「22項目中14項目に不備」──調査で明らかになったゆうちょ銀「mijica」のずさんなセキュリティ(ITmedia NEWS)
【リンク先抜粋】
萩野善教副社長は今回の不正の原因について、「リスクに対する感度が鈍かった」と釈明。ゆうちょ銀では9月以降、「ゆうちょPay」「mijica」「JP BANKカード」のセキュリティを総点検する社長直轄のタスクフォースを設置。各サービスのセキュリティレベルについて、キャッシュレス推進協議会が9月に公表したガイドラインが定めるチェックリストを満たしているか調査した。その結果、mijicaは22件中8項目しか満たしていなかったことが判明。他の2サービスは全て満たしていた。
例えば、アカウント作成時に設定したログインID・パスワードの再設定を利用者に強制できておらず、さらにmijicaの利用を申し込んだ際には、カードが利用者の手元に届けられていなくても決済機能や会員サイトを利用できる状態だった。
異常な取引の監視に向けた監視体制も十分に機能していなかった。チャージや送金の限度額も設定していたが、今回の事態を受けて再検討する。
ゆうちょ銀の担当者は、不備があった14項目について行内の監査委員会でさらに詳しく調査する方針とした。具体的な再発防止策については、mijica発行時の郵送による書面通知、二要素認証の強化などを挙げた。
ゆうちょ銀は不正送金の公表遅れが被害拡大につながったとして、今後は迅速な情報公開を掲げ、「お客さま本位の理念を追求していきたい」としている。経営陣の責任について池田社長は「利用者の利用環境を整えるために全社一丸と取り組んでいきたい」と述べるにとどめた。
今回の調査をまとめた報告書では、不正送金や不正ログインの攻撃手法も記載。それぞれブルートフォース攻撃、リスト型攻撃だったという。