ゆうちょ銀の緊急会見、「二要素認証、決済事業者に求めていた」は本当か(Impress Watch) – Yahoo!ニュース
https://news.yahoo.co.jp/articles/5b6cf78da0559baac3897f0ec2b7493270a4e2da
9/17(木) 6:00配信
NTTドコモの「ドコモ口座」での発覚に端を発し、多くのスマートフォン対応決済サービスと金融機関で判明してきた不正な預金引き出し。
被害が発生した金融機関のひとつ、ゆうちょ銀行が16日夕方、緊急会見を開催し、代表執行役副社長の田中進氏が、現時点で把握している被害の状況、今後の対策を語った。
田中副社長は「これまで決済サービス事業者に二要素認証の導入をお願いしていたが合意にいたらなかった」とコメント。近日、早期に導入して対策とする考えを示した。
その一方で、決済サービス事業者からは「そのような依頼を受けたことはない」という声が出ており、ゆうちょ銀行側の説明に大きな疑問符が付く。
■被害状況
(中略)
■対策について
現在、連携を止めている決済サービスとは、その多くで9月17日までに口座登録時に二要素認証が導入される予定だ。ゆうちょ銀行自身の用意する二要素認証は、音声通話を活用するIVR認証(2019年1月導入)や、通帳残高の入力を求める認証(2020年5月)になるという。
この二要素認証は、ゆうちょ銀行にとって、不正な預金引き出しの大きな防止策と位置づけられているが、これまでゆうちょ側の二要素認証は、多くの決済サービスで活用されてこなかった。
なぜこれまで導入されてこなかったのか。
■「強く求めてきた」「依頼はない」食い違う言い分
ゆうちょ銀行の田中氏は「二要素認証の導入を決済事業者に強く求めてきた。しかし合意にいたらなかった」と説明。「私どもなりにお願いしてきたが、十分だったのか。我々にも反省すべき点がある」と反省する姿勢を見せる。
これに、決済サービス事業者のひとつであるLINE Payは「ゆうちょ銀行側が二要素認証を導入した段階で、そもそも依頼がなかったと認識している」と本誌取材に回答。LINE Payは「私どもはセキュリティ対策に注力したと自負している。もしそうした依頼があれば前向きに検討する」とも説明する。
さらに本誌では、複数の決済事業者から「そうした依頼はなかった」「電話で、二要素認証の導入計画の考えを示されたことはあったが、その後、話はなかった」などの回答を得た。そうした中の1社、メルペイは「二要素認証を入れる旨のコミュニケーションがあったのは直近」としている。
またゆうちょ銀行口座の登録数が約450万件と、他社よりも遥かに多いPayPayでも「ほかの地銀では、二段階認証を導入する話が打診され、その後、実際に導入された。私どももセキュリティは向上したい。やりたくないから入れられないわけはない」と本誌にコメント。
16日の緊急会見における質疑でも、参加した記者から「決済サービス側からそうした依頼はなかったという声がある」と指摘があがった。これに、ゆうちょ銀行の田中氏は「私どもの力が足りなかった」と回答。
田中氏は「二要素認証を入れていただければ、かなりのセキュリティ向上になるのではないか、というのが基本的な認識」とその重要性を語る場面もあった。
しかし、決済事業者側の回答を踏まえると、田中氏の言う「強く求めた」といった打診が、本当に実行されていたのか疑問を抱かざるを得ない。少なくとも、ゆうちょ側と決済事業者側の認識に大きな隔たりがあることは明らかで、その状況が放置されてきたことになる。
■ほかの金融機関との情報共有もなし
(中略)
そうした上で、問題解決に向け、金融庁や、ほかの金融機関と情報交換をしているのか? という問いには「萌芽はある」と語るにとどまり、今回の不正利用に関して明確な動きには至っていないことを明らかにした。
(中略)
スマートフォンを使っていなくても、スマホ決済サービスを使っていなくても、口座を持つ、全てのユーザーが被害をこうむる可能性がある事案。田中氏は、記帳が難しい高齢者や過疎地の人々に向けた取り組みとしては、今回、特別なチームを立ち上げるといった施策は「まだ着手していない」とも語っており、ゆうちょ側の説明や取り組みが不十分という印象を残す会見となった。
全文はソース
言った言わないで擦り付け合いwww
クソ銀行もクソ決済業者も金を取り扱う資格無しw
『強く』の部分は嘘だと思う。
酒飲んだお客さん(提携先)に代行、
軽くすすめたのに断られたから
飲酒運転と知りつつ見逃しただけのよう。
>>1 「依頼はない」
この発言を許容してはなならない。
サービス提供者が、自分のサービスのセキュリティレベル実現に必要な要件を「提示する」のである。
IVR認証: これ、スマホによってうまくいかないのあったんだけど、、、。
>>1
まーたゆうちょ 日本郵政のウソつきか
田中副社長は「これまで決済サービス事業者に二要素認証の導入をお願いしていたが合意にいたらなかった」とコメント。近日、早期に導入して対策とする考えを示した。
その一方で、決済サービス事業者からは「そのような依頼を受けたことはない」という声が出ており
ドコモ口座が2要素認証しても犯罪者が作ったアカウントに犯罪者以外がアクセスできなくなるだけ。
ゆうちょの口座からお金を不正に引き出すことの防止にはならないんじゃないの?
この二要素認証というのは銀行口座に紐付けるタイミングで要求する二要素認証のこと
つまりゆうちょ側で用意してるシステムの二要素認証
そうだとするとゆうちょが資金移動業者にお願いするのはおかしくない?
おかしいよ
この部分は記者からも突っ込まれてる
記事ちゃんと読んでませんでした。ゆうちょは2要素認証する口と、そうじゃない口の2つ用意していて資金移動業者に2要素の口を使ってほしいとお願いしてたのに資金移動業者はそっちを使ってくれなかったということね。
間違ったコメント書いてすみません。
>>80
口が2つあるというのはちょっと違うかな
口は1つで、二要素認証をオンオフ出来るだけ
オンオフできるのはゆうちょ側
二要素認証を使うかどうかは事業者側は選択できない
口座連携を止めるべき
アホか。
まず第一に不正送金防止の責任を負ってるのは手前だろうが。
提携先に責任丸投げしてどうする。
本当ゆうちょはクズだな。いつまで殿様商売してんだ。
とっとと潰れろ。
4桁の暗証番号でアクセス可能にしていた地銀が悪いだろw
通所の民間では考えられない
> 「これまで決済サービス事業者に二要素認証の導入をお願いしていたが合意にいたらなかった」
のに連携はしたってことなの?
>>7
導入をお願いしていた→危険性は認識していた。
サービス提供→顧客の安全性より利益重視
クズだねぇ。
如何に後出しで適当な言い逃れしてるか解るよな
「条件が折り合わなかった」けど「契約はした」
てのと同じ位支離滅裂な事言ってるって自分で気付かんもんかねえ
二要素認証が重要だとゆうちょ銀行が思ってるならそれを契約の条件にすべきだよね
合意に至らないのに提携してるなら二重認証なしで郵貯が合意してるんだよなw
責任逃れ郵貯は生命保険でやらかして反省してないな
国営時代は責任なんて取らないで済んでたから、
言い訳が幼稚でみっともない
個人レベルの言った言わないの責任逃れは大企業同士では起こり得ない
ゆうちょ銀が「強く求めてきた」証拠を提示できなければ詰み
これが本当だとして、認証の合意はできなかったのにサービス提供には合意したの?
それだとするとわざとザルセキュリティーにしたってことじゃね?
やっぱり近くに都銀がない人なの?
俺は利用したいと思ったこと無いけど
くそ田舎は、 ゆうちょ、農協(JA、)地銀、~県信用金庫、などしかない。大手銀行は遠いか無い
地方に行けば県庁所在地ですら都市銀行は1つあるかどうかっていうところもある
あっても街外れでアクセス悪かったりするし、最近は出張所で窓口がなくてATMしかなくて非常に不便だったりする
ちなみに俺の出身地高知県は50年以上前から宝くじのみずほ銀行以外の都市銀の支店は一切できたことはなく今でもみずほ1支店のみ
必然的に地元の銀行かゆうちょみたいなどこでもアクセスできるところにする
一連の流れで入力したメルアドやSMSにワンタイムパスワード送るのが2段階
2stepと2factor
セキュリティなめんな
なんで求める話になるんだろ?
>>40
二要素じゃない接続も認めてたって事だろ
要するにゆうちょ銀行の責任逃れ
その説明が本当なら〇〇までに二要素にしないと、
相互接続は遮断するという交渉をするはず
>>48
そもそも導入するのがゆうちょ側なんだよな
口座振替システムに2要素認証を導入するという話なので
事業者はお願いされても触れない部分
ゆうちょ側に登録してある電話番号かメルアドか使わないと意味ないしね。
民間企業になったのにも関わらず、セキュリティ対策を出来なかった。
が正しい認識
どこも報道しないってやる気あるのか?
互いのシステムをネットなどで密につなぐ場合、通常は、必要な範囲で、双方のセキュリティーポリシーを相手側に開示する。
これは文書(電子ファイル)の形式になるはず。
IT関連の文書は、設計書や通信規約、コーディング規約、さらには運用手引き(マニュアル)に至るまで、
すべてバージョン管理(作成や修正の年月日、主要な修正点を箇条書き)して管理する。
「二要素認証、決済事業者に求めていた」というなら、こうした開示したセキュリティポリシーのバージョン等を明示できるはず。
「言った」「言わない」のような問題など起こりえない。
デタラメを言ってはだめだよ。
事前に連携テストはやっているわけで、ゆうちょが知らない訳がない
ファイヤーウォール以前の問題だからな
それはユーザーが直接負担してないよね?
「なぜそんなカスみたいな件でわざわざ出なくてはならないのか、下層愚民の相手など私のする事ではない」 だろうねぇ
ゆうちょ銀行も大手銀行もいい加減だ。
ドコモにしろ、銀行にしろ内部の犯罪協力者がいるのだろう。
決済事業者のアカウントが保護されるだけでしょ
引用元: ・【不正利用】ゆうちょ銀の緊急会見、「二要素認証、決済事業者に求めていた」は本当か 複数の決済事業者「そうした依頼はなかった」 [trick★]