IDでもっと便利に新規取得

ログイン

ゆうちょ銀行の不正出金問題 池田社長が会見(全文5)リスク感度が鈍かった

9/25 10:43 配信

THE PAGE

 ゆうちょ銀行の池田憲人(のりと)社長は24日午後、不正出金問題を受けて記者会見を行った。

※【**** 00:35:30】などと記した部分は、判別できなかった箇所ですので、ご了承ください。タイムレコードは「ゆうちょ銀行の不正出金問題 池田社長が会見(2020年9月24日)」の会見開始時間に対応しております。

     ◇     ◇

ゆうちょPay、mijica、即振を連動させたい

池田:先ほど申し上げたとおり、ガイドラインというものを少し頭の中に入れまして、さっき言った、どういうお客さま、安全装置、認証、それからモニタリング、それから賠償と、これは全体を眺めて、それで一番のポイントは、ゆうちょPay、mijica、それから即振、この3つが連動していないところにやはり問題があるということで、連動させていきたいとこういう思いがあります。従って、安全をまず第一にタスクフォースとしては考えていきたいと思いますが、もちろん必要であれば、たぶんいろいろ全銀協さんもガイドラインをおつくりになるという思いがありますんで、それを延長することは永遠の課題でございますので、進めていきたいと思っています。

 まずは安全性というのを、それが裏返しとしてはお客さまの信頼関係につながるような安全性、それから賠償を進めていきたいと思っております。

司会:それでは前の方、【後ろ 01:19:04】。すいません、ちょっと担当から一言申し上げます。

事務局:先ほど間違って、mijica WEBのログインパスワードですけれども、ロックが掛かる仕組みが付いておりました。申し訳ございません。おわびして訂正させていただきます。

男性:【*** 01:19:19】さん、聞こえないです。

事務局:ログインパスワードのロックシステムは付いていますので、先ほど付いてないってご説明しましたが、間違っておりました。

司会:それでは質問ある方は挙手をお願いします。それでは窓側から2列目の。

送金時の5桁の番号は何度でも試せたのか

三上:ごめんなさい、ITジャーナリストの三上でございます。今の件なんですけども、mijicaのウェブサイトのログインはパスワードを複数回間違えるとロックが掛かると。送金時の5桁の番号については、何度でも試せたという情報があるんですが。

事務局:そちらはそのとおりです。

三上:もう一度確認します。ログインのほうは複数回っていうことですね。送金時の5桁の番号については、何度でも試せたということですか。

事務局:それはそうです。

三上:ありがとうございます。

司会:それではほかに質問がある方は挙手をお願いいたします。それでは窓側から2列目の机の一番前の方。

窓口でないと確認できないのか

Security NEXT:Security NEXTの武山と申します。【***して 01:20:47】、口座、決済事業者との連携している口座に関して注意喚起を行うというお話があったかと思うんですけども、これは記帳などでご自身の状況を確認していただいて、身に覚えがないものを確認するということだとは思うんですけれども、通常の記帳ですと、ゆうちょ銀行の場合は30行以上を超えてしまうと合算されてしまって確認ができない、しづらいという、窓口に問い合わせないと確認ができないような仕様があるかとは思うんですけれども、これは発送するダイレクトメールなどに、いわゆる取引情報の履歴などを送るとか、そういうことも含まれているんでしょうか。それともあくまでも注意喚起であって、それは実際に作業していただくというような理解なんでしょうか。

田中:お答え申し上げます。大変、利用者の方には1回、お手数をお掛けすることになりますけども、ぜひ通帳の状況を確認いただくと。残高、あるいは店舗のほうにお見えいただいて、私どものCTMという端末をたたきますと、どの事業者さまとつながっているかというのが分かりますので、そういう点検を、ご確認をお願いしたいと。それを当然、潜在的には、なんらかの形で口座にひも付いている方が今回はリスクがあるわけでございますので、そのお客さまに個別にご連絡を申し上げてお願いをしていきたいと、そういう考え方でございます。

取引履歴を送った方が早いのではないか

Security NEXT:単純に、いわゆる取引の履歴を送っていただければ、わざわざ窓口まで足を運ばなくても確認できますし、それが早いのかなとも思ったんですけれども。

事務局:お答えいたしますが、取引の履歴のところにつきましては、個人さま、かなり非常に個人情報というところがございまして、ご家族でもなかなか、各個人の方に見ていただくようにしてございますので、そこを送るというところになりますとまた違う問題も、個人情報の関係の問題も出て来ますので、そうした方法は採らなかったということでございます。

Security NEXT:一時的に、30行って結構、すごく短い。30件を超えてしまうと合算されてしまったら確認できない部分もあるかと思うんですけども、一時的に合算をやって全て記帳するとか、そういったことはやられないんですか。

事務局:現状といたしましてはそういったことは考えてございません。

Security NEXT:分かりました。mijicaに関してなんですけれども、こちらで、そう見ると不正に利用されたという形で書いてあるんですけども、実際に送金されたもののほぼ全てが利用されてしまったんでしょうか。例えばどういったものに利用されたのか。mijicaの特徴として、ATMから現金を引き出すようなこともできるかと思うんですが、そういったような被害もあったんでしょうか。

田中:被害状況の細かいところになりますし、事務局のほうからお答えさせていただきたいと思います。

事務局:お答え申し上げます。今ご指摘のあったように、ATMで出金する仕組みということでは、そういうことでございます。実際にケースとしてどういう形でということに関しましては警察のほうとも相談させていただいている、そしてその捜査に関わるところもございますので、この場ではちょっとご了承いただければと思います。

どうやって口座がつくられたのか目星はついている?

Security NEXT:mijicaの口座に関して、出金に使われたカードがどういうふうにつくられたのかっていうのは、結構、口座を、今回のSBI証券の話もありますけれども、どうやって口座がつくられたのかというのは非常に重要な問題であって、まだ調査中という話もあったんですけれども、すでに8月にも行われていますし、全ての全容が分かっていなくても、それが例えば一部の利用者から奪われたものであるのか、新たに今回のSBI証券のように、なんらかの本人確認書類を用いられて口座がつくられていたのか、ある程度の目星は付いているのではないかなと思うのですけれども、その辺りはいかがなんでしょうか。

田中:お答え申し上げます。今ご指摘がありましたように、いわゆる犯人側の口座がどのようにつくられたかっていうのは非常に大事なポイントだと思いますので、私自身もこのmijicaの案件があれしましたときに、すぐそれを調べるようにというふうに指示をしてございます。ただ、残念ながらまだ調査途上であることは、率直に言って途上でありまして、それはちょっと、起きたときから比べると遅いじゃないかということについてはおっしゃるとおりだと思いますけども、ということと、警察のほうの関係もありご了承いただければと思います。当然、われわれもそれは非常に大事なことで、警察のほうにもそういう情報を提供しなければいかんというふうに思っております。

Security NEXT:ご確認ですけども、mijicaのカードをつくるにはゆうちょ銀行の口座をまずつくらなければならなくて、そのあとにカードの申し込みをするという理解でいいですか。

田中:それはおっしゃるとおりです。

Security NEXT:分かりました、ありがとうございます。

司会:それでは質問のある方は挙手をお願いします。それでは一番窓側の机の前から3列目の方。

ネットバンキングの被害はどれぐらいなのか

ニッキン:ニッキンの【*** 01:27:08】と申します。よろしくお願いします。8月14日のニュースリリースで、ゆうちょダイレクトのメールでのワンタイムパスワードを使って送金できる金額を5万円以下に制限するという話があって、なぜ導入するかというと、被害が増加しているからっていうふうに【**** 01:27:26】してるんですけども、その被害っていうのがどれぐらいなんでしょうか。

事務局:お答え申し上げます。基本的には被害の状況っていうのをお尋ねなのですが、それについてはお答えしかねます。

ニッキン:現実問題、インターネットバンキングの不正送金の被害っていうのは、ゆうちょさんに限らず日本の銀行界、いろんなところで日常茶飯事起こっていることですけども、今回、このmijicaと決済サービスをつないだ不正出金について公表されて、インターネットバンキングのほうは今のところ公表はできないと思いますけども、その基準というか、何を公表して何を公表しないかっていう、この基準についてはどういうものを持っているんでしょうか。

事務局:その辺の公表する・しないの基準等々も含めて、総点検というところでまた見直していきたいなというふうに思っております。

ニッキン:それでちょっと話は戻るんですけども、5万円以下に制限するという話で、今回のmijicaの件に関して、いったんは送金制限されて、その辺り、結局それだと対策が取れなかったので取引自体をストップするっていう対応を取られたと思うんですけども、インターネットネットバンキングでの取引についても同じような対応っていうのは考えられるでしょうか。

事務局:一般論で申し上げますと、インターネットバンキングのほうでもいろいろな手口で、いろいろな悪意のある第三者がいろいろ【****** 01:29:09】なってくるという、ちょっとまだ【****** 01:29:14】いるんですけども、がございます。フィッシングから始まって、いろいろな手口で攻撃をされてきているといったような、これは私どもに限らず、ご指摘のように各金融機関が苦労していろいろな対策を打ってきているということでございます。その中で現状も被害が出て、いろんな認証を強化したりっていうことは常に努力してやっているところでございますので、その一環というふうに考えています。

一番の誤算はどこにあったのか

ニッキン:分かりました。池田社長にお尋ねしたいんですけども、池田社長は従前からサイバーセキュリティー対策というのはかなり重要な問題だというふうにお話しされていたと思うのですが、それでいて今回こういう問題に発展してしまったというのは、内部の体制整備とかガバナンスの問題もそうなんですけども、一番の誤算っていうのはどこにあったというふうに捉えているでしょうか。

池田:サイバーに関しては、私は一番恐ろしい話だろうと思ってまして、私自身もトップリスクとしてサイバーセキュリティーの陣頭指揮をしてるっていうことであります。それで今回、モバイル系というんですか、お客さまの決済サービスっていうことについて事故というか事件が起きたっていうことはもう事実ですが、ゆうちょPayについて非常に新しいものですから、そこからスタートしようっていうような頭がありました。その意味で、mijicaっていうものがそういう安全性というものに対して、結果として非常に手遅れになってきたということを思っております。

 それからもう1つは、非常にどこが悪かったかというんですけれども、もう1つは、いわゆる決済業者との関係の、即振でありますけども、即振も決済業者との関係の、取引の関係で、いろいろなところでお互いに安全性を意見してくる、議論をしてきたということがございます。その意味で私自身は、ちょっと即振のところと、それからmijicaについてはもう少し点検が必要だなという思いがあって、今回、いっぺんそれを一緒にして点検していこうという、こういう考え方でございまして、何がいけなかったかといって、やはり安全性に対するうちの中の全体のリスク感度っていうんですか、それが非常に鈍かったというか、そういうのが、総論としてそう思っております。

リスク感度の低さがゆうちょ銀行にもあった?

 具体論は先ほど申し上げたように、こことこことここ、手を打てば良かったという、今振り返ってみたらあるんですけども、総論としてはうちの人たちのみんなの、私も含めてリスク感度が弱かったなという思いがあります。

ニッキン:日本郵政グループとしてかんぽ問題の情報の目詰まりですとか、リスク感度の低さって今、社長もおっしゃったんですけど、そういったことも指摘されていましたけれども、そういったことがゆうちょ銀行でもやはりあったという認識でしょうか。

池田:もちろんグループのときに私も申し上げているのは、同じ根っこの体質のグループであるということは最初から申し上げてるところであります。従って、たまたまグループのところでは、かんぽの問題で焦点が挙がってましたけども、私どももいわゆる投資信託のところというのをきちっとしていこうと。それからこのサイバーというのもしていこうと。それからもう1つはマネロンの問題です。これはきちっとしようという思いがあります。その意味で、私がどうこう言うつもりはないんですけれども、やっぱりわれわれの中の、さっきの感度というのが弱かったなというのは、今から見るとそう思っております。

ニッキン:ありがとうございます。

司会:それでは質問のある方は挙手をお願いいたします。それでは一番窓側の最前列の方。

mijicaは今後も続けるのか

日経ビジネス:『日経ビジネス』の吉岡です。mijicaのサービスについてお伺いしたいんですけども、プリペイドとデビットカードがウェブで機能を交換できるという話が、デビットにしようと思ったらできるというサービスで、そこに送金が付いていると思うんですけれども、そうするとプリペイドのオートチャージでもいい気がしますし、でもデビットと送金を結び付けるサービスというのはあまり見ませんし、正直、このサービスをつくっている意図が分からないんですね。しかも半年で1200件と【*****01:34:22】非常に低く、ゆうちょPayをメインにしていこうというところで、忘れ去られたサービスが狙われたのかなという印象をちょっと持ってしまうんですけども、mijicaというサービスがなぜできて、なぜそこがこんがらがっちゃって、さらに今後、まだ続けていくのかどうかというのをまず教えてもらえないでしょうか。

池田:もちろん安全性の観点から、1つは視点として見ていきますので、続行するかどうか、考え方は、今のままお客さまの利便性を維持するかどうかという観点と、安全性の観点から進めていこうというのがもう1つあります。それから最初の話のところですが。

事務局:mijicaに、ご利用いただける年齢というのが12歳からですね。というように、非常に低年齢からお使いいただけるということで、例えばお小遣い、親御さんからお子さんにお小遣いを差し上げるときに、そういう機能を使っていただくとか、そういうような形でお使いをいただけないかなというところで、私どもとしてはそういう発想でやっているサービスです。

 ちょっとその辺、そういう使い方を想定していたわけですけれども、結果として被害というところになってしまっていますので、またその辺も含めて再度、頭の整理といいますか、をやっていきたいなと思っています。

セキュリティーポリシーの曖昧さが問題の本質では?

日経ビジネス:先ほどの質問で、mijicaのサービスをどこが、外部のキャッシュレスサービスとの共通点という話を出してたと思うんですけども、キャッシュレスサービスのほうは2要素認証を入れていなかったと。それは事業者について強く要望してたということを前回おっしゃってましたけども、今回のmijicaはカードの【権限***01:36:22】で、良いことかもしれませんけれども、ロックが掛からず、正直、2要素にしては非常にざるになっていると。そうすると問題の本質としては似ているのかなと。

 そう考えると、キャッシュレス事業者に強く求めてた、2要素認証の導入を強く求めてたというのが問題の本質というよりは、ゆうちょ銀行のセキュリティーポリシーがちょっと揺らいでたというか、曖昧だったのが問題の本質なんじゃないかなと思うんですけど、その点についてどうお考えでしょうか。

事務局:mijicaに関しましては、送金機能の認証として最終的に5桁の、裏に書いてあるその数字を入れていただいたというところで、先ほど来お話がありましたように、それの回数の制限を設けていなかったというところが最大の弱点だったと、それを狙われたということでございますので、その辺はしっかりと、再開するのであれば改修をする必要があるというふうに考えております。
 それから先ほど親子間ということで申し上げましたけれども、個人間ということですので、親御さんの口座から子供さんの口座にお小遣いを送金するとか、そういうようなイメージのサービスでございます。

日経ビジネス:最後、この外部のキャッシュレスサービスのリリースのところで、特に注意が必要だと思われる600件に電話をするというくだりがあると思うんですけども、この600件はどれぐらい危なそうか。要はこの6000万、380件に追加されて、もう1000件ぐらいいってしまうぐらいはかなり、合計1000件、600と380で1000件ぐらいになっちゃうぐらい危ない取引なのか、危険性はそこまでじゃないけども電話して【振り分ける 01:38:15】っていうレベルが600件なのか。この600件の危なさ、被害に遭ってそうな確度っていうのをお聞きしたいんですけども。

田中:お答え申し上げます。直接のお答えであれですけど、どうやって抽出したかっていうと、一定の年齢層と、先ほど申し上げたようにチャージの仕方を見ておりますので、ほかの550万よりはこちらのほうがリスクが高いということであって、現に被害のお申し出を頂戴している方と、ここは近似するのではないかと今の時点でも思っていますけども、いずれにしてもここは少しやっていって結果を見ないと、ちょっと今ここで軽々に申し上げるのは難しいかと思います。

【書き起こし】ゆうちょ銀行の不正出金問題 池田社長が会見 全文6に続く

THE PAGE

関連ニュース

最終更新:9/25(金) 11:14

THE PAGE

投資信託ランキング