【不正利用】ゆうちょ銀の緊急会見、「二要素認証、決済事業者に求めていた」は本当か 複数の決済事業者「そうした依頼はなかった」
1: 名刺は切らしておりまして 2020/09/17(木) 09:29:01.84 ID:CAP_USER

ゆうちょ銀の緊急会見、「二要素認証、決済事業者に求めていた」は本当か(Impress Watch) – Yahoo!ニュース
https://news.yahoo.co.jp/articles/5b6cf78da0559baac3897f0ec2b7493270a4e2da
9/17(木) 6:00配信
NTTドコモの「ドコモ口座」での発覚に端を発し、多くのスマートフォン対応決済サービスと金融機関で判明してきた不正な預金引き出し。
被害が発生した金融機関のひとつ、ゆうちょ銀行が16日夕方、緊急会見を開催し、代表執行役副社長の田中進氏が、現時点で把握している被害の状況、今後の対策を語った。
田中副社長は「これまで決済サービス事業者に二要素認証の導入をお願いしていたが合意にいたらなかった」とコメント。近日、早期に導入して対策とする考えを示した。
その一方で、決済サービス事業者からは「そのような依頼を受けたことはない」という声が出ており、ゆうちょ銀行側の説明に大きな疑問符が付く。

■被害状況
(中略)

■対策について
現在、連携を止めている決済サービスとは、その多くで9月17日までに口座登録時に二要素認証が導入される予定だ。ゆうちょ銀行自身の用意する二要素認証は、音声通話を活用するIVR認証(2019年1月導入)や、通帳残高の入力を求める認証(2020年5月)になるという。
この二要素認証は、ゆうちょ銀行にとって、不正な預金引き出しの大きな防止策と位置づけられているが、これまでゆうちょ側の二要素認証は、多くの決済サービスで活用されてこなかった。
なぜこれまで導入されてこなかったのか。

■「強く求めてきた」「依頼はない」食い違う言い分
ゆうちょ銀行の田中氏は「二要素認証の導入を決済事業者に強く求めてきた。しかし合意にいたらなかった」と説明。「私どもなりにお願いしてきたが、十分だったのか。我々にも反省すべき点がある」と反省する姿勢を見せる。
これに、決済サービス事業者のひとつであるLINE Payは「ゆうちょ銀行側が二要素認証を導入した段階で、そもそも依頼がなかったと認識している」と本誌取材に回答。LINE Payは「私どもはセキュリティ対策に注力したと自負している。もしそうした依頼があれば前向きに検討する」とも説明する。
さらに本誌では、複数の決済事業者から「そうした依頼はなかった」「電話で、二要素認証の導入計画の考えを示されたことはあったが、その後、話はなかった」などの回答を得た。そうした中の1社、メルペイは「二要素認証を入れる旨のコミュニケーションがあったのは直近」としている。
またゆうちょ銀行口座の登録数が約450万件と、他社よりも遥かに多いPayPayでも「ほかの地銀では、二段階認証を導入する話が打診され、その後、実際に導入された。私どももセキュリティは向上したい。やりたくないから入れられないわけはない」と本誌にコメント。
16日の緊急会見における質疑でも、参加した記者から「決済サービス側からそうした依頼はなかったという声がある」と指摘があがった。これに、ゆうちょ銀行の田中氏は「私どもの力が足りなかった」と回答。
田中氏は「二要素認証を入れていただければ、かなりのセキュリティ向上になるのではないか、というのが基本的な認識」とその重要性を語る場面もあった。
しかし、決済事業者側の回答を踏まえると、田中氏の言う「強く求めた」といった打診が、本当に実行されていたのか疑問を抱かざるを得ない。少なくとも、ゆうちょ側と決済事業者側の認識に大きな隔たりがあることは明らかで、その状況が放置されてきたことになる。

■ほかの金融機関との情報共有もなし
(中略)
そうした上で、問題解決に向け、金融庁や、ほかの金融機関と情報交換をしているのか? という問いには「萌芽はある」と語るにとどまり、今回の不正利用に関して明確な動きには至っていないことを明らかにした。
(中略)
スマートフォンを使っていなくても、スマホ決済サービスを使っていなくても、口座を持つ、全てのユーザーが被害をこうむる可能性がある事案。田中氏は、記帳が難しい高齢者や過疎地の人々に向けた取り組みとしては、今回、特別なチームを立ち上げるといった施策は「まだ着手していない」とも語っており、ゆうちょ側の説明や取り組みが不十分という印象を残す会見となった。

全文はソース

16: 名刺は切らしておりまして 2020/09/17(木) 09:59:52.82 ID:Bi2OV7IU
>>1
言った言わないで擦り付け合いwww
クソ銀行もクソ決済業者も金を取り扱う資格無しw

 

26: 名刺は切らしておりまして 2020/09/17(木) 10:17:21.65 ID:Y2B+a2lM
>>1
『強く』の部分は嘘だと思う。
酒飲んだお客さん(提携先)に代行、
軽くすすめたのに断られたから
飲酒運転と知りつつ見逃しただけのよう。

 

39: 名刺は切らしておりまして 2020/09/17(木) 10:40:05.60 ID:JZ4Il6FU

>>1 「依頼はない」
この発言を許容してはなならない。
サービス提供者が、自分のサービスのセキュリティレベル実現に必要な要件を「提示する」のである。

IVR認証: これ、スマホによってうまくいかないのあったんだけど、、、。

 

55: 名刺は切らしておりまして 2020/09/17(木) 11:18:22.26 ID:dRZdyYxu

>>1
まーたゆうちょ 日本郵政のウソつきか

田中副社長は「これまで決済サービス事業者に二要素認証の導入をお願いしていたが合意にいたらなかった」とコメント。近日、早期に導入して対策とする考えを示した。
その一方で、決済サービス事業者からは「そのような依頼を受けたことはない」という声が出ており

 

68: 名刺は切らしておりまして 2020/09/17(木) 11:44:23.41 ID:aHED1WJX
>>1
ドコモ口座が2要素認証しても犯罪者が作ったアカウントに犯罪者以外がアクセスできなくなるだけ。
ゆうちょの口座からお金を不正に引き出すことの防止にはならないんじゃないの?

 

74: 名刺は切らしておりまして 2020/09/17(木) 12:28:57.55 ID:B0jBiJd+
>>68
この二要素認証というのは銀行口座に紐付けるタイミングで要求する二要素認証のこと
つまりゆうちょ側で用意してるシステムの二要素認証

 

76: 名刺は切らしておりまして 2020/09/17(木) 12:39:49.88 ID:BzulHvdW
>>74
そうだとするとゆうちょが資金移動業者にお願いするのはおかしくない?

 

77: 名刺は切らしておりまして 2020/09/17(木) 12:42:39.09 ID:mSIVE3uy
>>76
おかしいよ
この部分は記者からも突っ込まれてる

 

80: 名刺は切らしておりまして 2020/09/17(木) 12:52:31.39 ID:BzulHvdW
>>77
記事ちゃんと読んでませんでした。ゆうちょは2要素認証する口と、そうじゃない口の2つ用意していて資金移動業者に2要素の口を使ってほしいとお願いしてたのに資金移動業者はそっちを使ってくれなかったということね。
間違ったコメント書いてすみません。

 

83: 名刺は切らしておりまして 2020/09/17(木) 12:56:24.95 ID:mSIVE3uy

>>80
口が2つあるというのはちょっと違うかな
口は1つで、二要素認証をオンオフ出来るだけ
オンオフできるのはゆうちょ側

二要素認証を使うかどうかは事業者側は選択できない

 

69: 名刺は切らしておりまして 2020/09/17(木) 11:54:23.33 ID:o1ywg+q/
>>1
口座連携を止めるべき

 

109: 名刺は切らしておりまして 2020/09/17(木) 16:49:50.50 ID:Tm1z5ouP
>>1
アホか。
まず第一に不正送金防止の責任を負ってるのは手前だろうが。
提携先に責任丸投げしてどうする。
本当ゆうちょはクズだな。いつまで殿様商売してんだ。
とっとと潰れろ。

 

126: 名刺は切らしておりまして 2020/09/17(木) 19:43:19.11 ID:SqRkFEn8
>>1
4桁の暗証番号でアクセス可能にしていた地銀が悪いだろw

 

2: 名刺は切らしておりまして 2020/09/17(木) 09:31:22.92 ID:f/QpFa7z
そもそも口座登録部分のシステムはゆうちょ側のものでしょう

 

3: 名刺は切らしておりまして 2020/09/17(木) 09:34:33.42 ID:tpF6xWIy
責任逃れ合戦

 

4: 名刺は切らしておりまして 2020/09/17(木) 09:36:53.88 ID:nxvPQIOe
今更言った言わないの争いに

 

6: 名刺は切らしておりまして 2020/09/17(木) 09:43:07.09 ID:NZED9Txf
馬鹿みたいな会社だな
通所の民間では考えられない

 

7: 名刺は切らしておりまして 2020/09/17(木) 09:45:23.56 ID:uuHDDLqZ

> 「これまで決済サービス事業者に二要素認証の導入をお願いしていたが合意にいたらなかった」

のに連携はしたってことなの?

 

20: 名刺は切らしておりまして 2020/09/17(木) 10:05:48.69 ID:WIjd5WyQ

>>7
導入をお願いしていた→危険性は認識していた。
サービス提供→顧客の安全性より利益重視

クズだねぇ。

 

27: 名刺は切らしておりまして 2020/09/17(木) 10:21:41.99 ID:Rfx84koq
>>7
如何に後出しで適当な言い逃れしてるか解るよな
「条件が折り合わなかった」けど「契約はした」
てのと同じ位支離滅裂な事言ってるって自分で気付かんもんかねえ

 

28: 名刺は切らしておりまして 2020/09/17(木) 10:25:28.17 ID:AD31+5ak
>>7
二要素認証が重要だとゆうちょ銀行が思ってるならそれを契約の条件にすべきだよね

 

107: 名刺は切らしておりまして 2020/09/17(木) 16:13:28.62 ID:jTPxA842
>>7
合意に至らないのに提携してるなら二重認証なしで郵貯が合意してるんだよなw
責任逃れ郵貯は生命保険でやらかして反省してないな

 

8: 名刺は切らしておりまして 2020/09/17(木) 09:46:20.88 ID:VEfOtQss
そもそも口座連携って銀行が銀行の権限でやるもので、二要素認証は強く要請するものじゃないよね

 

9: 名刺は切らしておりまして 2020/09/17(木) 09:49:10.36 ID:VEfOtQss
決済事業者にお願いしても、Web口座振替のシステムへの二要素認証の導入はゆうちょ銀行にしか変更できない

 

10: 名刺は切らしておりまして 2020/09/17(木) 09:49:46.75 ID:UjHGwMcT
かんぽも郵貯もゴミだな
国営時代は責任なんて取らないで済んでたから、
言い訳が幼稚でみっともない

 

11: 名刺は切らしておりまして 2020/09/17(木) 09:50:43.49 ID:ZdsOxRIC
「強く求めてきた」のが事実ならば文章かメールか議事録が残ってるだろ。
個人レベルの言った言わないの責任逃れは大企業同士では起こり得ない
ゆうちょ銀が「強く求めてきた」証拠を提示できなければ詰み

 

13: 名刺は切らしておりまして 2020/09/17(木) 09:51:29.94 ID:f9CZfBua
議事録も取らずに会議や打ち合わせしてきたんか?

 

14: 名刺は切らしておりまして 2020/09/17(木) 09:52:43.13 ID:X5TImnWV
言い訳は良いから現段階分は保証してさっさとやれ

 

17: 名刺は切らしておりまして 2020/09/17(木) 10:00:00.58 ID:hRtMDvLU
実際無いのに認可したら一緒

 

21: 名刺は切らしておりまして 2020/09/17(木) 10:09:06.86 ID:BIAcVESo
> 田中副社長は「これまで決済サービス事業者に二要素認証の導入をお願いしていたが合意にいたらなかった」とコメント
これが本当だとして、認証の合意はできなかったのにサービス提供には合意したの?
それだとするとわざとザルセキュリティーにしたってことじゃね?

 

22: 名刺は切らしておりまして 2020/09/17(木) 10:13:08.88 ID:GpRW07Md
どっちもどっちで責任のなすりつけあいwww

 

24: 名刺は切らしておりまして 2020/09/17(木) 10:14:56.38 ID:3yrVV/xF
なりすましで金融機関の口座作れるのが問題やろ

 

25: 名刺は切らしておりまして 2020/09/17(木) 10:16:21.91 ID:c2Eptfz4
地銀利用する人って
やっぱり近くに都銀がない人なの?
俺は利用したいと思ったこと無いけど

 

61: 名刺は切らしておりまして 2020/09/17(木) 11:27:21.21 ID:dRZdyYxu
>>25
くそ田舎は、 ゆうちょ、農協(JA、)地銀、~県信用金庫、などしかない。大手銀行は遠いか無い

 

70: 名刺は切らしておりまして 2020/09/17(木) 12:02:54.37 ID:ChUO3tGF
>>25
地方に行けば県庁所在地ですら都市銀行は1つあるかどうかっていうところもある
あっても街外れでアクセス悪かったりするし、最近は出張所で窓口がなくてATMしかなくて非常に不便だったりする
ちなみに俺の出身地高知県は50年以上前から宝くじのみずほ銀行以外の都市銀の支店は一切できたことはなく今でもみずほ1支店のみ
必然的に地元の銀行かゆうちょみたいなどこでもアクセスできるところにする

 

30: 名刺は切らしておりまして 2020/09/17(木) 10:28:31.33 ID:XfuF0jhe
二要素認証と二段階認証はどう違うんだよ

 

135: 名刺は切らしておりまして 2020/09/17(木) 23:18:16.00 ID:tqxJe7DD
>>30
一連の流れで入力したメルアドやSMSにワンタイムパスワード送るのが2段階

 

140: 名刺は切らしておりまして 2020/09/18(金) 00:36:29.22 ID:nMOAHfEm
>>30
2stepと2factor

 

31: 名刺は切らしておりまして 2020/09/17(木) 10:30:00.71 ID:M0A//Gcd
今後は、二段階認証では不十分で、二要素認証が主流になりそうだ。

 

34: 名刺は切らしておりまして 2020/09/17(木) 10:34:24.68 ID:BcouO1vx
なぜ犯人がわからんのじゃ

 

35: 名刺は切らしておりまして 2020/09/17(木) 10:35:15.41 ID:BcouO1vx
IPたどればすぐわかるじゃん

 

36: 名刺は切らしておりまして 2020/09/17(木) 10:36:23.56 ID:BcouO1vx
防犯カメラ見りゃわかるだろ

 

37: 名刺は切らしておりまして 2020/09/17(木) 10:37:21.62 ID:Qw2N7K1q
依頼なくても金融サービスやるんなら実装しろよ
セキュリティなめんな

 

40: 名刺は切らしておりまして 2020/09/17(木) 10:43:09.34 ID:DDDx3rEW
暗証番号+αの要素での接続方法はゆうちょ銀で提供しなきゃならんだろ?
なんで求める話になるんだろ?

 

48: 名刺は切らしておりまして 2020/09/17(木) 11:01:17.06 ID:E4pJELEI

>>40
二要素じゃない接続も認めてたって事だろ
要するにゆうちょ銀行の責任逃れ

その説明が本当なら〇〇までに二要素にしないと、
相互接続は遮断するという交渉をするはず

 

49: 名刺は切らしておりまして 2020/09/17(木) 11:04:17.18 ID:l+I+f+gW

>>48
そもそも導入するのがゆうちょ側なんだよな
口座振替システムに2要素認証を導入するという話なので

事業者はお願いされても触れない部分

 

136: 名刺は切らしておりまして 2020/09/17(木) 23:27:18.91 ID:tqxJe7DD
>>49
ゆうちょ側に登録してある電話番号かメルアドか使わないと意味ないしね。

 

41: 名刺は切らしておりまして 2020/09/17(木) 10:43:21.24 ID:ALZuAIO/

民間企業になったのにも関わらず、セキュリティ対策を出来なかった。

が正しい認識

 

42: 名刺は切らしておりまして 2020/09/17(木) 10:44:33.46 ID:85QpaFSX
で、引き落とした犯人はどうなったんだよ
どこも報道しないってやる気あるのか?

 

43: 名刺は切らしておりまして 2020/09/17(木) 10:44:47.15 ID:KX5QQI64

互いのシステムをネットなどで密につなぐ場合、通常は、必要な範囲で、双方のセキュリティーポリシーを相手側に開示する。
これは文書(電子ファイル)の形式になるはず。
IT関連の文書は、設計書や通信規約、コーディング規約、さらには運用手引き(マニュアル)に至るまで、
すべてバージョン管理(作成や修正の年月日、主要な修正点を箇条書き)して管理する。

「二要素認証、決済事業者に求めていた」というなら、こうした開示したセキュリティポリシーのバージョン等を明示できるはず。
「言った」「言わない」のような問題など起こりえない。
デタラメを言ってはだめだよ。

 

52: 名刺は切らしておりまして 2020/09/17(木) 11:12:14.11 ID:aSX0V9VK
実装されたかされていないかは試せば一発でわかる話
事前に連携テストはやっているわけで、ゆうちょが知らない訳がない

 

53: 名刺は切らしておりまして 2020/09/17(木) 11:16:47.79 ID:68Nh74md
そら天下りのスイーツ連中なんて
ファイヤーウォール以前の問題だからな

 

54: 名刺は切らしておりまして 2020/09/17(木) 11:18:03.38 ID:vj+UDw4r
決済サービスで金融機関側は手数料取ってるってこと?
それはユーザーが直接負担してないよね?

 

58: 名刺は切らしておりまして 2020/09/17(木) 11:22:10.68 ID:dRZdyYxu
ゆうちょ代表執行役副社長の田中進 ドコモといいクソ企業は社長が出て来ないねぇ
「なぜそんなカスみたいな件でわざわざ出なくてはならないのか、下層愚民の相手など私のする事ではない」 だろうねぇ

 

63: 名刺は切らしておりまして 2020/09/17(木) 11:31:19.53 ID:BwmYmM+z
凶悪犯罪者並みに、金を引き出した人間をマスコミが顔写真を公開しなければ疑心暗鬼が募るだけ。
ゆうちょ銀行も大手銀行もいい加減だ。
ドコモにしろ、銀行にしろ内部の犯罪協力者がいるのだろう。

 

65: 名刺は切らしておりまして 2020/09/17(木) 11:36:18.44 ID:vFyjKWgv
決済事業者のpayが二段階認証しても銀行口座は保護できないじゃん
決済事業者のアカウントが保護されるだけでしょ

 

66: 名刺は切らしておりまして 2020/09/17(木) 11:38:07.93 ID:vCvfnF5s
元公務員のゆうちょだから信用できない

 

72: 名刺は切らしておりまして 2020/09/17(木) 12:17:37.53 ID:Fdm6rfMX
印象としては、口でごまかそうとする姿勢を感じる。

 

73: 名刺は切らしておりまして 2020/09/17(木) 12:24:38.07 ID:8w4Cw2qS
つまり自分は被害者と。

 

引用元: ・【不正利用】ゆうちょ銀の緊急会見、「二要素認証、決済事業者に求めていた」は本当か 複数の決済事業者「そうした依頼はなかった」 [trick★]