【不正利用】ゆうちょ銀の緊急会見、「二要素認証、決済事業者に求めていた」は本当か 複数の決済事業者「そうした依頼はなかった」 [trick★]
■ このスレッドは過去ログ倉庫に格納されています
ゆうちょ銀の緊急会見、「二要素認証、決済事業者に求めていた」は本当か(Impress Watch) - Yahoo!ニュース
https://news.yahoo.co.jp/articles/5b6cf78da0559baac3897f0ec2b7493270a4e2da
9/17(木) 6:00配信
NTTドコモの「ドコモ口座」での発覚に端を発し、多くのスマートフォン対応決済サービスと金融機関で判明してきた不正な預金引き出し。
被害が発生した金融機関のひとつ、ゆうちょ銀行が16日夕方、緊急会見を開催し、代表執行役副社長の田中進氏が、現時点で把握している被害の状況、今後の対策を語った。
田中副社長は「これまで決済サービス事業者に二要素認証の導入をお願いしていたが合意にいたらなかった」とコメント。近日、早期に導入して対策とする考えを示した。
その一方で、決済サービス事業者からは「そのような依頼を受けたことはない」という声が出ており、ゆうちょ銀行側の説明に大きな疑問符が付く。
■被害状況
(中略)
■対策について
現在、連携を止めている決済サービスとは、その多くで9月17日までに口座登録時に二要素認証が導入される予定だ。ゆうちょ銀行自身の用意する二要素認証は、音声通話を活用するIVR認証(2019年1月導入)や、通帳残高の入力を求める認証(2020年5月)になるという。
この二要素認証は、ゆうちょ銀行にとって、不正な預金引き出しの大きな防止策と位置づけられているが、これまでゆうちょ側の二要素認証は、多くの決済サービスで活用されてこなかった。
なぜこれまで導入されてこなかったのか。
■「強く求めてきた」「依頼はない」食い違う言い分
ゆうちょ銀行の田中氏は「二要素認証の導入を決済事業者に強く求めてきた。しかし合意にいたらなかった」と説明。「私どもなりにお願いしてきたが、十分だったのか。我々にも反省すべき点がある」と反省する姿勢を見せる。
これに、決済サービス事業者のひとつであるLINE Payは「ゆうちょ銀行側が二要素認証を導入した段階で、そもそも依頼がなかったと認識している」と本誌取材に回答。LINE Payは「私どもはセキュリティ対策に注力したと自負している。もしそうした依頼があれば前向きに検討する」とも説明する。
さらに本誌では、複数の決済事業者から「そうした依頼はなかった」「電話で、二要素認証の導入計画の考えを示されたことはあったが、その後、話はなかった」などの回答を得た。そうした中の1社、メルペイは「二要素認証を入れる旨のコミュニケーションがあったのは直近」としている。
またゆうちょ銀行口座の登録数が約450万件と、他社よりも遥かに多いPayPayでも「ほかの地銀では、二段階認証を導入する話が打診され、その後、実際に導入された。私どももセキュリティは向上したい。やりたくないから入れられないわけはない」と本誌にコメント。
16日の緊急会見における質疑でも、参加した記者から「決済サービス側からそうした依頼はなかったという声がある」と指摘があがった。これに、ゆうちょ銀行の田中氏は「私どもの力が足りなかった」と回答。
田中氏は「二要素認証を入れていただければ、かなりのセキュリティ向上になるのではないか、というのが基本的な認識」とその重要性を語る場面もあった。
しかし、決済事業者側の回答を踏まえると、田中氏の言う「強く求めた」といった打診が、本当に実行されていたのか疑問を抱かざるを得ない。少なくとも、ゆうちょ側と決済事業者側の認識に大きな隔たりがあることは明らかで、その状況が放置されてきたことになる。
■ほかの金融機関との情報共有もなし
(中略)
そうした上で、問題解決に向け、金融庁や、ほかの金融機関と情報交換をしているのか? という問いには「萌芽はある」と語るにとどまり、今回の不正利用に関して明確な動きには至っていないことを明らかにした。
(中略)
スマートフォンを使っていなくても、スマホ決済サービスを使っていなくても、口座を持つ、全てのユーザーが被害をこうむる可能性がある事案。田中氏は、記帳が難しい高齢者や過疎地の人々に向けた取り組みとしては、今回、特別なチームを立ち上げるといった施策は「まだ着手していない」とも語っており、ゆうちょ側の説明や取り組みが不十分という印象を残す会見となった。
全文はソース そもそも口座登録部分のシステムはゆうちょ側のものでしょう > 「これまで決済サービス事業者に二要素認証の導入をお願いしていたが合意にいたらなかった」
のに連携はしたってことなの? そもそも口座連携って銀行が銀行の権限でやるもので、二要素認証は強く要請するものじゃないよね 決済事業者にお願いしても、Web口座振替のシステムへの二要素認証の導入はゆうちょ銀行にしか変更できない かんぽも郵貯もゴミだな
国営時代は責任なんて取らないで済んでたから、
言い訳が幼稚でみっともない 「強く求めてきた」のが事実ならば文章かメールか議事録が残ってるだろ。
個人レベルの言った言わないの責任逃れは大企業同士では起こり得ない
ゆうちょ銀が「強く求めてきた」証拠を提示できなければ詰み 習近ペイにしといて、よかった。被害に合わなかったからね >>1
言った言わないで擦り付け合いwww
クソ銀行もクソ決済業者も金を取り扱う資格無しw >>7
導入をお願いしていた→危険性は認識していた。
サービス提供→顧客の安全性より利益重視
クズだねぇ。 > 田中副社長は「これまで決済サービス事業者に二要素認証の導入をお願いしていたが合意にいたらなかった」とコメント
これが本当だとして、認証の合意はできなかったのにサービス提供には合意したの?
それだとするとわざとザルセキュリティーにしたってことじゃね? ドコモ、ゆうちょ、三井住友他大手都市銀行が整理するべき地銀を割り出すコンサル役
と仮定するとスッキリ 地銀利用する人って
やっぱり近くに都銀がない人なの?
俺は利用したいと思ったこと無いけど >>1
『強く』の部分は嘘だと思う。
酒飲んだお客さん(提携先)に代行、
軽くすすめたのに断られたから
飲酒運転と知りつつ見逃しただけのよう。 >>7
如何に後出しで適当な言い逃れしてるか解るよな
「条件が折り合わなかった」けど「契約はした」
てのと同じ位支離滅裂な事言ってるって自分で気付かんもんかねえ >>7
二要素認証が重要だとゆうちょ銀行が思ってるならそれを契約の条件にすべきだよね ゆうちょの言うことは信用できない
…となったら銀行業オワリ 今後は、二段階認証では不十分で、二要素認証が主流になりそうだ。 依頼なくても金融サービスやるんなら実装しろよ
セキュリティなめんな 郵便はブラックだの、かんぽは犯罪集団、ゆうちょはザルだし、郵政民営化になって時代に追いつけないダメ企業じゃんw >>1 「依頼はない」
この発言を許容してはなならない。
サービス提供者が、自分のサービスのセキュリティレベル実現に必要な要件を「提示する」のである。
IVR認証: これ、スマホによってうまくいかないのあったんだけど、、、。 暗証番号+αの要素での接続方法はゆうちょ銀で提供しなきゃならんだろ?
なんで求める話になるんだろ? 民間企業になったのにも関わらず、セキュリティ対策を出来なかった。
が正しい認識 で、引き落とした犯人はどうなったんだよ
どこも報道しないってやる気あるのか? 互いのシステムをネットなどで密につなぐ場合、通常は、必要な範囲で、双方のセキュリティーポリシーを相手側に開示する。
これは文書(電子ファイル)の形式になるはず。
IT関連の文書は、設計書や通信規約、コーディング規約、さらには運用手引き(マニュアル)に至るまで、
すべてバージョン管理(作成や修正の年月日、主要な修正点を箇条書き)して管理する。
「二要素認証、決済事業者に求めていた」というなら、こうした開示したセキュリティポリシーのバージョン等を明示できるはず。
「言った」「言わない」のような問題など起こりえない。
デタラメを言ってはだめだよ。 ★
>>1 これ、真犯人は、K国アプリやと思うねんけど。 てぃっ●とく、とかL●〇Nが原因やろ。 IDとか、パスワード流出しとるんやろ、公安なにしとんねん。
あ! そー言う事かっ、 お察し。
★ ★
>>1 なんで菅くんは、 黙っとるんやろね。 マスコミも
★
ドコモ口座だけじゃない
こんなにある収納代行サービス!
.
支払いツールはSuicaやクレカで十分間ににあってます!
収納代行手数料を負担するのからしてバカバカしい!!
ぼったくり。ぼったくり。ぼったくり!!!
.
これら全てが悪用されあなたの銀行口座にこっそり紐づけされ乗っ取られたら最期、
引き落とし被害は総額600万円以上にも!
.
もう百害あって一利なしです!
こんなの解約しよう!!
絶対につくるのはやめよう!!
.
銀行口座を持ってるだけで不正利用される!
https://asahi.5ch.net/test/read.cgi/newsplus/1600170953/
.
ドコモ口座
ゆうちょペイ
au Pay
Amazon Pay
PayPay
LINE Pay
QUICKPay
楽天ペイ
FamiPay
LAWSONペイ
イオンペイ
Bank Pay
Kyash
PayPal
メルペイ
PayB
pring
ゆめか
支払秘書
習近ペイ
林家三ペイ
加トちゃんペイ
釣りキチ三ペイ
>>40
二要素じゃない接続も認めてたって事だろ
要するにゆうちょ銀行の責任逃れ
その説明が本当なら〇〇までに二要素にしないと、
相互接続は遮断するという交渉をするはず >>48
そもそも導入するのがゆうちょ側なんだよな
口座振替システムに2要素認証を導入するという話なので
事業者はお願いされても触れない部分 ★
>>1 真犯人: K国アプリや。 何をミスリードさせとんねん、マスコミも、巣がも 実装されたかされていないかは試せば一発でわかる話
事前に連携テストはやっているわけで、ゆうちょが知らない訳がない そら天下りのスイーツ連中なんて
ファイヤーウォール以前の問題だからな 決済サービスで金融機関側は手数料取ってるってこと?
それはユーザーが直接負担してないよね? >>1
まーたゆうちょ 日本郵政のウソつきか
田中副社長は「これまで決済サービス事業者に二要素認証の導入をお願いしていたが合意にいたらなかった」とコメント。近日、早期に導入して対策とする考えを示した。
その一方で、決済サービス事業者からは「そのような依頼を受けたことはない」という声が出ており もうめんどくさい。
紙の通帳と物理のハンコ、キャッシュカードまでにしてネット連携はやめる。
サポートにちゃんと電話がつながる会社のクレカで明細は金払っても紙で受け取る。
通販は大手ecサイトを利用して、後は現金で済ますのが1番気楽や。 ゆうちょ代表執行役副社長の田中進 ドコモといいクソ企業は社長が出て来ないねぇ
「なぜそんなカスみたいな件でわざわざ出なくてはならないのか、下層愚民の相手など私のする事ではない」 だろうねぇ ★
>>1 天下りだけやったら、かまへんねん。 汚染されとるんや。 大変な事が進んどるわ
★ >ゆうちょ銀行・田中副社長「これまで決済サービス事業者に二要素認証の導入をお願いしていたが合意にいたらなかった」
>決済サービス事業者「そのような依頼を受けたことはない」
どちらかが、嘘をついている
お金を取り扱う以上、どちらかの信用を揺るがす問題だと思う >>25
くそ田舎は、 ゆうちょ、農協(JA、)地銀、〜県信用金庫、などしかない。大手銀行は遠いか無い 凶悪犯罪者並みに、金を引き出した人間をマスコミが顔写真を公開しなければ疑心暗鬼が募るだけ。
ゆうちょ銀行も大手銀行もいい加減だ。
ドコモにしろ、銀行にしろ内部の犯罪協力者がいるのだろう。 ★
もっかい貼るわ。
>>1 真犯人: K国アプリや。 LI●えぬ、てぃっ●く、やろが。 IDもPWも、抜きまくっとるわ。 何をミスリードさせとんねん、マスコミも、巣がも
★ 決済事業者のpayが二段階認証しても銀行口座は保護できないじゃん
決済事業者のアカウントが保護されるだけでしょ >>25は社会の底辺
ペイオフを意識してないんだろw
金持ちは数億もってるからw
3億なら30×1000万 >>1
ドコモ口座が2要素認証しても犯罪者が作ったアカウントに犯罪者以外がアクセスできなくなるだけ。
ゆうちょの口座からお金を不正に引き出すことの防止にはならないんじゃないの? >>25
地方に行けば県庁所在地ですら都市銀行は1つあるかどうかっていうところもある
あっても街外れでアクセス悪かったりするし、最近は出張所で窓口がなくてATMしかなくて非常に不便だったりする
ちなみに俺の出身地高知県は50年以上前から宝くじのみずほ銀行以外の都市銀の支店は一切できたことはなく今でもみずほ1支店のみ
必然的に地元の銀行かゆうちょみたいなどこでもアクセスできるところにする 合意に至らなかったでも契約したんだからゆうちょも糞だわな。
というかゆうちょの殿様商売ぶりだと問題が発覚した後に言ったのを求めていたと発言してても驚かん。 >>68
この二要素認証というのは銀行口座に紐付けるタイミングで要求する二要素認証のこと
つまりゆうちょ側で用意してるシステムの二要素認証 ゆうちょが言ってるのは「私の家の鍵を強化しても大丈夫か?」ということを強く言ってきたという話
事業者は「是非お願いしたいけど、そんな話したことあった?」という答え
事業者は拒否する理由もないしどちらかというとお願いされるのはゆうちょ側
ゆうちょのシステムに二要素認証を入れるという話なんだから >>74
そうだとするとゆうちょが資金移動業者にお願いするのはおかしくない? >>76
おかしいよ
この部分は記者からも突っ込まれてる ゆうちょの責任逃れか
責任とって上層部全員排除しろよ >>77
記事ちゃんと読んでませんでした。ゆうちょは2要素認証する口と、そうじゃない口の2つ用意していて資金移動業者に2要素の口を使ってほしいとお願いしてたのに資金移動業者はそっちを使ってくれなかったということね。
間違ったコメント書いてすみません。 あと二要素認証を入れても手数料は上がらないと会見でゆうちょが明言してる
二要素認証入れるために事業者側に金銭的なコストは必要ない フツーに考えて
ゆうちょの担当者の責任逃れでしょ
「お願いしていた」ってw
そんなものサービスインの時点で当然詰めてあるはず >>80
口が2つあるというのはちょっと違うかな
口は1つで、二要素認証をオンオフ出来るだけ
オンオフできるのはゆうちょ側
二要素認証を使うかどうかは事業者側は選択できない 先週の木曜にゆうちょ解約した
子供の時からお年玉貯金やらしてた口座で愛着あったけどドコモ口座の件で見限った 嘘やろ
そもそも危険性を認識していて合意に至らなかったならサービスを許容する方がおかしい
本当なら認識していたのに放置したんだから過失ではなくなる ドコモ口座が未だに稼働してるって……凄いな。全く無関係の人の口座から金が引き抜かれてるって……金融庁なにやってるの?大事な天下り先だからか? これが日本のキャッシュレスの実態なんだと良くわかった そもそも銀行が口座振替っていう非常に強力な送金方法に対する認識が昭和のままだったのが原因の一つなのに
相手先が2要素認証しなかったのが悪いとか自分の責任のなすりつけ
だいたいゆうちょダイレクトとかかなり前に2要素認証いれたし、ハードウェアトークンも導入してたのに
口座振替には適用していなかったのが問題 仮に本当だったとしたら合意できなかったのに安全無視してスタートしたってことだからまずいんじゃ? 金融庁が、銀行口座に暗証番号で接続出来ただけで『決済事業者の本人確認の代用にできる』という運用を認めていたことがそもそものボタンの掛け違い
これを前提に銀行も決済事業者も話を進めるから、口座振替サービスを提供する銀行側はシステムをそのままに『決済事業者が本人確認しろよ』と言い
決済事業者は『銀行に接続で本人確認なんだから銀行接続に本人確認を厳格化しろ』と言ってくる
混乱の真の元凶は金融庁 第一、銀行口座に接続できたとしても銀行側顧客の本人確認情報を銀行側で確認したに過ぎない
決済事業者の顧客が登録した情報が顧客本人の証明と合致していなければ決済事業者の本人確認にはならないんだから
いくら銀行側で二段階認証を導入していてもWEB口座振替サービスは決済事業者が行うべきKYCの代用にはなりえない
最低でも決済事業者の登録情報を送信して銀行側で本人確認情報と合致しているかどうかを突合せずに本人確認は成立しないだろというね
こんな単純なら論理関係すら見逃した金融庁がほとんど矢面に立たないんだから終わってる
金融庁は犯罪収益移転防止法の本人確認の法解釈を誤っていましたと出てこなければ
永遠に日本じゃ電子行政は根付かないぞ 二要素認証には予算がこれだけ必要です!
ぐぬぬ。。 改革の成果がこれかよw
まだ懲りずに改革、改革だぜ ■ このスレッドは過去ログ倉庫に格納されています
