「Web 口振受付サービス」ってなんぞ?

no extension

さて,先週から各メディアは嬉々として「ドコモ口座」を叩いてるわけだが(まぁ「ドコモ口座」による「セキュリティ劇場 (security theater) がお粗末すぎるのは否めないが),問題の核心はそこじゃないだろうと思っていたら,やはり「ドコモ口座」だけじゃなかったようだ。

まずはおさらいから。

piyokango さんによる「ドコモ口座を悪用した不正送金についてまとめてみた」を参照して,今回の「関係者」を挙げてみる。

ドコモ口座を悪用した不正送金についてまとめてみた - piyolog

ここで気になるのはやはり「Web 口振受付サービス」だろう。 某国営放送風テレビが「暗証番号を定期的に変える」とか頭の悪すぎることを言ったそうだし,「Web 口振受付サービス」が今回のセキュリティ最弱点であることは(たぶん)間違いないだろう。

じゃあ「Web 口振受付サービス」ってなんぞ?

ゴメンペコン。 ここからはかなり推測を含んでいる。 何故かというと,現時点で「Web 口振受付サービス」が使えるサービスを持ってないから。

というわけで,続きをどうぞ。

まず,今回正直(?)に申告したゆうちょ銀行を見てみる。 ゆうちょ銀行では「口座振替受付サービス」として以下の3つの手段を提供している。

収納機関のWebサイトからのお申込み(Web 受付方式)
携帯電話会社やクレジットカード会社など(収納機関)のWebサイトからゆうちょ銀行を選択し、インターネット経由で即時に自動払込みのお申込みができます
収納機関のWebサイトからのお申込み(金融機関受付方式)
携帯電話会社やクレジットカード会社など(収納機関)のWebサイトからゆうちょ銀行を選択し、ゆうちょダイレクトから自動払込みのお申込みができます
ゆうちょ銀行のキャッシュカードでのお申込み(収納機関受付方式)
ゆうちょ銀行の通常貯金口座のキャッシュカードを、携帯電話会社やクレジットカード会社など(収納機関)に設置された端末機に読み込ませ、暗証番号を入力することで自動払込みのお申込みができます

ただし,これら3つの手段を使うにはそれぞれ条件がある。 以下に表にしてみる。

申し込み方法 サービス名 登録方法 ゆうちょダイレクト
Web 受付方式 Web 口振受付サービス Web ブラウザ 不要
金融機関受付方式 Pay-easy Web ブラウザ
収納機関受付方式 Pay-easy 専用端末 不要

そういや,こっちに帰郷ったときに市役所で引き落とししてもらう銀行を登録する際に Pay-easy の専用端末らしきものを使ったわ(今メインで利用してる銀行は Pay-easy に対応してる)。

おそらく Web での登録であっても「ゆうちょダイレクト」のアカウントを持っていれば,そのアカウントの認証トークンを使って Pay-easy 経由で識別(identification)や認証(authentication)は可能なのだろう。

言い方を変えると,オンライン上で識別・認証するためのデジタル・トークンを持っていない場合は「Web 口振受付サービス」で暗証番号やらの危なっかしい情報を使わざるを得ない,ということだ。

これ結構マズいよねぇ。 個人的には「Web 口振受付サービス」を使う銀行さんはあまり利用したくない気分である。 既に口座があって公共料金の引き落とし等に使ってるならどうしようもないけど(マメに残高履歴をチェックするしかない)。

たとえばダイレクトバンキング等のアカウントを持っていて Web で Pay-easy が利用可能なら「Web 口振受付サービス」での登録を全て無効にするとかできないのだろうか。

まぁ,身元の曖昧なユーザを抱えるサービスに対して口座振替を設定するようなシチュエーションは今までなかったんだろう。 おそらく銀行ごとに「Web 口振受付サービス」で対応可能な収納機関がかなり絞り込まれると思う。 今後の動向に注目である。

ブックマーク