ゆうちょ銀行、キャッシュレス決済サービスのセキュリティ総点検実施

株式会社ゆうちょ銀行は11月9日、キャッシュレス決済サービスに関するセキュリティ総点検の結果について発表した。

「本人認証にかかる検知、防御態勢」「取引データに基づく不正取引の検証態勢」の2項目について、1.アカウント作成、2.銀行口座紐づけ、3.チャージ、4.決済・送金、5.取引後、の各フェーズ単位で、キャッシュレス推進協議会「コード決済における不正な銀行口座紐づけの防止対策に関するガイドライン」等で定める必須項目を点検した。なお、即時振替サービスについては、サービス事業者側も含めた点検を実施した。

決済事業者の即時振替サービスについては、コード決済事業者6社中5社は必須項目を全て充足していることを確認、その他決済事業者6社中3社は必須項目を全て充足していることを確認、ゆうちょ銀行も必須項目を全て充足していることを確認した。なお、必須項目を満たさなかった決済事業者についても、追加確認等の実施や協議を行っている。

決済事業者以外の即時振替サービスについては、17社中16社がガイドラインの必須項目に当てはまるものがなく、残り1社も必須項目を全て充足していることを確認、ゆうちょ銀行も必須項目を全て充足していることを確認した。

ゆうちょPayについては、必須項目を全て充足していることを確認した。

mijicaについては、22の必須項目のうち、会員サイトへの不正ログインを検知する仕組みや送金時における認証のアカウントロックなど14項目が未実施または不十分であった。なお、セキュリティ対策が未実施または不十分であったサービスは、現在停止している。同行によると、対応が必須となる項目が多岐にわたるため、スコープを今後のサービス戦略にまで広げ、同行のビジネス方針としての対応を早急に整理するという。現在、提供するデビットカード機能等のサービスについてはセキュリティ上の問題はなかったため、引き続き利用可能。

JP BANKカードについては、JCB、VISA/Masterともに必須項目を全て充足していることを確認した。

また、mijicaWeb不正ログインとmijicaカード不正作成の追加調査結果について、対象期間を2020年4月1日から7月27日に拡大して調査を実施したところ、不正ログインは10月4日に報道発表した1,422人以外にはいないことを確認、mijicaカードの不正な作成・利用については、10月6日に報道発表した3件の他、新たに3件が確認され計6件となった。新たに確認された3件について、いずれもmijicaカードは返戻されており、その時点でカードは停止済みとなっている。