piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

不正利用が発生した電子決済サービスについてまとめてみた

2020年9月15日、ゆうちょ銀が提携するドコモ口座以外の電子決済サービスでも不正利用被害が発生していると総務大臣が明らかにしました。ここでは関連する情報をまとめます。

不正利用が発生した決済サービス

2020年9月16日8時時点で不正利用が判明している、報道されている電子決済サービスは以下の通り。

決済サービス 被害総件数 被害総額 被害発生/判明時期 被害判明銀行
ドコモ口座 189件 2797万円 2019年10月以降 七十七銀、大垣共立銀、中国銀、紀陽銀、滋賀銀、東邦銀、鳥取銀、みちのく銀、イオン銀、ゆうちょ銀、第三銀(全部で11銀行)
PayPay 18件 約265万円 2020年1月以降 ゆうちょ銀、イオン銀、愛媛銀
Kyash 4件 53万円 不明(2020年9月7日提携開始) ゆうちょ銀、イオン銀
LINE Pay 2件 49.8万円 不明 ゆうちょ銀
メルペイ 3件 約49.8万円 不明 ゆうちょ銀
PayPal 2件 1万円 不明 ゆうちょ銀
支払秘書 36件 約284万円 2019年8月まで ゆうちょ銀、三重銀行
総務大臣が公表
  • 総務大臣が9月15日の閣議後記者会見でゆうちょ銀行が提携する12の電子決済サービスの内、6つの事業者で不正利用が発生したと話した。総務省が10日にゆうちょ銀行よりヒアリングを行った際に説明があった。*1
  • 大臣の発表時点で2社が新規登録等を停止。4社が継続中とした。
  • 当該サービスの所管は金融庁だが、大臣が明らかにした理由として「多くの財産を守るべきなのであえて申し上げた」と説明。
  • ゆうちょ銀行は2要素認証未導入を理由に提携する12のサービスの内、10個の口座登録、入金サービスを一時停止すると発表。同銀行の不正出金被害は136件、総額で約2150万円。(2020年9月17日時点) *2

各社の発表・対応等

NTTドコモ(ドコモ口座)

以下の記事にまとめている。
piyolog.hatenadiary.jp

PayPay

2020年9月15日 「PayPay」利用時の本人確認および不正利用防止に向けた対応について
2020年9月15日 一部金融機関における口座登録やチャージの一時停止のお知らせ

  • 2020年1月以降不正利用が判明した件数は18件。被害総額は 2,653,041円
対象銀行 不正利用件数 被害金額
ゆうちょ銀 13件 1,354,041円
愛知銀行 3件 1,200,000円
イオン銀行 2件 99,000円
  • 不正利用が判明したアカウントは全て停止。全額補償制度の対象で、補償申請があった被害者には対応中。
  • 金融機関口座登録時、eKYCによる本人確認を9月より対象拡大し実施。eKYC全導入以降、ゆうちょ銀行での不正利用発生していない。不正発生率は0.00004%。
Kyash

2020年9月15日 弊社に関する一部報道について
2020年9月15日 一部金融機関の新規登録および入金の一時停止について

  • 口座保有者でない第三者が口座情報、および個人情報を用いて口座登録を行い、Kyashアカウントへ引き出しを行った。
  • ゆうちょ銀行、イオン銀行は新規登録、入金を一時停止。
  • 不正利用はゆうちょ銀行3件(23万円)、イオン銀行1件(30万円)の被害。不正利用の被害については金融機関と協議の上、全額補償の方針。
f:id:piyokango:20200916090138p:plain
Kyashが説明する不正利用の手口(Kyash発表より)
LINE Pay

2020年9月16日 ゆうちょ銀行に関する新規銀行口座登録・チャージの一時停止と 本人以外による利用事案のご報告について

  • 判明している不正利用は2020年に入ってから発生した2件。いずれも完全な第三者による犯行ではないと認識を示している。
  • 1件は被害者の身近な人物によるものと判明。もう1件はこれまで把握している情報から同様の事例と想定するも調査中。
メルペイ

2020年9月16日 メルペイの利用における本人確認、不正利用対策強化について

  • 2020年9月16日よりゆうちょ銀行の新規口座登録、入金を一時停止。
  • 不正利用は現時点でゆうちょ銀行での未確認されており、3件発生。(総額498,113円)全額補償する方針で対応を進めている。
  • 不正利用対策として、一部金融機関より順次新規口座登録や登録済利用者の入金時にeKYCによる本人確認を実施すると発表。
PayPal

2020年9月16日 不正利用に関する、一部報道につきまして

  • 該当する可能性のある数件の確認作業中。これ以外の不正利用拡大はない。
  • 不正利用件数は2件、被害額は1万円と報じられている。*3
ウェルネット(支払秘書)

2020年9月16日 「支払秘書」に関する不正使用およびセキュリティ対応について

  • サービス開始(2017年8月)から2019年8月までに35件の口座で不正利用が発生。不正な入金額は約432万円。
  • ウェルネットの不正対策システムにより約162万円の被害が防止され、実際に使用された可能性のある金額は約270万円。
  • 不正利用されたアカウントは停止。35口座の内、18口座で警察への被害届が提出されている。(ウェルネットは届け出提出推奨)

三重銀行も不正利用の発生を発表。(2020年9月23日)
ウェルネット株式会社が提供する「支払秘書」を通じた当行口座の不正出金について- 被害は2019年8月に1口座で14万3000円の不正利用が発生。

  • 補償はウェルネットと協議の上適切に対応する方針と発表。

被害者への取材記事が公開されている。
「えっ、なにこれ」不正利用9万4千円 昨夏すでに被害(朝日新聞)

  • 2019年8月6日10時過ぎに不正利用。ゆうちょ銀の口座から9万4千円(4万7千円が2回)引き出しされていた。引き出されたお金は鉄道会社の切符の決済に使用された模様。
  • ゆうちょ銀のコールセンターに連絡するもキャッシュカード停止のみ。郵便局窓口でも対応はしてもらえず。警察は銀行口座からの引き出しは聞いたことがないとして4か月捜査されるも犯人特定できず。
  • 被害者が補償や返金を求めたのに対し、ウェルネット側は対応できかねる状況、返金対象外の扱い、不正利用で引き出された残額の700円は返すとメールで説明。
  • ドコモ口座不正利用の件を受け、同様の事象と気づきゆうちょ銀に再び連絡すると補償を含めて検討すると回答。

更新履歴

  • 2020年9月16日 AM 新規作成
  • 2020年9月16日 AM LINE Payの不正利用を追記
  • 2020年9月16日 AM 支払秘書の不正利用を追記
  • 2020年9月16日 PM メルペイの不正利用を追記
  • 2020年9月16日 PM PayPalの不正利用を追記
  • 2020年9月17日 PM 支払秘書の不正利用を更新