NTT DATAって金融機関だっけ?

PayPayアプリに銀行口座を追加しようとした時、「金融機関サイトへ移動する」を選択した後の画面が、異なる金融機関でデザインがやけに似通っていた。もしやと思って調べてみたら、案の定、「金融機関サイトへ移動する」で移動した先は、選択した金融機関ではなくNTT DATAのnet-koufuri.jpというサイトだった。

PayPayで登録する金融機関を選んで登録を開始すると図1のような画面となる。

図2のような画面が表示されて、「金融機関サイトへ移動する」をタップする。当然、金融機関のサイトへ移動するものと思っていると…

図3の画面が表示されるが、実はイオン銀行のサイトではなく、NTT DATAのnet-koufuri.jpというサイトの画面だ。

その後、銀行の支店や口座番号、銀行に登録している電話番号を入力する。すると図4の画面が表示され、本人確認のためイオン銀行からワンタイムパスワードの通知の電話がかかってくる。その電話のガイダンスでは、ワンタイムパスワードは第三者には教えるなと親切に注意してくれる。しかしだ。図4の画面は、実際はnet-koufuri.jpというNTT DATAのサイトだ。まさしく第三者。第三者のサイトにワンタイムパスワードを入力するわけにはいかない。もし入力すると、「第三者にワンタイムパスワードを漏らしましたね。これによって損害が生じてもあなたの過失ですから、銀行は補償しません」と銀行に言われかねない。また、図1にキャッシュカードの暗証番号も挙げられているので、この後、キャッシュカードの暗証番号もNTT DATAに入力させられるハメになるかもしれない。暗証番号を入力するとどうなるかについては、あなたの銀行の暗証番号をNTTデータが収集している!? 〜社会インフラを任せて大丈夫!?〜の記事に記載の通りだ。

そもそも、PayPayやメルペイ、エアウォレットの開発/運営は、金融機関サイトへ移動すると表記しているのに、NTT DATAのnet-koufuri.jpというサイトに移動させることをどう捉えているのだろう。NTT DATAが金融機関なのか調べてみた。金融庁のサイトで調べると、NTT データは、預金取扱等金融機関、銀行等代理業者としては登録がなく、電子決済等代行業者として関東財務局長(電代)第116号で登録されていた。金融庁管轄という意味では金融機関だが、預金取扱等金融機関、銀行等代理業者として登録がないのに、金融機関と言っていいのだろうか? 少なくとも図2の画面では、すでに銀行を選択しているのに、その銀行以外のサイトを「金融機関サイト」と称して移動させるのは、利用者を欺いているように感じる。

一応断っておくが、全ての金融機関でnet-koufuri.jpに移動させられるわけではない。セブン銀行等のように、実際にその銀行のサイトに移動する場合もある。図3と似たような利用規定同意確認画面が出てきたら、net-koufuri.jpに移動している可能性が高い。

厄介なのは、SafariやChromeといったブラウザ内での操作なら、アドレスバーを見れば誰でもURLを確認できるが、サイトのコンテンツだけがアプリに埋め込まれて表示されていると、どのサイトと通信しているか利用者が把握できない。この点について、AppleやGoogleは、スマホのアプリの作成ガイドラインや審査等で、通信先や、通信が暗号化されているか(httpsが使われているか)利用者が判別できるようなデザインとなるようにすべきではなかろうか。

ちなみに、アドレスバーがないのにどうやって金融機関サイトがnet-koufuri.jpだと特定できたかというと、スマホとサーバー間の通信データを解析したからだ。暇人でごめんなさい。

金融機関を装って情報を集めないで

金融機関は、預金者本人か確認のための情報をNTT DATAが取得することを許可しているだろうとは推測できる。また、分かりにくい真実よりも、分かりやすい嘘の方が、(嘘がバレさえしなければ)物事を円滑に進めることが多いのも事実だ。しかし、NTT DATAには、金融機関を装って、口座番号や電話番号や、本人と金融機関しか知り得ないワンタイムパスワードなどを入力させないでもらいたい。
フィッシング対策協議会のフィッシングの定義「フィッシング (Phishing) とは実在する組織を騙って、ユーザネーム、パスワード、アカウントID、ATMの暗証番号、クレジットカード番号といった個人情報を詐取することです。」によれば、net-koufuri.jpは、フィッシングを行なっているのでフィッシングサイトとも言える。最もフィッシングに成功したサイトの運営者として、ギネス記録を目指しているのでなければ、できるだけ速やかに預金者の本人確認の方式を改善してもらいたいものだ。