「複数の認証手段を」、ドコモ口座の不正利用を受けて全銀協が銀行に注意喚起

全国銀行協会は2020年9月14日、NTTドコモの電子決済サービス「ドコモ口座」の不正利用事件を受け、会員銀行に注意喚起したと公表した。Web口座振替を扱っている場合、銀行側には認証の問題がないか、決済サービス事業者側には本人確認プロセスに脆弱性がないかを確認するようにも要請した。 問題や脆弱性があった場合、決済サービスとの新規連携やチャージの一時停止をといった対応を検討するよう呼び掛けた。併せて決済サービスのアカウントに銀行口座を連携させたり残高をチャージしたりする際には、複数の認証手段を組み合わせるよう要請した。 顧客からの問い合わせに対しては「被害の有無によらず、お客さまの不安を解消するべく、真摯な姿勢で迅速かつ丁寧に対応いただきたい」とした。

[kuzumimizuku]

今回のドコモ口座の件は、途中から(去年りそなで不正出金があった後から)ドコモ口座側の登録がフリー(メアドのみ)になったわけだけど、それを銀行側は認識、理解していたのだろうかという疑問はある。

[hatest]

銀行側はWeb口振を受け付けたら、「申請来たんですが、申し込みされましたか？」って電話なりメールなりで確認したらいいんじゃないの？

[addwisteria]

予想以上に迅速だし、ちゃんと銀行のWeb口振契約時の認証の問題を認識してるので、再発は防いで安全になっていく流れ。API連携(参照系・更新系)揉めてたけど、更新系と同レベルの認証を契約時に求めれば安全だと思う。

[hobbling]

認証手段を複雑にするとそれこそドコモ口座側からではなく銀行サイトにログインして送金しろってことになるよな、提携の意味がない

[hiroomi]

”併せて決済サービスのアカウントに銀行口座を連携させたり残高をチャージしたりする際には、複数の認証手段を組み合わせるよう要請した。”