュリティ強度をどうするのか?という事は、当事者の銀行やシステム会社が、暫時的には接続先を絞るという対応、その後に認証強度の強化や対応策を検討されているはずです。
最後にSBIの事案ですが、他人名義の本人確認書類による口座開設というのは古くからある手口ではありますが、今回の事案は窓口による対面KYCでの口座開設という話もあります。
書類の確認を目を皿のようにしてというのはあまり建設的な話ではないので、対面においても偽造や虚偽申告が困難なマイナンバーカード等の本人確認書類を使う事を推奨し、その他の本人確認書類の場合は、一定の審査期間を経て後から開設するといったことは考えられると思います。よくまとめられた記事。
決済サービス登録時の本人認証
銀行側の多段階認証。
それを増やす、見直すことで不正はゼロにはなりませんが、ゼロに近づけることはできるということです。
塀に囲まれて鍵が何個もあって、SECOMしてて
家の中にドーベルマンやらチベットマスティフ(見た目ライオン)がいても泥棒が入る可能性はありますが、わざわざそんな家狙わないでしょ。今回の件でドコモ口座の本人確認の方法は制度的に認められた広く使われている方法との指摘もありましたが、現在わらわら出てきているのは認証強度が弱くてもそのまま使われてきた事実です。
ゆうちょ銀行、ずさんな本人確認 なぜ二要素認証の導入が遅れたのか 田中副社長「決済事業者と合意に至らず」
https://newspicks.com/news/5232363
この辺り、フィンテックと銀行が連携する際に必要な認証の強度なども含め法律も含めた制度面がちゃんとアップデートされているのかは問われてよいと思います。
eKYCとはなにか。ドコモ口座問題で注目を集める「本人確認」
https://newspicks.com/news/5231078
「銀行の口座開設時は犯罪収益移転防止法規定の本人確認が必須だが、フィンテック事業者は特に規定がないため、メールアドレスのみの認証やSMS認証、eKYC、銀行依拠などの手法が混在。送金・出金・チャージといった場合は、銀行もフィンテック事業者もID・パスワードや口座番頭と暗証番号といった単一認証で済ませている場合もある」
EUのPSD2指令はフィンテック業者も対象で、参照系・更新系ともに多要素認証が必須です。またアンチマネーロンダリングも関連するためオンボーディング時のKYCも普通です。