問題のネット口座振替受付サービス

電気、ガス、水道などの公共料金や生命保険、損害保険などの保険料、税金などを銀行口座から引き落とすようにする際、昔は紙の口座振替依頼書に銀行の口座番号や氏名、届出印を押して提出するのが主流だった。

問題のサービスは、この口座振替の依頼手続きをインターネット経由でできるようにするものだ。このサービスでは、「net-koufuri.jp」というサイト名でサービスを提供している。恐らく、NTT DATAのネット口座振替受付ゲートウェイサービスがこのサービスの正式名称だと思われるが、本記事ではネット口座振替受付サービスと呼ぶことにする。

さて、ここで注目したいのは、本当に顧客が口座振替を希望しているのか確認するために、金融機関が行う本人確認の方法だ。紙で申請する場合は、金融機関への届出印の印影確認が一般的だ。インターネットで本人確認を行う場合は、金融機関によって異なるが、顧客本人(と金融機関)しか知らないはずのキャッシュカードの暗証番号やワンタイムパスワード等だ。

NTT DATAのネット口座振替受付サービスでは、金融機関にもよるが、この本人確認を図2のような方法で行なっている。技術的な詳細を書くと難しくなるので、この図では本人確認は暗証番号で行うと仮定し、擬人化して簡潔に表現している。

この図2の方式を代理人(プロキシー)方式の本人確認と呼ぶことにしよう。

代理人方式の問題点

この方式の問題は、本来、顧客と金融機関しか知らないはずの暗証番号等の認証情報を、第三者であるNTT DATA経由でなければ金融機関伝えられないことに起因する。以下、この方式の問題を整理する。

認証情報の提供先が金融機関であるかのように、顧客に錯誤させる

実際の例として、日本生命の保険料を、NTT DATAのネット口座振替受付サービスを使用して、SBI新生銀行の口座から口座振替する申し込みの流れを見てみよう。

画面1のように、社外提携サイト(NTT DATAのネット口座振替受付サービスのサイトのこと)で金融機関を選んだ後は、赤い四角で囲った部分のように、各種金融機関のサイトに移動すると記載されている。しかし、後述のように実際には、金融機関のサイトには移動せず、NTT DATAのサイトで手続きが完了してしまう。収納機関(この場合、日本生命)も事実に反する記述で顧客を錯誤させている。

画面2でも、赤い四角で囲った部分のように、同様の記述がある。この後、金融機関の選択や口座番号を入力した後、下記の画面に遷移する。

画面3は、上部の赤い四角で囲った部分から、bc-pay.jpというサイトであることがわかる。bc-pay.jpは、同じくNTT DATAが提供している「モバイルレジ」(税金等の納付書のeL-QRコードをスマホで読み取り、支払いするサービス)でも使用されているサイトだ。下の方の赤い四角で囲った部分の「これより先はSBI新生銀行サイトへ遷移します。」という記述からは、あたかも次の画面はSBI新生銀行のサイトかのように顧客を錯誤させるが、次の画面のようにSBI新生銀のロゴは表示されているが依然としてNTT DATAのサイトだ。

画面4の上部の赤い四角で囲った部分から明らかなように、キャッシュカードの暗証番号を求めているこの画面は、実際には金融機関のサイトではなく、NTT DATAが所有しているnet-koufuri.jpというサイトだ。HTTPSによる暗号通信に使われる下記のサーバー証明書からも明らかだ。

画面4で入力した暗証番号は、HTTPSによって暗号化されて送信されるが、それを復号化できるのは唯一NTT DATAだけで、仕組み上、NTT DATAの機器やシステムを経由しない限り金融機関が暗証番号を受け取ることはできない。これが、上記の図2で示した代理人方式の本人確認だという根拠となる。

NTT DATAのネット口座振替受付サービスにおいて、本人確認のための認証情報を入力させる画面を金融機関のサイトだと、収納機関とNTT DATAが顧客を錯誤させていることがわかった。また、口座振替の手続き中、NTT DATAの表記はなく「社外提携サイト」としか記載がない。社名を隠し、金融機関の認証情報を金融機関のサイトだと偽って入力させようとする会社やサービスをあなたは信用できるだろうか?
本来なら、サービスの提供主体である法人名を明らかにし、問い合わせ窓口を設け、どのように情報管理を徹底しているか、損害が生じたときにどのように補償するか等を明示した上で、「NTT DATAのサイトだが信頼して金融機関の認証情報を入力してください」とすべきではないだろうか。おそらくNTT DATAとしては、「顧客対応のコストを負担したくない」、「金融機関ではない自社のサイトに金融機関の認証情報を入力させようとするとサービスの利用率が下がる」などの理由で、顧客を錯誤させる現在のようなやり方を選んだのだろう。気持ちは理解できるが、顧客に対しては、不誠実極まりないやり方のように思う。

顧客の暗証番号等の認証情報の管理義務に違反する行為を促す

金融機関に口座を作る際、いくつかの規定に同意する必要がある。ほとんどの金融機関の規定には、概ね次のような内容の条項が含まれているはずだ。

1. 顧客は、暗証(番号)が第三者に知られないように管理すること。

2. 預金の払戻しや振り込み等の手続きで、入力された暗証(番号)と届出の暗証(番号)が一致した場合、盗用その他の事故であっても、原則として金融機関は責任を負わない。

まず、顧客には暗証番号を第三者に知られないようにする義務があるので、第三者であるNTT DATAのサイトに入力すると、顧客の暗証番号の管理義務違反となる。そして、仮にNTT DATAのサイトで、内部不正や不正アクセスで暗証番号が漏洩し悪用され損害が生じた場合、金融機関は基本的には補償してくれない。NTT DATAのサイトから情報流出があったとニュースが流れたとしても、ITに詳しくない一般の人は、「社外提携サイト」がNTT DATAだと認識すらしていないので、自分も被害に遭う可能性にも気づけない。

預金の規定に反して、第三者のサイトに暗証番号等を顧客が入力せざるを得ないサービスを、金融機関自体が容認しているという状況は、金融庁からも指導して早急に改善してもらいたいものだ。

フィッシングサイトと同じやり口

フィッシング詐欺は、偽のサイト(フィッシングサイト)に人々を誘導し、パスワード、クレジットカード番号、暗証番号などを窃取し、それを不正に使用し、買い物をしたり、預金を他の口座に振り込んだりして損害を与える詐欺行為だ。フィッシングサイトに誘導する方法は、典型的には偽のE-mailを利用するが、正規のサイトを改ざんしたり、偽のQRコードを印字したチラシを配ったりなど、さまざまな方法がある。誘導方法は違えど、フィッシングサイトは、正規のサイトのロゴやデザイン等を複製、模倣、流用して正規のサイトを装い、本人しか知らないはずのパスワードや暗証番号などの認証情報を窃取する。

このフィッシングサイトと、NTT DATAのネット口座振替受付サービスのnet-koufuri.jpというサイトのやり口に違いはない。正規のサイトのロゴやコーポレートカラーなどを利用し、正規のサイトに見せかけて、認証情報を入力させる。NTT DATAのネット口座振替受付サービスを違和感なく使うということは、同じ手口を使うフィッシング詐欺に引っかかりやすいということだ。私のようなセキュリティーの専門家は、一般の人がフィシング詐欺の被害に遭わないように注意を促すが、その中に、次の二つの真偽判定判定基準がある。(フィッシング対策協議会の利用者向け フィッシング詐欺対策ガイドライン 2024 年度版の「4.3.3 Web サイトに不審な点がないかを確認する」にも類似の記載がある。)

1. URLのドメイン名が正規のドメイン名であるか
   例えば、正規のドメイン名が「xyz-bank.co.jp」であれば「https://www.xyz-bank.co.jp/」はOKだが、「https://www-xyz-bank.co.jp/」、「https://www.xyz-bank.jp/」や「https://xyz-bank.co.jp.a821e.com/」は偽物の可能性が高い。

2. そのサイトの証明書が本物か
   金融機関など高い信頼性が求められるサイトでは、画面5にあるようなEV証明書という法人の実在確認などをした上で発行される電子証明書を使用している。EV証明書の中身を見ると、法人名や所在地を確認することができ、その法人のホームページ等に記載の法人名や所在地と照合することで、本物か確認できる。

これらの判定基準から、正規のサイトではないと疑われる場合は、フィッシングサイトの可能性が高いので、アクセスしないようにと注意喚起している。そして、NTT DATAのネット口座振替受付サービスは、この2つの判定基準からすると正にフィッシングサイトの可能性が高いということになる(銀行のドメイン名と異なり、証明書の法人名も銀行の法人名ではない)。
これらの判定基準は、フィッシング詐欺対策には非常に有効だ。だが、これらの判定基準から正規のサイトではないと思われるものの中にも、正規のサービスがあるとなると、この判定基準の明瞭性が失われ、浸透の妨げになる。
収納機関や金融機関がこのサービスの利用を促すということは、フィッシング詐欺に対する注意喚起をしている収納機関や金融機関自身が、フィッシングサイトに情報を入力することに寛容になれと顧客に言っているようなものだ。収納機関や金融機関のフィッシング詐欺対策にも、矛盾があるということになる。

より良いリダイレクト方式

実は、NTT DATAのネット口座振替受付サービスには、代理人方式よりもっと良い図3のような本人確認方法がある。

ここでは、この方式をリダイレクト方式と呼ぶことにしよう。リダイレクト方式の本人確認では、本人確認の時だけ一時的に顧客がNTT DATAのサイトから金融機関のサイトに遷移し、本人確認が終わったら、またNTT DATAのサイトに戻ってくる。擬人化して例えるなら、顧客がNTT DATAの窓口と金融機関の窓口をたらいまわしにされて手続きを進めていくイメージだ。暗証番号等による本人確認は、正真正銘の金融機関のサイトで行われるので、NTT DATAに認証情報が奪われる心配はない。
「これより先は〜〜〜銀行のサイトへ遷移します」と言う文言も、リダイレクト方式を採用している金融機関であれば真実なので、真っ赤な嘘というわけでもない。

問題の代理人方式を採用している金融機関では、その金融機関の4桁の金融機関コードで下記の「{金融機関コード}」の部分を置き換えたURLにアクセスすると、規約類が書かれたPDFファイルが表示されるようだ。

https://net-koufuri.jp/netkf/pdf/{金融機関コード}.pdf

おそらく、リダイレクト方式にするか代理人方式にするかは、金融機関が選択していると思われる。リダイレクト方式の方が新しく、高い技術力が要求されるので、技術力が高い金融機関、比較的最近システムを刷新した金融機関、セキュリティー対策をしっかり行っている金融機関、利用規約と実際のシステムの整合性をきちんと確認している金融機関は、リダイレクト方式を選択している傾向がある。反対に、地方銀行など、人材や資金に余裕がない金融機関は、代理人方式を選択している傾向にある。ざっと確認したところ、都市銀行5行は全てリダイレクト方式、ネット銀行などのその他金融機関では約20%が代理人方式、地方銀行及び第二地銀協加盟行では約95%が代理人方式という状況だった。

金利や利便性だけでなく、セキュリティーも銀行選びの基準に

日本の多くのインフラシステムを構築するNTT DATAがこのような問題のあるサービスを提供し、顧客の大事な資産を預かる金融機関がこれを利用しているのは非常に残念だ。これらの企業では、情報セキュリティーに関するガバナンス(企業統治)が、適切に機能していない(末端まで行き届いていない)可能性がある。企業統治を組織の末端まで行き渡らせるのは困難なものだ。特に、安全なリダイレクト方式があるのに未だに代理人方式を採用している金融機関は、早急に状況を改善すべきだろう。

そもそも全銀協(全国銀行協会)が、適切な技術仕様を策定していれば、口座振替の依頼手続きをインターネット経由で収納機関と金融機関が直接行うことも可能で、NTT DATAの怪しげなネット口座振替受付サービスを使用しなくても良かったはずだ。日本のフィンテックのレベルの低さが垣間見える事例と言えるだろう。日本の金融機関の資産が、フィッシング、その他の不正な手段で窃取される状況は、今後しばらく続きそうだ。

2025/6/5 追記:
その後、PayPayなどのQRコード決済アプリの銀行の口座登録の際にも、NTT DATAのネット口座振替受付サービスが使われていることがわかった。詳しくは続編の「PayPay等のQRコード決済アプリに銀行口座を登録すると、NTTデータにワンタイムパスワード等を窃取される!?」を参照して欲しい。