ゆうちょ銀行「mijica」のずさんなセキュリティ。

ゆうちょ銀行は11月9日、都内で記者会見を開き、不正送金や情報流出が相次いだVisaデビット・プリペイドカード「mijica」について行った調査結果を公表しました。ログインIDの再設定など、セキュリティ対策に必要な14事項に不備があったとのことです。

会見の冒頭、池田憲人社長は「各種サービスの不正利用について、被害に遭った方々や、一部サービス停止によって多くの利用者にご不便をお掛けしていることを深くおわび申し上げる」と陳謝。「サービス継続を前提に、新規サービスの構築や他のサービスによる代替案も含めた具体的な施策を早急に決定する」として、mijicaカードの廃止は明確に否定した。

不備があった14項目の具体的内容

萩野善教副社長は今回の不正の原因について、「リスクに対する感度が鈍かった」と釈明。ゆうちょ銀では9月以降、「ゆうちょPay」「mijica」「JP BANKカード」のセキュリティを総点検する社長直轄のタスクフォースを設置しました。各サービスのセキュリティレベルについて、キャッシュレス推進協議会が9月に公表したガイドラインが定めるチェックリストを満たしているか調査しました。その結果、mijicaは22件中8項目しか満たしていなかったことが判明。他の2サービスは全て満たしていました。

例えば、アカウント作成時に設定したログインID・パスワードの再設定を利用者に強制できておらず、さらにmijicaの利用を申し込んだ際には、カードが利用者の手元に届けられていなくても決済機能や会員サイトを利用できる状態でした。

異常な取引の監視に向けた監視体制も十分に機能しておらず、チャージや送金の限度額も設定していたが、今回の事態を受けて再検討するとのことです。

ゆうちょ銀行の担当者は、不備があった14項目について行内の監査委員会でさらに詳しく調査する方針としました。具体的な再発防止策については、mijica発行時の郵送による書面通知、二要素認証の強化などを挙げています。

ゆうちょ銀行は不正送金の公表遅れが被害拡大につながったとして、今後は迅速な情報公開を掲げ、「お客さま本位の理念を追求していきたい」としています。経営陣の責任について池田社長は「利用者の利用環境を整えるために全社一丸と取り組んでいきたい」と述べるにとどめました。

今回の調査をまとめた報告書では、不正送金や不正ログインの攻撃手法も記載。それぞれブルートフォース攻撃、リスト型攻撃だったとのことです。

コメントする