キャッシュレスアプリが銀行を滅ぼす!? 不正引き出しの対処法は?

ニュース/レビュー

「ドコモ口座」を経由して不正引き出し問題に引き続いて、「PayPay」や「LINE Pay」そしてプレペイドカードサービスの「Kyash」経由でも不正な引き出しがゆうちょ銀行を中心に発生していたことが発覚してしまいました〜。

なぜ漏れたのかを考えるとともに、これからの対処法を提案しました〜

ドコモ口座と連携を中止した銀行

ドコモ口座を経由した被害:143件、総額2676 万円(ドコモが全額補償)

以下の銀行が第三者に3つの情報(口座番号、暗証番号そして名前)を知られてしまったようです。

ドコモが口座連携を止めたのは、七十七銀行(仙台市)、中国銀行(岡山市)、大垣共立銀行(岐阜県大垣市)、イオン銀行(東京都)、池田泉州銀行(大阪市)、大分銀行(大分市)、紀陽銀行(和歌山市)、滋賀銀行(大津市)、仙台銀行(仙台市)、第三銀行(三重県松阪市)、但馬銀行(兵庫県豊岡市)、鳥取銀行(鳥取市)、北洋銀行(札幌市)、みちのく銀行(青森市)、伊予銀行(松山市)、東邦銀行(福島市)、琉球銀行(那覇市)。

それでは銀行はキャッシュレスアプリに登録するときになにか特徴があったのでしょうか?

PayPay, LINE PayそしてKyasy経由でも不正引き出し

▶ PayPayを経由した被害:17件、合計約141万円(PayPayが全額補償)

▶ Kyashを経由した被害:3件、計23万円(14日から新規登録やチャージを停止)

▶ LINE Payでも被害が発覚し、ゆうちょ銀行の口座登録や口座からの残高チャージ機能を9月16日午前9時ごろに停止

ゆうちょ銀行は口座連携を行っている12サービスのうち、これまでに連携停止(チャージなどを中止)を発表したのは次の10サービス
  1. ドコモ口座
  2. LINE Pay
  3. PayPay
  4. Kyash
  5. PayPalの「ペイパル」
  6. ウエルネットの「支払秘書」
  7. 楽天Edyの「楽天Edy」
  8. ビリングシステムの「PayB」
  9. メルペイの「メルペイ」
  10. ゆめカードの「ゆめか」

銀行口座をインターネットと連携させると預金がザルに!?

インターネットバンキングをキャッシュレスアプリに連動するのに次の3つの条件しか必要のない銀行が今回ねらわれた可能性が高いとのことです。

① 口座番号
② 暗証番号
③ 名前

この3つの情報が第三者に渡っただけで、キャッシュレススマホアプリを利用して預金を引き出されてしまうことが露呈しました。

口座番号を割り出す犯人の新しい手口

今回の手口は「リバースブルートフォース攻撃」が使われたと言われていて、1つの暗証番号(例えばよくある 1, 2, 3, 4 などの連続番号)に対して口座番号を片っ端から探していくというやり方のようです。(暗証番号は認証に3回失敗するとロックされますが、口座番号は何度間違えてもロックされない仕組みになっていたらしい。そこをつかれました模様。)

メディアが言わないもうひとつの危険性

少し前から次の危機やアプリを使った時に情報が漏れている可能性が指摘されていました。

▶ 中国系のスマホ ファーウェイ、ZTE
▶ TikTok (動画アプリ; スマホ内に情報を保存していた場合それが漏洩する)
▶ Zoom(ビデオ通話アプリ)
▶ iPhone ではないスマホ(Androidは設計上、セキュリティーが弱い)

今回の被害者がこれらの機器やアプリを使っていたかどうかどうか、この辺にメディアが(わざと?)注目しないのがおかしい。

私たちのできる自衛手段

残高を頻繁に調べるようなことをネットで呼びかけている人がいますが、それでは根本的な解決にはなりません。

またもう1つ、認証方法を増やせば良いという方向になっていますが、それで本当に防げるのでしょうか?

いくら認証を増やしていってもユーザーが使いづらくなるだけで、スマホやアプリから情報が漏洩していた意味がありません。

ネットから閉ざされた預金環境を考える

自衛手段として私たち預金情報と講座情報がまったく外部から切断された(ネットに繋がっていない)環境を考える必要があるのではないでしょうか?

それにはインターネットバンギングと連携しない、昔ながらのハンコを使わないと引き出せないような口座(ハンコでなくても別のセキュアな認証手段でもよい;顔認証とか網膜認証など)を用意しておく必要があるではないでしょうか?

自分の資産を守るために2つのタイプの預金口座の必要性
閉ざされた口座(ネットから完全に遮断された環境)この口座番号はどこにも教えない。
引き落とし口座(ネット接続用。普段の生活に使う)

⭐️ さらに別の閉ざされた口座が必要な方は、「個人向け国債」などを利用するという方法もあるでしょう。

個人向け国債」の特徴
・ 最短で3年間は解約が出来ない
・ もし途中解約した場合、その時の債券相場で、元本割れの可能性もあり。逆に儲かる場合もあり。
・ 3年後の満期時は、どんなに国債債権が暴落しても、元本が保証されて、金利も付く。
・ 満期時には、金額の上限も無くて、元本が保障される。

こういう国債や、ネットバンキングと連動していない定期預金などを持つと、不正に預金が引き出されることが減ると考えられます。

このような「閉ざされた口座・環境」というものを作っていくことが、これからの自分を資産をまもる大切なことになってくるのではないでしょうか?

皆さんもないか意見がございましたら、コメント欄やツイッターからお聞かせ下さい!
安全な環境を作っていきましょう 🤗

■参考資料:
・  YouTube「コード決済とKyashを利用したゆうちょ銀行からの不正チャージについて」 おにまるちゃんねる, 2020年09月16日
・『LINE Payでも不正引き出し被害 知人の犯行か 被害総額約50万円』2020年09月16日 07時00分 公開 [谷井将人,ITmedia] ・『ゆうちょ銀行口座 「PayPay」「Kyash」でも不正な引き出し』NHK, 2020年9月15日 21時18分

 

関連記事一覧

  1. この記事へのコメントはありません。