【不正】事業者がゆうちょに反論「2要素認証を行うのはゆうちょ銀行側であり、こちら側の了解を得て判断するものではない」 [雷★]

【不正】事業者がゆうちょに反論「2要素認証を行うのはゆうちょ銀行側であり、こちら側の了解を得て判断するものではない」 [雷★] at NEWSPLUS

1:雷 ★
20/09/18 13:32:48.74 A0A1ARIW9.net
(略)
そして先ほどのゆうちょ銀行のお知らせにあった「2要素認証」だ。サービス事業者のアカウントと銀行口座の接続において、相互で本人認証が行われることはセキュリティ上重要だ。2要素認証とは、2つの異なる要素（例えば「ID＋パスワード」と「トークン（ワンタイムパスワード）」や「生体認証」）を組み合わせる仕組みのことだ。
ゆうちょ銀行はWebを使った即時振替の認証において、以前までは口座番号と暗証番号の組み合わせなど、比較的突破が容易な手段しか提供していなかった。その後、2019年1月、2020年5月と段階的にセキュリティレベルを向上させ、現在では4項目＋2要素での認証を行っている。ただし、同行によれば「2段階認証を実際に導入するかはサービス事業者との了解によるもので、先方に導入してもらえるようお願いしてきた」（ゆうちょ銀行取締役兼代表執行役副社長の田中進氏）とのことで、了解が得られなかったので2要素認証でセキュリティを強化できなかったというスタンスを貫いている。
一方で、複数のサービス事業者らが事業者名と名前の両方を伏せたうえで「2要素認証を行うのはゆうちょ銀行側であり、こちら側の了解を得て判断するものではない」「そもそも2要素認証について相談されておらず、今回の措置について聞いたのも直前の出来事」と、寝耳に水の反応を見せている。
実際、ゆうちょ銀行が即時振替と呼ぶ「Web口座振替」では、口座登録時にサービス事業者のアプリ（またはサイト）からいったんゆうちょ銀行のページへと飛び、認証が完了した段階でその結果をサービス事業者側に通知する仕組みになっており、サービス事業者側が関知できるものではない。ゆえに、サービス事業者側としてもゆうちょ銀行が2要素認証を導入したからといってシステム的に対応することはなく、せいぜい登録方法について説明や誘導を促す程度しかない。
つまり、ゆうちょ銀行が「サービス事業者の了解が得られないのでセキュリティ強化が進まなかった」と述べているが、サービス事業者側では「セキュリティ強化の裁量はゆうちょ銀行にあるのに、なぜわれわれの了解が必要でそれが原因と責任転嫁をするのか」と嘆いている構図だ。
ドコモ内部の不可思議な動き
今回の件では、前述のゆうちょ銀行の説明をはじめ、いろいろ不可思議な点が多い。例えば「なぜ被害が報告され始めた時点でドコモ口座を停止できなかったのか」「被害の直接の原因をドコモの本人確認不足によるものとして収束させようとしている」といった具合に、主にドコモにおいてドコモ口座まわりの対応の遅さと、案件をすべて1社で抱え込もうという動きが目立っていた。
後者について、実際には他のサービス事業者でも問題は発生していたわけで、サービス事業者側での本人確認の問題はもちろんのこと、Web口座振替における銀行側のセキュリティの弱さを突かれた側面が大きい。ゆうちょ銀行の会見がなければ、このままドコモの問題として取り扱われて話題がフェードアウトしていた可能性もあり、その点で銀行が潜在的に抱える問題にまで踏み込めた点で一連の会見の功績は大きい。
今回、匿名の情報源によれば、ドコモ口座に紐付く一連の攻撃において、Web口座振替で「2要素認証（IVRや通帳に記入した最終残高など）」を導入するなど比較的セキュリティレベルの高い銀行での被害は1件もなく、被害はすべて「口座番号」「暗証番号」「生年月日」「電話番号の下4桁」など比較的入手が容易な情報を組み合わせて本人認証を行っていた金融機関に集中しているという。ゆうちょ銀行をはじめ、地銀で被害報告が多かったのも、後者の認証を行っていたためだ。
また、みずほ銀行がドコモ口座を含む預金の不正引き出しが過去に行われていたという一部報道があったが、同行によれば以前までに提供していた通帳に未記帳の取引を参照できるサービスを通じて通帳の最終記帳残高を類推する手法を用いられたもので、被害と対策を含め1年以上前に解決済みだという。ドコモ口座での一連の被害は2019年10月以降に発生しているため、2要素認証が導入されているみずほ銀行は今回の件に関係ない。筆者の意見では、すでに今回の問題は「銀行のセキュリティ対策の甘さ」を問う段階にきており、バトンは渡されている状態だと考える。
(略)
URLﾘﾝｸ(japanese.engadget.com)

レスを読む