はじめに
ウェブ上で口座振替するサービスが狙われた?
ある地方銀行で、システム責任者をしていた男性は指摘します。
「銀行側は、地銀ネットワークサービス(CNS)が提供するWeb口振受付サービスを使っていたところが多いと思われます。このサービスは元々、電気やガスなど公共料金支払いするため使われているもの。以前は、口座振替には書類を書いて捺印し、銀行に提出する手続きが必要でした。これがウェブ上でできるようになったのです」
「今回のようにWeb口振受付を悪用した不正チャージは予見できたことでした。そのリスクを認識していた地方銀行は既にセキュリティレベルを上げる対策を行っています。つまり、口座情報以外の認証要素を追加したのです」
「でも、システムの改修には多額の費用がかかる。断言はできませんが、対策を見送った銀行が今回の被害にあったと考えられます。銀行はお客さんの資産をお守りすることができなかった。想定外でしたという言い訳できません」
二段階認証ができていたかどうか
その対策として有効なのが、二段階認証だと言います。
「犯罪組織は、何らかの形で口座番号、暗証番号、生年月日などの情報を手に入れています。例えば、電話で行政機関や警察を名乗り、もっともらしいことを言えば、口座番号の情報をしゃべってしまう高齢者がいることは、皆さんも報道でご存知かと思います」
「仮に口座情報が洩れていても、お金を勝手に引き出せないようにする対策が必要です。例えば、登録していた携帯電話のSMSや、自宅の固定電話で受けとった番号を入力しないと、口座振替の手続きができないようにすべきでした」
ドコモ口座は”お金の出し先”として使われた
10日のドコモの会見で、丸山誠治副社長は再発防止策として、オンラインで本人確認ができる「eKYC」という仕組みや、SMS認証を必須化すると表明しました。
男性はなぜドコモ口座が使われたかについて、こう解説します。
「犯罪組織は銀行からお金を移動させ、安全に引き出せることができれば、どんな手段でも良かったのです。ATMなどで現金を引き出すにはカードが必要だし、監視カメラに映像が残る。そこで、誰でも開設できる、つまり本人確認がいらないドコモ口座に目をつけたのでしょしょう。ドコモ口座は”出し先”として使われました。足がつかない手段だったんです」