「ドコモ口座」以外5社の決済サービスでも不正利用、高市総務相が明らかに …… 3点認証レスは銀行連携の停止が必要に。

ケータイWatchと朝日新聞社の記事である。


ドコモにとってはうちだけではないと胸を張って言える話になった。まあ、金額はドコモが圧倒的に多く、まだ増えるかも知れないが……。

しかも、何も解決していないどころか悪化しているため、消費者には悪いニュースでしかない。ドコモのキャッシュレス利用者はほら見ろと言う人もいるが、逆に言えばそう言っている人は、もっと不安視した方がよい。ドコモ口座のケースは、ドコモ口座を開設している人には影響がないが、他で同じ攻撃が起きているとしたら、今度はドコモ口座開設者でも、被害を受けている可能性があるからだ。

キャッシュカードを持っている人は全て、笑い事ではない状況に陥っている訳だ。即ち最悪だ。

それに対して、政府が本人確認が弱い事業者連携の停止やサービス停止・是正勧告などに動く気配も今のところ無いようだ。これは、結局のところマイナポイントやキャッシュレス還元を推し進めてきたことで、ズブズブにこれらの弱い認証を取り入れた事業者と行政府が癒着しているからかもしれない。

未だにコロナの拡大時にどういう要件でサービスを止めるのかを決めず、東京だけ止めて、再開を決めたGoToに似ている。
国民が自分で判断してね。感染を防いでねというのと同じだ。
これも、1割~2割の利益はネットでの仲介事業をやっている代理店やWebサービス会社に利益が入ると思われる。ある種Digital transformationという名の大手優遇である。この国はきっと20年後には下から大きく育つ企業が現状で生まれないか生まれにくい状況にあるため、経済力を失うだろう。


<QRコード決済には厳しいが……
          FeliCaでも口座連携機能が甘ければ同じ>

決済サービスの不正利用は、PayPayでは2020年1月以降に不正な取引が確認されているそうだ。これは、ゆうちょ銀行が発表しただけで、他の金融機関も含めるとまだ他にもあるということだ。何故これが今まで外に出てこなかったのかは不明だが、金融機関やPayPay側が認めずもみ消していたか、少額で消費者側が気が付いていなかった可能性が高い。

これが、クレジットカード決済なら電話一本すれば、調査に入ってくれる。

取引に使われる端末情報などを照会すれば、その人がいつもいる場所ではないとか、IPアドレスがいつも使う場所ではないとか、そういう点から、不正な取引と判明すればその決済は無効となるが、銀行やQRコード決済会社は、そのノウハウがないため、我が社のシステムに穴はないと思い込めば終わってしまうのだろう。クレジットは元々クレジット会社が厳格なので、よほど近隣住民や家族など、素行を知っている人に流用されない限り影響はないのが強みだ。まあ、信用情報が十分にないと作ることも出来ないが……。

これはPayPayだけではなく、Kyashでも発生しているようだ。

これらの不正利用が、ドコモと同じようにサービス利用歴の無い人を狙った物なのか?それとも、サービス利用者の情報から搾取したものかは分からないが、今後それらの実態も掴めるだろう。

はっきりしているのは、今後この手の決済サービスの利用者は以前より減って行くだろうと言うことだ。

結局、利便性を売りにして簡単に紐付けが出来て良いとして売り込んだが、元々アジアの新興国で広がっていたサービス故に、仕組みはFeliCaやクレジットカードの比ではないほど、甘かった。FeliCaやクレジットでも不正が横行する時代に、日本は敢えて逆行した訳だから当然だが、今後、セキュリティを強化すると、簡単な操作で入金できると言った部分は厳格な審査へと移行するだろう。すると、利用者は減って行くことになる。

元々、スマホでバーコードを出さないとまたはバーコードを読まないと決済は出来ない訳で、本人作業は結構多い。
実際に使っていると分かるが、キャッシュレス還元などがない場合で、且つその店に専用のFeliCa/NFCサービスがあるならわざわざQRコード決済を選ぶ理由はない。

と誰もが思ってしまうわけだが……
現実は違う。

FeliCaでもゆうちょ銀行の入金サービスに「ゆめか」(イズミが発行するFeliCaサービス)が入っている。「ゆめか」は、西日本では知っている人が多いだろうが、ゆめタウン(ショッピングセンター)、ゆめマート(食品スーパー)を運営するイズミ(広島)が出しているFeliCaカードだ。ゆめか(FeliCa)とゆめカード(クレジット機能付き)で利用できる。即ち、銀行側の本人確認が甘いのがさらに問題だと言うことになる。

と思うだろう。
実際にそうなのだが……多分だが今回の攻撃でゆめかが使われている可能性は低いだろう。

何故なら、「ゆめか:や「ゆめカード」は、必ず現住所にカードの情報が紐付き、そこにカードが届くからだ。そのため、不正利用すればすぐに足が付く。だから、酷い扱いは出来ない。物理カードで住所連携が必須な場合は、これが抑止力となりえると同時に、不正利用した人を捕まえる足がかりにもなる。その人の情報と口座情報を確認すれば良いだけだ。

これが例えば、WAONでこの手のサービスがあると出来たかも知れないが、WAONはイオン銀行をのぞいて金融振り込みサービスがないので、こちらも影響はないか、あっても同じグループ内なのでちゃんと調べてくれるだろう。

そして、それはau Payでも同じだ。au Payは利用者数の割にゆうちょ銀行との取引がないのは、au Payがローソン銀行(チャージのみ)とauじぶん銀行(オート対応)しかチャージはないからだ。クレジットカードチャージと、月払いの電話料金と一本化した支払いも出来る。後は通常の現金チャージや、セブン銀行ATMチャージとなる。

まあ、この先ローソン銀行やauじぶん銀行でも被害が見つかるかもしれないが、もしあってもこの2社はPontaとau WALLET(Pay)で統合しているので、WAONとにて合弁の自社サービスである。だから、対応は比較的柔軟だろう。


何が言いたいのかというと、ドコモ口座と同じような問題を抱えている業者は、自分の扱っている金融サービスプロバイダー事業のソフトウェアに対して、ある程度必須なセキュリティを設けてもいなかった。その割にサービス拡大を狙いすぎた訳だ。それは、銀行側も同じで甘い監査をして、相手側が十分な監査をしているだろうと思い込んでいた。しかし、実際に蓋を開けてみれば、互いが対策を取っていると思い込んだ結果被害が広がっているわけだ。

だから、こういう業者は、一度連携などを止めるとか、サービスを停止するように通告して、対策を促した方がよい。ちゃんとしているか、影響があっても対処が容易な状況を作っている企業は、世の中に沢山あり、ゆめかのようなサービスなら例え銀行側に問題があっても、足が付きやすいため不正利用はされにくい。そういう部分をちゃんと評価してあげる社会でなければいけない。

本来は、そういう事業者が成長すべきであり、そうでないなら淘汰されても本来は仕方が無いのである。


<大手だから最も使われているから
          ……不具合があっても止めるのは困るでは衰退する>


サービスというのは、フェアであるべきだ。そのフェアとは、杜撰な対処をしていてシェアを伸ばしている事業者を人数が多いからと言って、甘い処分や無罪に留めてはいけないと言うことだ。それをやると、サービスの質は大幅低下し、真面目に開発費や提携先を吟味してコツコツとやっている事業者が馬鹿を見る。それが、まかり通ると、そういう事業者も徐々に杜撰になるだろう。

そうすると、社会は徐々に疲弊する。技術を海外に売るとか無理になると言うことだ。何故なら、調べて見れば杜撰だからだ。
シェアが高いから売れるんじゃない。質が良いから評価されて売れるようになるのだ。シェアが高くても、質が悪いと判断されれば、潰れてもおかしくはない。そういう発想がない企業が守られてはいけない。

私はそう思っている。

もちろん、auなどもこれから不正が見つかるかも知れないし、既に隠しているかも知れない。その場合は、同じように処分されるべきであり、質が高く信頼が持てるサービスを評価するような社会にしなければいけない。


これを機にこういう社会にもう一度戻って欲しいが、報道や社会の反応を見る限り、そういう視点で見ている人は極めて少ないように見えるので、難しいだろう。日本はまだ選べるほどサービスがあるはずだが、近年は自分が使っているサービスから、乗り換えることに消極的な人も多いからだ。実際は、それが悪いなら、それ以外に移ることも大事だし、悪い物を許しているだけでは社会はなり立たなくなる。ある種これは高齢化の証なのかも知れない。





ブログ気持玉

クリックして気持ちを伝えよう!

ログインしてクリックすれば、自分のブログへのリンクが付きます。

→ログインへ

なるほど(納得、参考になった、ヘー)
驚いた
面白い
ナイス
ガッツ(がんばれ!)
かわいい

気持玉数 : 0

この記事へのコメント