ドコモ口座やゆうちょ銀行などの不正引き出しなどを受け、金融庁から銀行宛に対応要請
ドコモ口座やゆうちょ銀行などの不正引き出しなどを受け、金融庁から銀行宛に対応要請
ドコモ口座やゆうちょ銀行などの不正引き出しなどを受け、金融庁から銀行宛に対応要請が出されました。
<以下、原文>
令和2年9月 15 日
一般社団法人全国銀行協会 会長
一般社団法人全国地方銀行協会 会長
一般社団法人第二地方銀行協会 会長
一般社団法人全国信用金庫協会 会長
一般社団法人全国信用組合中央協会 会長
一般社団法人全国労働金庫協会 理事長
金融庁監督局長
栗田 照久
資金移動業者の決済サービスを通じた不正出金への対応について(要請)
1.事案の概要
○ 悪意のある第三者が不正に入手した預金者の口座情報等をもとに当該預金者の名義で資金移動業者のアカウントを開設し、銀行口座と連携した上で、銀行口座から資金移動業者のアカウントへ資金をチャージすることで不正な出金を行う事象が複数発生している。
○ 現時点では、資金移動業者において犯罪収益移転防止法施行規則第 13 条第1項第1号に基づく確認を実施し、それに基づく銀行での取引時確認済みの確認及び口座振替契約(チャージ契約)の締結に際してキャッシュカードの暗証番号のみで認証するケースにおいて、被害の発生が確認されている。
2.確認・検討いただきたい事項
〇 「主要行等向けの総合的な監督指針」、「中小・地域金融機関向けの総合的な監督指針」にも記載されているように、サイバー攻撃が高度化・巧妙化していることを踏まえ、サイバーセキュリティの重要性を認識し必要な体制を整備することが重要である。こうしたことに留意し、下記について確認・検討いただきたいので、貴協会会員宛に周知徹底方よろしくお願いしたい。
① 資金移動業者等との間で口座振替契約(チャージ契約)を締結している預金取扱金融機関においては、資金移動業者等における取引時確認の内容を踏まえ、資金移動業者等のアカウントと銀行口座を連携して口座振替を行うプロセスに脆弱性がないか確認すること。
(注)例えば、上記口座振替契約(チャージ契約)に際して、預金取扱金融機関においてワンタイムパスワード等による多要素認証を実施していない場合など、不正に預金者の口座情報を入手した悪意のある第三者が、預金者の関与無しに資金移動業者等のアカウントへ資金をチャージ可能なケースは脆弱性があると考えられる。
② 上記確認により問題や脆弱性が見出だされた場合には、資金移動業者等のアカウントとの連携時における認証手続の強化(多要素認証の導入など)を含むセキュリティの強化、資金移動業者等における取引時確認の状況を確認するなどの堅牢な手続きの導入を検討すること。
また、その導入までの間、足許において被害を生じさせない態勢を整備する観点から、新規連携や資金移動業者等のアカウントへの資金のチャージを一時停止すること。
③ 本事案に関して、被害を心配される利用者から相談を受けた場合には、被害の有無に関わらず、利用者の不安を解消するべく、真摯な姿勢で迅速かつ丁寧に対応すること。
なお、上記①の確認により問題や脆弱性が確認された場合にはその旨、及び上記②の対応の内容を速やかに当局に連絡いただきたい。
また、過去に被害が生じていなかったかを確認いただき、被害が発覚した場合や、新たに被害が発生した場合にも、その旨を直ちに当局に連絡いただきたい。
以上
muro