記事種別

決済でビジネスにシナジーを生む 安全と快適性担保が今後の鍵に

定点観測13 決済
  • このエントリーをはてなブックマークに追加
  • プッシュ通知を受け取る

 EC事業者がおさえておきたい、13のテクノロジー関連トピックスの「定点観測」。PAYの高野さんに、決済について聞きました。 ※本記事は、2020年12月25日刊行の『季刊ECzine vol.15』に掲載したものです。

ドコモ口座不正引き出し事件から多要素認証の重要性を考える

 2020年9月、NTTドコモの「ドコモ口座」経由での不正預金引き出しの報告を発端に、複数の決済サービスで不正引き出しの被害が発生していたことが明らかとなった。これにともない、決済事業者各社や銀行が被害者への補償を行ったり、ドコモ口座と連携する35行のうち、29行が銀行口座からドコモ口座への送金を停止していたりと、大きな波紋を呼んでいる。

「同事件は、決済サービスと銀行口座を紐づける際に行われる認証の甘さを狙われたことで発生したものです。銀行はそれぞれ独自の認証手段を持ち、外部サービスとの口座情報連携を行っています。セキュリティを担保するには、2要素以上で認証を行う必要があると言えますが、口座番号と暗証番号のみで連携が完了してしまうといったように、認証段階が少ない銀行の穴を突いて、アタックされた形です」

 口座番号は基本的には7桁とクレジットカードよりも桁数が少なく、振込の際などに人に伝えることもある比較的オープンな情報と言える。これと4桁のパスワードを組み合わせることで連携が完了するのであれば、パスワードリスト型攻撃による被害を免れることは困難である。

「今回の事件を契機に、金融庁から銀行に向け、本人確認の厳格化の通達が出されました。具体的な方法としては、複数要素での認証をもってセキュリティレベルを向上させることになるでしょう。認証段階が増えることで、顧客の登録ハードルを上げてしまうのではないかと懸念される方もいるかもしれませんが、安全性を担保するための防御はユーザーのお金を預かる立場として最低限行うべきことです。暗証番号に加え、SMS、指紋認証などといった手段を用いて本人確認を行うサービスはすでに多く存在しています。馴染みある手段でいかにユーザーに負担をかけずにセキュリティを担保するかは、今後のキャッシュレス決済利用活性化のためにも考える必要があります」

この記事は、紙の定期購読誌『季刊ECzine』に掲載した限定公開の記事です。
続きは以下の方法でお読みいただけます。


  • このエントリーをはてなブックマークに追加
  • プッシュ通知を受け取る

関連リンク

バックナンバー

連載:季刊ECzine vol.15定点観測

もっと読む

2018年05月の人気記事ランキング

All contents copyright © 2013-2021 Shoeisha Co., Ltd. All rights reserved. ver.1.5