「リスク感度が低かった」 ゆうちょ銀行が不正送金問題を謝罪【Impress Watch記事】

<ゆうちょ銀行の会見内容から見えたのは業務上の脆弱性>

 この記事にあるチェック内容で見えてくるのは、届出電話番号を簡単に変更できる業務運用だったということ。
変更届出人の真正確認をしないまま電話番号を変更できる業務運用では、犯人が本人のフリをして、本人の届出電話番号を犯人の電話番号に変えた上で不正送金すれば、2段階認証のSMS送信をしても犯人の携帯電話に届く。
 これは2016年10月に日本でApple Payが使えるようになった際に発生した不正チャージと同じ手口。2014年10月に米国でApple Payが始まった時にも発生したから注意喚起したが、多くのカード会社が後手に回った。でも、オリコの山口執行役員は宮居の言葉を信じて対応してくれた。社内で「これまで電話一本で簡単に番号変更できたのに、不便になるじゃないか!」と猛反対されたが、その後Apple Payで不正が多発した際に同社は不正ゼロで「やっと理解された」と山口執行役員が大喜びしてくださったことが思い出される。
 Payでもこういうことが起きると説明したが、当時宮居が勤めるコンサル会社でも省庁の補佐にも理解を得られなかったらしい。何とか注意喚起しようと書籍「決済サービスとキャッシュレス社会の本質」にも書いたが遅かった。
 ITの問題ではなく業務の問題だから、当然IT専門家には分かない話であり、TVの夜のニュース番組ではITジャーナリストの「なぜ2段階認証を突破されるのか分からない」とのコメントが紹介されていた。・・・どうしたら聞いてもらえたのだろうか? 会見を見ても相変わらずゆうちょ銀行の認識は甘いと感じる。6千万円で止まれば御の字かもしれない。