全3303文字
PR

2020年9月から10月にかけて、ゆうちょ銀行の不祥事が相次ぎ判明した。キャッシュレス決済関連の不正出金の被害額は約5000万円に及ぶ。不正アクセスによる個人情報流出なども明らかになった。一連の事件で共通するのは、セキュリティーに対する認識の甘さだ。組織の体質がその甘さを助長したとの指摘もある。

 NTTドコモが決済サービス「ドコモ口座」において、全35行との口座連携の新規登録を停止したのは2020年9月10日。この当時、ゆうちょ銀行は「被害を受けた1行」というのが一般の認識だった。

 風向きが大きく変わったのは、総務省が9月15日午前に開いた高市早苗大臣(当時)の閣議後記者会見での発言だった。高市大臣はゆうちょ銀行が連携しているキャッシュレス決済などとの即時振替サービスについて、「NTTドコモ以外でも不正引き出しの被害が生じている」と明かした。具体的には、ゆうちょ銀行が連携する12社の決済サービスのうち、6社で不正出金の被害が生じているとした。総務省幹部は「存在感を示したい高市氏のスタンドプレーだった」と振り返るが、意図はどうあれ、ゆうちょ銀行が被害を受けた1行との位置づけから、責任を強く問われる立場に変わった瞬間だった。

 以降、ゆうちょ銀行の口座に関連して様々な被害が判明し、同行のセキュリティー意識の甘さが露呈した。なぜ同行は他のメガバンク並みのセキュリティー対策が取れなかったのか。被害の実態とその要因を明らかにする。

ゆうちょ銀行で起こった口座不正利用の経緯
ゆうちょ銀行で起こった口座不正利用の経緯
[画像のクリックで拡大表示]

大臣に背中を押されて会見

 ゆうちょ銀行は9月16日に緊急記者会見を開き、田中進代表執行役副社長が「預金者の皆様に深くおわび申し上げます」と謝罪した。ただ、被害状況などの情報を積極的に開示したとは言えず、高市大臣に背中を押される形だったことは明らかだった。

 同行が記者会見で明らかにした金銭被害はドコモ口座の1546万円を筆頭に「PayPay」「メルペイ」「LINE Pay」など6サービスで合計109件、約1800万円に達した(9月18日に7サービスで合計137件、約2200万円に修正)。さらにゆうちょ銀行が連携する12の決済サービスのうち、ファミマデジタルワンの「ファミペイ」とpringの送金アプリ「pring」を除く10サービスとの連携を停止したとも発表した。

 連携を停止した10サービスには共通点があった。「2要素認証」が未導入だった。名前や生年月日、口座番号、キャッシュカードの暗証番号を何らかの方法で入手できれば、悪意のある第三者が本人になりすましてゆうちょ銀行口座と決済サービスを容易にひも付けられる状態になっていた。