ニッポン放送「飯田浩司のOK! Cozy up!」(9月16日放送)にジャーナリストの佐々木俊尚が出演。不正引き出しが問題となっている電子決済サービスについて解説した。
電子決済サービスの不正引き出し
高市総務大臣は9月15日、ゆうちょ銀行が提携する電子決済サービスのうち、「ドコモ口座」以外にも5つのサービスで被害が確認されていることを明らかにした。ゆうちょ銀行は提携するキャッシュレス決済事業者12社のうち、合計10社との新規登録や入金サービスを一時停止している。
飯田)銀行の方も、ゆうちょだけではありません。
ドコモ口座ではなく、2段階認証していないゆうちょの問題
佐々木)ゆうちょで不正引き出しがあったのは、ペイペイなどです。これまでは「ドコモ口座がいけない」という話でした。そこにペイペイが入って来た。ドコモ口座とペイペイは違います。アカウントを登録する際、ドコモ口座で必要なのはメールアドレスだけで、携帯電話の番号もいらずに緩いため、それが原因だと言われていました。しかし、ペイペイは2段階認証です。IDとパスワードを登録するときには、自分の電話番号の登録が必要です。電話番号を登録すると、番号あてにSMSのメッセージで暗証番号が送られて来ます。その暗証番号を入力して、初めてアカウント登録が成立します。これはグーグル、アップル、アマゾンでもやっている世界標準ですが、そこも抜かれたということは、ペイペイやドコモ口座側の問題ではないのです。それらに銀行からお金をチャージするとき、銀行側が2段階認証をしていないことが問題なのです。要するに、今回のペイペイのケースで言うと、ゆうちょ口座の口座番号、氏名、生年月日、暗証番号4桁が抜かれてしまうと、どこにでもチャージできてしまうということです。
暗証番号がなぜ漏れるのか~さまざまな攻撃手段
飯田)横浜市港北区の“にごり酒”さん、52歳の会社員の方からメールをいただいています。「暗証番号を何らかの形で入手したと報道で伝えられていますが、どうやって入手するものなのですか?」とあります。
佐々木)いろいろな方法があります。海外で怪しげなサービスを利用してしまい、そこで使った暗証番号が漏洩して、そこから紐付けられ、同じ人物が持っている他のアカウントも同じ暗証番号だという、連想ゲームのようなこともできます。銀行のATMでお金を引き出すときに、カードを入れて暗証番号を3回ほど間違えると、カードが出て来なくなりますよね。
飯田)ロックがかかってしまいます。
佐々木)PCからネットバンキングを利用するときも同じです。同じ口座番号で別の暗証番号を試すと、ロックされてしまいます。でも暗証番号を「1234」としている人は世のなかに一定数いるだろうとして、その「1234」という暗証番号を入れ、口座番号を変えて行くというやり方をすると、ロックされません。パソコンだとカードが要らないので、口座番号「0000001」から順に、無数に試すことができてしまう。こういう攻撃方法があるのです。暗証番号は、わずか4桁ですから。
飯田)あっという間に抜かれてしまうのですね。
問題なのは2段階認証をしていないゆうちょと地銀~大手メガバンクは抜かれない
佐々木)ネットサービスのパスワード設定をするときは、大文字、小文字、数字を入れましょうなど、うるさいですよね。8桁以上にしろだとか。でも銀行は、わずか4桁で数字のみです。しかも2段階認証がありません。今回、ドコモ口座にしろ、ペイペイにしろ、大手メガバンクは抜かれていません。なぜかというと、2段階認証にしているからです。抜かれているのは、ゆうちょと地銀です。ゆうちょ、地銀は2段階認証がなく、暗証番号だけで口座から引き出すことができてしまいます。この問題は、ドコモは決して無罪ではありませんが、最大の問題はゆうちょと地銀が、緩い認証でお金を引き出せるようにしていることです。
ジャパンネット銀行と新生銀行の場合
飯田)ネットバンキングでやると、事前にトークンという小さな機材に、ワンタイムパスワードが発行されますよね。
佐々木)ジャパンネット銀行も、クレジットカードサイズの小さな液晶画面があって、ワンタイムパスワードである6桁の数字が毎回表示されます。新生銀行では、引き出しをしようとすると、スマホのアプリにメッセージが来て、スマホ側で認証しないとお金を送金できません。新しい銀行やメガバンクではそういう対応をしていますが、そこまでやっていないところが多いです。このように、IT化が弱いところを、デジタル庁で「何とかしてくれ」という話になるのですね。
デジタル化の流れに出て来るであろう、縦割りの問題
飯田)そうなると、一般の地銀の管轄官庁は金融庁になります。今回、高市総務大臣が会見したのは、ゆうちょはもともと郵政省であって、総務省だからということですよね。縦割りがいろいろなところに出て来そうですね。
佐々木)これでデジタル庁ができて、平井卓也さんが大臣になり、仮に「ゆうちょ、地銀の認証が緩すぎるから何としろ」と言っても、総務省と金融庁が「うん」と言わなければ進みません。総務省と金融庁からすれば、「新しい省庁が何をえらそうに言っているのだ」となります。その上にいる菅さんなどが、「やれ」と言わなければなりません。そうやって来なかったのが、この20~30年の霞が関の問題だったのです。過去に、電子カルテも早い段階から経産省は実証実験をしていて、「できます」と言っていたのに、反対したのは厚生労働省と医師会です。あげくに東日本大震災が起きて、カルテが津波で流出し、処方箋も出なくなって大変な目にあった。あれで電子カルテ化がようやく進んだのです。
飯田)それもメーカーによって規格が変わるから、互換性をどうするのかとか。
佐々木)本当はクラウドで統一したプラットフォームにした方がいいという話ですが、そうすると、あれやこれやと言って来る人がたくさんいます。あらゆる場面でそれが及んでいます。
飯田)メーカーの方は経産省、お医者さんは厚生労働省だし。
佐々木)教育では文科省が何か言って来たりと、みんな何か言いたくて仕方がないのです。「俺の権限は手離さない」という役人がたくさんいるので。
飯田)縦割りの問題は昔から言われているので、もう解決したのだろうと思いがちですが、そんなことはないですよね。
番組情報
忙しい現代人の朝に最適な情報をお送りするニュース情報番組。多彩なコメンテーターと朝から熱いディスカッション!ニュースに対するあなたのご意見(リスナーズオピニオン)をお待ちしています。