ここが変だよ日本のセキュリティ 第 45 回 「どこも身近な問題ってどうよ ?! まだだ! まだ終わらんよ!!」(後編) | ScanNetSecurity
2024.05.15(水)

ここが変だよ日本のセキュリティ 第 45 回 「どこも身近な問題ってどうよ ?! まだだ! まだ終わらんよ!!」(後編)

何だね君はぁ!「ども!テレワークだと昼休みに弁当を食べながらアニメが見られて最高です。冬アニメの消化がとても捗ります!」

脆弱性と脅威 脅威動向
桜の季節がやってきました!私達2次元カップルは永遠に高校生のままです!
桜の季節がやってきました!私達2次元カップルは永遠に高校生のままです! 全 1 枚 拡大写真
 何だね君はぁ!「ども!テレワークだと昼休みに弁当を食べながらアニメが見られて最高です。冬アニメの消化がとても捗ります!」

 キャッシュレス 5 % 還元が終わり、なんとかペイのキャンペーンのニュースも、それほど頻繁には聞かなくなった。コロナ禍ではリアル店舗での買い物が減るからね。そもそも中国 深圳のハイテク都市っぷりの一つにキャッシュレス決済があって、日本の現金社会は遅れているって話だったんだ。こうしたマーケティングは、古くは NASA とか、Web2.0 でシリコン・ヴァレーとか、北欧とか、よく使われてきたやり方で、もう新鮮味が薄くなってきたんだよ。

 Fintech での覇権を目指す派手なプレイヤーをあまり聞かなくなる一方で、IT を活用した金融サービスそのものは結構増えている。そしてその根幹を支えているのが、即時口座振替と eKYC だ。これまではネットでのチャージはクレジットカードを経由するしかなかった。銀行口座の開設やクレジットカードを発行する時、本人による物理的な書類の作成という面倒な手続きが必要だったんだ。

「道を誤ったのだよ。貴様のような本人確認のでき損ないは、粛正される運命なのだ!分かるか!!」
「まだだ!まだ終わらんよ!!」(編集部註

●ドコモ口座、ゆうちょ銀 mijica で問題となった即時口座振替って?

 昔は紙の「口座振替依頼書」に記入して、銀行印を押していた。クレカでの支払いがメジャーになった今、20 代、30 代以下だと印象ないかな。かつては「口座引き落とし」とも呼ばれていた。これは、集金を代行するサービスで、クレカや信販をはじめ資金移動業者が提供する資金決済サービスだ。資金決済法に基づくというカテゴリーで、もちろん内閣総理大臣の届出・登録が必要な事業だ。

 電気、水道、ガスなどの公共料金、分割払いなど、一定額、支払いが決まっているものが主な対象となってきた。クレカのように請求額が変動するものは毎回の確認が重要だけど、一定額ならそこまでは確認が要らない。ただ、引き落とし額のお知らせが来る点は変わらない。クレカは色んな支払いが纏められ、引き落とし日を揃えられるってところがメリットかな。

●即時口座振替を使ったことのどこが問題?

 携帯電話料金の支払いって、クレカの人が多いね。QR コードのペイはクレカでチャージできるのに、新たに口座振替が出てくるのは何でだって思うよね。そこは頻繁にチャージしてもらうなら、事業者が払う口座振替の手数料と、クレカの VISA、Maste rや JCB へ払う手数料のどっちが高いかという問題だ。一方、口座振替は即時決済だから残高不足で未払いということが無い。この与信が要らないというメリットは、資金移動業者側にとっては大きい

 一方、そもそも顧客の側でみると、クレカで決済できるならドコモ口座や mijica を経由させることそのものに、メリットは少ない。支払額を管理するなら、決済はまとめた方が把握しやすい。ドコモは、ドコモに支払いを纏めて管理して欲しいんだ。mijica は狙いが分かりにくいんだけれど、使用しているキャラクターや記者会見の言葉から、未成年を含めた若い層を取り込みたかったのではないかと想像される。

 ここで、今回の問題は、口座振替が即時という点。クレカだと不正使用されても支払いを止められる。資金が移動するまでタイムラグがある。そして事後にチェックできる。一方、即時口座振替は、すぐに預金が振り替えられてしまう。

 こういうことだ。クレカでのショッピングはセキュリティを多少犠牲にしても使いやすくして、事故があったら後で補償する。インターネット・バンキングでの振込も、口座振替も、資金が即時移動するのだから、事前確認が重要になる。お金が動くタイミングの前に確認ということだ。ならば、即時口座振替は、求められるセキュリティレベルはインターネット・バンキングの振込に近いはずだ。チャージした決済サービスの口座に資金は残るが、そこから先の利用状況はノーチェックに近い。動いたときに確認が無いと、何度もお金が動いた場合、どれが自分でどれが不正か、分かりにくくなる。

 また、決まった公共料金を毎月支払う平和な口振の世界と、長年、膨大な決済データから不正検知してきたクレカの世界、ノウハウや不正検知後の一時利用停止、顧客への通知など対策の充実が違う。同じ感覚で商売に踏み込んではいけなかったんじゃないかな。

《2次元殺法コンビ》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. 範を示す ~ MITRE がサイバー攻撃被害公表

    範を示す ~ MITRE がサイバー攻撃被害公表

  2. 脆弱な DMARC セキュリティ・ポリシーを悪用、北朝鮮スピアフィッシング詐欺

    脆弱な DMARC セキュリティ・ポリシーを悪用、北朝鮮スピアフィッシング詐欺

  3. 東京メトロ社員が遺失者になりすまし、現金総額 235,458円 ほか遺失物着服

    東京メトロ社員が遺失者になりすまし、現金総額 235,458円 ほか遺失物着服

  4. 東急のネットワークに不正アクセス、連結子会社のファイルサーバでデータ読み出される

    東急のネットワークに不正アクセス、連結子会社のファイルサーバでデータ読み出される

  5. 「マルカワみそ公式サイト」に不正アクセス、カード情報に加えログイン用パスワードも漏えい

    「マルカワみそ公式サイト」に不正アクセス、カード情報に加えログイン用パスワードも漏えい

  6. ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

    ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

  7. TwoFive メールセキュリティ Blog 第14回「いよいよ6月、メルマガが届かなくなる…!? ~ メルマガ配信している皆さん ワンクリック購読解除の List Unsubscribe対応は済んでますか?」

    TwoFive メールセキュリティ Blog 第14回「いよいよ6月、メルマガが届かなくなる…!? ~ メルマガ配信している皆さん ワンクリック購読解除の List Unsubscribe対応は済んでますか?」

  8. テレ東「ヤギと大悟」公式 X アカウントが乗っ取り被害、意図しないポストが数件行われる

    テレ東「ヤギと大悟」公式 X アカウントが乗っ取り被害、意図しないポストが数件行われる

  9. ランサムウェア「LockBit」被疑者の資産を凍結し起訴

    ランサムウェア「LockBit」被疑者の資産を凍結し起訴

  10. 豊島のサーバにランサムウェア攻撃、復旧済みで業務に影響なし

    豊島のサーバにランサムウェア攻撃、復旧済みで業務に影響なし

ランキングをもっと見る