Yahoo!ニュース

悪いこと言わないから、ネット決済は使いなさんな!?

森井昌克神戸大学 名誉教授
(写真:アフロ)

推奨される有効な対策としては、不測の事態が起こる事を前提にした、危機管理でしょう。つまり、ネット銀行としては決済をするための口座としてのみ運用し、最低限の金額しか扱わず、貯蓄用の口座に資産を預け、その口座はネット銀行とせず、ネットからのアクセスを行えないようにすべきです。

出典:悪いこと言わないから、ネット銀行は使いなさんな!?

5年前、ネットバンクの不正利用、不正送金問題が顕在化した際に上記のコラムを執筆し、大きく話題になりました。この内容は改めて今、ドコモ口座不正送金に始まるネット決済に問うことができます。必要のないネット決済は利用すべきでないですし、銀行のサービスも限定すべきです。

ドコモ口座による不正送金問題に端を発した、スマホ決済連携による銀行口座不正引き出し問題が大きく拡大しています。勝手に他人の銀行口座とドコモ側の決済アカウントが紐付けされ、決済アカウントを偽造した第三者が不正に、その銀行口座から決済アカウントに送金を行い、そのアカウントから高額商品を購入し、転売して現金を得る手法です。誰に問題があるのか、銀行側の認証システムに問題があるのか、ドコモ側が簡便な認証を銀行側に許したゆえに、安全性を損なうことになったのか、あるいはドコモ自体が簡単に決済アカウントが認証なく誰でも作れてしまうことが悪いのか、議論がされています。

結論的に言えば、すべてに問題があるのです。特に紐付けする銀行口座の名義人を厳格に認証しないばかりか、一切連絡もなく紐付けされてしまうことは、あまりにもお粗末すぎます。

ドコモとしては銀行からドコモ口座という決済アカウントに送金、つまり紐付けされる問題は銀行側の問題であると考えていたのでしょう。このドコモ口座不正利用問題の根本はセキュリティ対策の不備であることは確かです。その原因は銀行、口座振替を行う中継サービスである地銀ネットワークサービス、そしてドコモの互いに他のセキュリティに対する過信と考えられなくもありません。ドコモから見れば、以前からのネットバンクにおける不正送金問題への対応として、二段階認証をはじめとする十分な認証への対策を期待しているでしょうし、銀行から見れば、携帯電話をハブにした様々な決済サービスを行っているドコモへの認証への信頼がアダになったと考えられなくもありません。間に地銀ネットワークサービスが介在していることで直接的にも見えなくなっていたと類推されます。

ドコモ口座の問題は、ネット決済に関係なく、全くネット決済を行っていない人の銀行口座にも勝手に第三者のドコモ口座が紐づけされて、不正に預金が引き出されるという衝撃的な話題でした。現在、ドコモ口座だけの問題ではなく、銀行口座をハブにしたネット決済全体の問題に広がっています。銀行のみ、あるいは銀行口座間のネット決済の場合、地方銀行でさえ、現在では不正送金対策として、二要素認証を含む、比較的厳格な認証が行われています。しかし、他のサービス、特にスマートフォン等を利用した決済では状況が大きく変わります。ユーザと直接向かい合う決済サービス会社の場合、出来る限り便利に、容易に使えるために、認証がどうしても軽微になりがちです。同様に銀行と決済サービスを紐付けるために厳格な認証を求めるかと言えば、必ずしも望みません。なぜならば厳格な認証は手間がかかり利用者にとって負担となるからです。

便利に使える決済サービスに完全な安全性を求めることは困難なのです。利用者に便利ということは、少なからず悪用する側にとっても便利な面が出てくるものです。決済サービス会社は、そのサービスを広めるために利便性を追求することが常ですが、逆に安全性がどうしても損なわれることになるのです。このある意味、トレードオフになる関係で、如何に最良な点を探すかが現実的な解決案になるのです。その解決案もいかなる利用者にとっても安全となるかというとそうではありません。利用者の不注意が不正利用につながることは十分ありえます。

少なからず安全性に疑問が残る決済サービスですが、利用者はどのようにすれば安全なのでしょうか。答えは利用しないことです。正確に言えば、必要性がなければ使わないことなのです。それでは解決策にはならず、その利便性から使うことを望む人も多いでしょう。その場合、利用する人がそれぞれの考えでリスク管理をすべきなのです。たとえば、決済サービスで利用できる上限額を定める、銀行口座から決済サービスに送金できる金額を限定する、あるいはそのような口座には必要な金額しか預金しない、さらには決済用には少額を決済する銀行口座を限定し、主な高額な資産はネット決済と紐付けが出来ない銀行口座に預ける等です。

ネットバンクの不正送金問題のみならず、ネットの利用全体に対しても、最悪の事態を想定し、その被害を最小に押さえる対策をとる必要があります。それがリスクコントロール(危機管理)と言われるものです。今、求められる対策は被害に遭わない事だけでなく、被害にあった際にその被害を最小限に止めることなのです。そして被害に遭わないための最大の対策は、必要のない事は行わない事なのです。

出典:それでもネット銀行を使いたい、あなたのために!

こちらも参考に。

SMS認証を突破することもさほど困難ではありません。いくつかの手口がすでに知られていますが、その中で古典的な手口としては認証代行による不正取得です。要するに手数料を払って第三者に携帯電話(スマホ)を契約してもらい、それを受け取って犯罪に利用する方法です。携帯電話ではなく、不正な銀行口座を取得する手口と同様です。たとえ携帯電話の契約時に本人認証を厳しくしたとしても、そのリスクを犯して余りある不正行為による利益がある場合、高額な手数料を払っても、犯罪を犯そうとする輩は湧き出てくるでしょうし、その手数料に目がくらんで安易に手を貸す愚かな人も後を絶たないでしょう。不正行為による利益が多額でなくなり、犯罪者にとって割に合わない仕組みや工夫を作ることが望まれます。

出典:『ペイペイなどの被害 SMS認証も突破 所有者不明携帯電話悪用か』へのコメント

神戸大学 名誉教授

1989年大阪大学大学院工学研究科博士後期課程通信工学専攻修了、工学博士。同年、京都工繊大助手、愛媛大助教授を経て、1995年徳島大工学部教授、2005年神戸大学大学院工学研究科教授(~2024年)。近畿大学情報学研究所サイバーセキュリティ部門部門長、客員教授。情報セキュリティ大学院大学客員教授。情報通信工学、特にサイバーセキュリティ、情報理論、暗号理論等の研究、教育に従事。内閣府等各種政府系委員会の座長、委員を歴任。2018年情報化促進貢献個人表彰経済産業大臣賞受賞。 2019年総務省情報通信功績賞受賞。2020年情報セキュリティ文化賞受賞。2024年総務大臣表彰。電子情報通信学会フェロー。

森井昌克の最近の記事