Web口振はヤバい

ドコモ口座を悪用した銀行からの預金不正引き落としが問題になっていますが、そこで「Web口振」という見かけない言葉を知り、調べてみたところかなりヤバいことになっていたので、理解した範囲でまとめてみます。

くどい説明は不要という方は、下の方にある「自分の預金が心配になったらどうすれば良い？」まで読み飛ばしてください。

そもそも口座振替ってなんだっけ？

「Web口振」っていうのはその名の通り「Webを使ってできる口座振替手続き」ということのようですが、そもそも「口座振替手続き」ってやったことありますか？ アパートなど借りたことがあれば、電気やガス料金などを銀行口座から自動引き落としにする手続き書類を書いて出したことあるかもしれませんが、あれです。紙の場合はどんな手続きになっているかというと、

・ 銀行口座を持っている人が口座振替の申し込み用紙に氏名などの自分の情報と、銀行の口座番号を記入して銀行印を捺印して提出（多くは銀行提出用、収納企業提出用、申込者控えの3枚複写になっていて、銀行提出用の紙だけに銀行印を押す）

・銀行は受け取った申請書の銀行印を照合して申請書に記入した人が口座の持ち主本人であることを確認、承認する

・収納企業からの請求額が銀行口座から自動的に引き落とされるようになる

という感じですね。この時、捺印した銀行印が間違っていれば、申請は銀行で突っぱねられます。

口座振替手続きのWeb化

さて、この手続きがWeb化されているわけですが、その手続きは、

・収納企業のWebサービスの利用者が、口座振替受付サービスのページから自分が口座を持っている銀行を選択する。

・すると、その銀行の受付システムに移動するので、そこで自分の口座情報や口座の名義人本人であることを証明する情報を入力させて本人であることを確認、承認する。

・収納企業からの請求額が銀行口座から自動的に引き落とされるようになる

といった感じになっています。

突破されたのは銀行の本人確認手続き

さて、上の流れをみるとちょっとおかしなことに気づきませんか？そう、今回突破されたのは、収納企業（ドコモ）側のシステムではなく、銀行側の口座名義人確認のシステムなんです。もう少し噛み砕いて流れを解説すると（想像も混ざっていますが）、おおむね

・収納企業側は、「そちらの口座をもってると主張している人が口座振替したいと言ってきたよ。とりあえずこの人に"ay0tbWr5laMmtuop"(ランダムな文字列）っていうID付けたので、確認お願いします」と銀行側システムに依頼しつつ、申請者をその銀行用のWeb口振受付システムに転送する

・銀行側システムでは、転送されてきたユーザに口座と本人確認のための情報を入力させて、「この人は確かにうちの口座の持ち主（Aさんとしましょう）である」ということが確認できたら、先ほどのユーザIDと口座を紐付けておいて、収納企業には「さっきの"ay0tbWr5laMmtuop"さんは確かにうちの口座の所有者だったよ」と返しつつ、申請者を収納企業のWebシステムに転送。これをもって収納企業は申請者に「口座振替のお手続き完了です」と伝える。

・以降は、収納企業側から「"ay0tbWr5laMmtuop"さんの口座から〇〇円よろ！」って依頼すると、銀行側システムが「よっしゃ、Aさんの口座から〇〇円引き落として、、、ほらよっ！」っと収納企業の口座に振り込む

といった仕組みだと思われます（※ ということにしておきたいけど、生の個人情報が直接やり取りされて、全銀フォーマットで生の口座情報入りの振込依頼が飛び交っている気も、、、間にネット口振受付GWサービスやらCNSセンターやらが入ってよきに計らっているのかもしれませんが、その辺はこの記事の範疇ではないので深入りしません。もし致命的な間違いあったらご指摘を）。

さてここで、一部の銀行では、上記2番目の本人確認の際に、支店番号、口座番号、キャッシュカードの暗証番号（数字4桁）を入力するだけでヨシとしていたそうです。銀行の支店番号は検索システムが無料公開されているぐらい調べ放題ですし、犯罪者からすれば口座番号は当てずっぽうで良いので、4桁の暗証番号だけで本人確認していたことになり、これが何らかの方法で破られてしまったというのが今回の顛末のようです。

、、、さて、ここでいったん紙とWebの比較に戻ると、

4桁の数字が印影の代わりに？

どう考えてもならないですよね(^^;

でも一部の銀行はなると勘違いしちゃったというのが今回の問題の本質です。え？生年月日？それってキャッシュカードの暗証番号にすら設定しちゃダメって口をすっぱくして注意されてませんか？口座名義人の氏名もそうですが、本人確認する際に他人が調べれば分かる情報を本人確認要素として使ってはいけないというのは鉄則です。

暗証番号はその点はクリアしていますが、いかんせん強度が弱すぎて実際に破られ、被害につながってしまいました。あちこちで指摘されていますが、暗証番号はキャッシュカードという物理デバイスと合わせて、ATMのある場所に出向いて使うことで、かろうじて許されるレベルのもので、それを入力しただけで本人が確認できたと判断するにはいくらなんでも無理があったという事ですね。はぁ。

影響範囲は銀行の全口座

さらにまずいことに、調べた範囲ではこのWeb口振サービス、全ての口座において手続きなしに利用可能になっている、いわゆるオプトアウト方式をとっている銀行ばかりでした。つまり、「ネットはよく分からんし怖いので一切使わない」と言っている実家の両親まで危険にさらされていたんです。これを知った瞬間あわてて実家に連絡して口座の記帳とWeb口振の利用停止手続きをするよう（不幸中の幸いで手続き可能な銀行だった）伝えました。どうみたって両親はWeb口振なんて使わないし、そんなサービスの存在すら知らないのに、誕生日や4桁の数字を当てられただけでお金を盗まれる危険性にさらされてるなんてたまったもんじゃありません。銀行はせめてインターネットバンキングの利用者だけ有効にするとかオプトイン方式にするとかにして欲しかった。幸い被害には遭っていなかったようですが、Web口振の利用停止は支店に直接行かないとだめなようで、おそらく「息子にとにかく止めろと言われた」みたいなやりとりになりそうなので、果たして手続きできるのかかなり心配です。

収納企業側だけで対策できるか？

結論を先に書くと、残念ながらできません。ドコモの謝罪会見では本人確認が不十分であった、と説明されていたようですが、その本人確認をする責任はどこにあったのかというと、ここまで書いてきた通りどうみても銀行側なんですね。というか、ドコモの側で申請者がある銀行の口座の持ち主本人である、ということを確認するのはほぼ不可能です。

ドコモは会見の中で、今後SMS認証を使って本人確認を行うという対策を発表していたようですが、それで確認できるのは、そのSMSアドレス（携帯電話番号）の持ち主が申請した本人であるという事実までで、そのSMSアドレスの持ち主だと確認された人が、転送先の銀行の口座の所有者であるという事実ではありません。いまWebを使って申請手続きをしている人間がその口座の持ち主であるかどうかを確認することが可能なのはあくまで銀行であり、繰り返しになりますが、そこは銀行側が責任を持って処理すべき手続きです。

「名義」の本人性確認は難しい

少し脇道にそれますが、収納企業に申請した「名義」の本人性確認も厄介な問題で、たびたび引き合いに出して悪いですが、ドコモが発表したSMS認証で申請された名義が正しいものであるかどうか確認できるのは、ドコモ携帯の利用者に限られるはずです。ドコモの契約者以外の名義を確認しようとすると、免許証などの身分証明書のコピーの提出など煩雑な手続きが必要になるでしょう。SMS認証は、いざ実際に犯罪に使われた際に、その契約から利用者を特定できる（いわゆる足がつきやすい）という副作用的な抑制効果はあるかもしれませんが、本人性確認という点では無意味で迂遠な対策でしかありません。そうすると、名義の一致をもって本人確認とする、というのもあまり意味のない方策ということになり、どこかで見かけた気もしますが、、、脱線が過ぎるのでここまでで。

収納企業の本人確認に銀行側システムが協力？

それでも収納企業側（ドコモ）が（銀行口座の）本人確認をする、とした場合、収納企業側に入力された申請者の個人情報（ドコモ口座）と銀行口座の個人情報を照合する必要がでてきます。で、上のような仕組みの上で、銀行が口座の持ち主の個人情報を収納企業に渡すことは、はたして合法なんでしょうか？

ざっくりと「”口座振替データ伝送サービス” 共同利用」というキーワードで検索をかけるといくつかの銀行で口座振替業務に必要な情報として、「口座名義人、口座番号など、口座振替業務を銀行が行うために必要なお客さまの情報」を共同利用する旨の個人情報保護方針を掲げていましたが、その共同利用先は調べた範囲ではいずれも「地銀ネットワークサービス株式会社」一社だけで、収納企業（ドコモほか）のリストにはなっていませんでした。つまり、銀行が現状で口座名義人の氏名その他の情報を収納企業に渡すと個人情報保護法違反になる可能性があるのではないかと思われます。あり得るとしたら、間に入っている上記会社が収納企業と銀行の両方から個人情報を受け取って照合する、ぐらいでしょうか。

逆に、収納企業側から銀行側システムが名義を受け取って、申請された口座の名義と一致するかどうか確認した上で結果を返すという方法はどうでしょう？そんなことするなら、銀行側で本人性確認して結果だけ返す方が手間かからないですし、（銀行側の本人性確認が厳格であるという前提で）申請者が収納企業に入力した情報の本人性が確認できるだけ（それはそれで収納企業にとっては大きなメリットになりますが）で、どうしたって銀行は、申請者が口座の持ち主であるという本人性を厳格に確認する必要があります。

銀行は何を使って本人確認するのか正確な情報公開を！

さて、銀行による本人性の確認が重要である、という点が理解できたところで、一連の調査をしていてものすごく気になったのは、各銀行のWeb口振サービスの説明において、調べた限り全ての銀行で、本人の確認に利用する情報を明確にしていないことです。

「所定の項目」とか「等」付きで許されるわけねぇだろ💢

コホン、失礼。

口座を持っている預金者のお金を自由に引き出すことが可能な仕組みを預金者に断りもなく開放しておいて、そのために必要な情報の条件提示が曖昧だとゆうのはちょっと許されないと思うので、この点はすぐに改めて、Web口振に対応している銀行はいますぐ何の情報によって本人確認としているのか、正確な項目を公開すべきで、そこを公開しない銀行にWeb口振サービスを提供する資格はない、と言っても過言ではないでしょう。

現状のままでは第2のドコモ口座が出るのは時間の問題

また報道等を見る限り、今回被害にあった銀行以外でWeb口振受付サービスの見直しが進んでいる様子はありません（と書いていたら先ほど全国銀行協会が注意喚起を出したというニュースを聞きました。すばらしい）。これまで述べてきた通り、問題の本質はWeb口振受付サービスにおけるずさんな本人確認ですので、今回のドコモのような収納企業が現れると同じことが繰り返されるでしょう。

あと、Web口振受付サービス除ける口座の本人確認がここまでずさんだと、既存の公共料金等の支払いにおいても、他人の銀行口座を登録している事案がすでに発生していてもおかしくない気がしています。なんかよく分からないけど、毎月公共料金が2回引き落とされてたりしませんか？

自分の預金が心配になったらどうすれば良い？

さて、ここまで読んで怖くなった人のため、確認と対処の手順を書いておくと、

・何はともあれ、すぐに記帳して不審な引き落としがないか確認しましょう、手続きしていないはずの公共料金が引き落とされたり、毎月2回引き落とされたりしていませんか？引き落とされている金額は収納企業からの公共料金引き落としのお知らせと合っていますか？
→不審な引き落としを見つけたら、銀行や警察に相談しましょう。

被害にあっていなかったらまずは一安心です。次は今後に備えましょう。

・預金している銀行がWeb口振受付サービスを提供しているか調べます
→Web口振受付サービスを提供していなければ安心です

・Web口振受付サービスで本人を確認するための項目が何になっているか調べます
→そこに[電話番号]や[キャッシュカードの暗証番号]などの記載があったり、下に書いた「安全な本人確認」に対応できていないなら残念ながら次のステップに進みましょう

・Web口振受付サービスの利用停止ができるか調べて、利用停止手続きをします
→利用停止の手続きができない銀行の方、ご愁傷様です。次のステップに進みましょう

・解約して預金を他の銀行に移します(^^;

しつこいようですが、この問題はネットとは無縁な預金者であっても被害を受ける可能性があります。親戚や近親者にそういう人いたら、お使いの銀行口座から不審な引き落としをされていないかすぐに確認し、可能であれば上記対応をとるよう伝えてください。

  安全な本人確認

さて、では銀行はどうやって本人確認をすればよかったんでしょうか。既に今回被害を受けたいくつかの銀行でも対策がなされていますが、現実的で手っ取り早いのは、

・あらかじめ別の手段で本人のものであると確認済みの電話番号やメールアドレス、銀行アプリなどにPINコードを送り、それを入力させる

という方法でしょう。今回ドコモ口座に対応しつつも被害にあっていないいくつかの銀行が採用していた二段階認証ってやつですね。

あとは、、、うーん、、、利用登録済みのネットバンクにログインさせ、その中で承認手続きする、ぐらい？

なお、申請画面から電話番号やメールアドレスを入力させてそこにPINコードを送るのは論外です。これでは、いま画面を操作している人がその人本人であることしか確認できません（要するに何も確認できません）。

あといくつかの銀行で通帳に記帳済み残高の下4桁を使っているところがあるようですが、その銀行で口座名義と暗証番号だけで預金残高を確認できるWebサービスやテレフォンバンキングが提供されていると、几帳面に記帳しているほど危険にさらされるという冗談のような状況になるので、あまり安全な方法とは言えません。

銀行にとってはチャンスでもあったはずなのに、、、

そろそろ結びたいと思いますが、ネットの世界における決済処理は長年の課題で、クレジットカード会社に高額な手数料を払っていた時代から、PayPalのようなオンライン決済に特化したサービスが現れて少額決済の道が拓け、最近ではフィンテックなんて言葉がもてはやされています。そんな折、地方銀行が直接決済分野に参入できる手段として編み出されたのが、Web口振というシステムの応用なんでしょう。

これが本来の売り文句通りにきちんと本人性確認のできるシステムになっていれば、それこそ地銀各行がオンライン決済の舞台で戦える、素晴らしい仕組みになっていたはずです。

今回の件ですでに一部方面からは強い批判を受けており、この記事もある意味それに倣う内容になっていますが、ほんと惜しいところまできているんです。

「たかがWeb口振のためにこれ以上銀行が投資できるわけがない」という言説をちらっと見かけましたが、この仕組みをきちんと作り上げれば、オンライン決済にとどまらず、本人性確認というネット上で一番厄介といってもよい課題を解決可能なサービスへと繋がる可能性すらあります。個人的な意見ですが、そうした本人性確認が可能な仕組みが地方銀行という分散型のシステムに乗っかる形で構築されるというのは、ある意味では画期的であるとも思います。

銀行各位および関係者におかれましては、自分たちのやるべき仕事と責任をもういちど見つめ直し、このシステムをよりよい形で生まれ変わらせてくれることを願ってやみません。