2020年9月からのゆうちょ銀行のインシデントを検証、ガバナンスの現状と課題 | ScanNetSecurity
2021.03.04(木)
コンテンツ
注目検索ワード
ホーム 調査・レポート・白書 調査・ホワイトペーパー 記事

2020年9月からのゆうちょ銀行のインシデントを検証、ガバナンスの現状と課題

日本郵政株式会社は1月29日、JP改革実行委員会から受領した日本郵政グループの内部通報窓口等に係る検証報告書および株式会社ゆうちょ銀行のガバナンス等に係る検証報告書を公表した。

調査・レポート・白書 調査・ホワイトペーパー
日本郵政株式会社は1月29日、JP改革実行委員会から受領した日本郵政グループの内部通報窓口等に係る検証報告書および株式会社ゆうちょ銀行のガバナンス等に係る検証報告書を公表した。

ゆうちょ銀行では2020年9月中旬に、即時振替サービスの不正利用で顧客に被害が生じた事案及び今後の対応等について公表し、次いで9月下旬に、Visa デビット・プリペイドカードmijicaの送金機能の不正利用で顧客に被害が生じた事案、10月上旬に、mijica の専用ウェブサイトに不正にアクセスが行われた事案、及びmijica の申込日から到達までの期間における mijica の不正な作成・利用により顧客に被害が生じた可能性のある事案の各発生等について公表し、また9月下旬には、株式会社SBI証券のウェブサイトに悪意のある第三者が不正アクセスし本人確認書類を偽造し不正に開設した貯金口座に出金した事案の発生と対応策について公表と、2020年9月中旬以降、相次いで同行が提供するキャッシュレス決済サービスでインシデントが発生していた。

この状況下で、ゆうちょ銀行の持株会社である日本郵政では、同行のインシデント総点検の結果とセキュリティ強化策の策定状況を踏まえつつ、グループのガバナンスの更なる強化を図るため、ゆうちょ銀行のガバナンスの現状と課題等についての検証を、JP改革実行委員会に依頼していた。

JP改革実行委員会での検証は以下4点の視点から実施している。

1.「顧客本位の業務運営」という理念の下、顧客保護に向けたセキュリティ対策を適切に講じていたか
2.リスク管理態勢として、いわゆる3線ディフェンスにおける2線(管理部門)及び3線(内部監査部門)が有効に機能していたか
3.顧客の苦情に含まれる重大なリスクを検知して分析することを通じて、顧客の声を経営において適切に活用していたか
4.内部統制の要素の一つである「情報と伝達」の状況、すなわち、ゆうちょ銀行が、リスク情報を、どのように認識・評価し、内部で伝達し、日本郵政に報告したか

同委員会では、ゆうちょ銀行の提供する即時振替サービスに関して、顧客になりすました第三者が預金者の口座との紐づけを可能としたのは、決済事業者のアカウントと口座との紐づけを行う際の本人確認の認証セキュリティに二要素認証を導入しなかった等の脆弱性が認められたためと断言し、その要因として「営業部門の所管部署のみが、決済事業者の接続承認基準への適合性の有無を判断していたこと」「即時振替サービス導入時に新商品等審査を実施しておらず、本人確認の認証セキュリティを含めたリスクの評価及び管理を行っていなかったこと」「即時振替サービス導入後において、本人確認の認証セキュリティ対策としての IVR 認証の導入が遅れたこと」「即時振替サービスに接続している決済事業者に対し、本人確認の認証セキュリティ対策としての二要素認証の導入に向けて必ずしも積極的な働きかけまでは行わなかったこと」を挙げている。

同委員会は、その他のインシデントについても同様に検証を実施し、原因等の分析を行っている。
《ScanNetSecurity》

ソース・関連リンク

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

CMS Made Simple において遠隔から任意のコード実行が可能となる Server Side Template Injection の脆弱性(Scan Tech Report) 画像

CMS Made Simple において遠隔から任意のコード実行が可能となる Server Side Template Injection の脆弱性(Scan Tech Report)
「kingjiim_」や「kingjim_officiall」一文字違いのキングジムSNS偽アカウントがDM送信 画像

「kingjiim_」や「kingjim_officiall」一文字違いのキングジムSNS偽アカウントがDM送信
VMware vCenter Serverに脆弱性、解説や影響を受けるシステムを探索する通信も確認 画像

VMware vCenter Serverに脆弱性、解説や影響を受けるシステムを探索する通信も確認
Movable Typeに複数のクロスサイトスクリプティングの脆弱性 画像

Movable Typeに複数のクロスサイトスクリプティングの脆弱性
ゲームのソースコードなどを不正取得されたCD PROJEKT、リンク含むツイートに削除申請 画像

ゲームのソースコードなどを不正取得されたCD PROJEKT、リンク含むツイートに削除申請
日本に 500 台、もし自社に「Emotet 感染しています」の連絡が来たら ~ 特定方法と対策 JPCERT/CC 解説 画像

日本に 500 台、もし自社に「Emotet 感染しています」の連絡が来たら ~ 特定方法と対策 JPCERT/CC 解説

インシデント・事故 記事一覧へ

みずほ銀行で2月28日午前からシステム障害発生、定期預金取引のデータ移行作業が原因 画像

みずほ銀行で2月28日午前からシステム障害発生、定期預金取引のデータ移行作業が原因
バージョンアップ対応漏れで端末にログイン不可に、マイナンバーカード業務が行えず 画像

バージョンアップ対応漏れで端末にログイン不可に、マイナンバーカード業務が行えず
クラウド型顧客管理システム設定不備、ホーユーお客様相談室の個人情報に不正アクセス 画像

クラウド型顧客管理システム設定不備、ホーユーお客様相談室の個人情報に不正アクセス
ニッセイ社員が契約者のポイント35万円分を不正使用 画像

ニッセイ社員が契約者のポイント35万円分を不正使用
東北電気保安協会の顧客情報がネット上で閲覧可能に、職員がメールで第三者に送信 画像

東北電気保安協会の顧客情報がネット上で閲覧可能に、職員がメールで第三者に送信
「大阪府立労働センター」にて書類を取り違えて送付、そもそも郵送時のマニュアルが存在せず 画像

「大阪府立労働センター」にて書類を取り違えて送付、そもそも郵送時のマニュアルが存在せず

調査・レポート・白書 記事一覧へ

「電子サインを安全とは思わない」のは日本のビジネスパーソンの2割 画像

「電子サインを安全とは思わない」のは日本のビジネスパーソンの2割
CrowdStrike Adversary Calender 2021 年 3 月( kryptonite panda ) 画像

CrowdStrike Adversary Calender 2021 年 3 月( kryptonite panda )
Googleが中高生ネット利用調査、「ネット詐欺にあいそうになった」生徒16% 画像

Googleが中高生ネット利用調査、「ネット詐欺にあいそうになった」生徒16%
小売電気事業者のためのサイバーセキュリティ対策ガイドラインVer.1.0 策定 画像

小売電気事業者のためのサイバーセキュリティ対策ガイドラインVer.1.0 策定
国内 IT サービス市場 IDC 予測、2021年以降プラス成長に回帰 画像

国内 IT サービス市場 IDC 予測、2021年以降プラス成長に回帰
北海道・東北・関西・九州 ~ 地域セキュリティコミュニティのプラクティス集が公開 画像

北海道・東北・関西・九州 ~ 地域セキュリティコミュニティのプラクティス集が公開

研修・セミナー・カンファレンス 記事一覧へ

ビジネス OSINT とは何か? 経営に正しく役立てる方法 ~ 日本ハッカー協会 代表理事 杉浦氏講演 画像

ビジネス OSINT とは何か? 経営に正しく役立てる方法 ~ 日本ハッカー協会 代表理事 杉浦氏講演
「アカウントは漏洩している前提で備えるべき」~ ソリトンシステムズが提案する「Soliton OneGate」とは 画像

「アカウントは漏洩している前提で備えるべき」~ ソリトンシステムズが提案する「Soliton OneGate」とは
ニューノーマルの3つの特徴と VMware が考える3つの包括的解決アプローチ 画像

ニューノーマルの3つの特徴と VMware が考える3つの包括的解決アプローチ
応募多数で参加枠2倍に「NRI Secure NetWars 2020」入賞者発表 画像

応募多数で参加枠2倍に「NRI Secure NetWars 2020」入賞者発表
明かされた「JNSAセキュリティ十大ニュース」の謎、選考委員長 大木 榮二郎先生に聞く 画像

明かされた「JNSAセキュリティ十大ニュース」の謎、選考委員長 大木 榮二郎先生に聞く
NGAV + EDR + SOC の三位一体、サイバーリーズンだけが持つ平時有事のセキュリティ運用知見公開 画像

NGAV + EDR + SOC の三位一体、サイバーリーズンだけが持つ平時有事のセキュリティ運用知見公開

製品・サービス・業界動向 記事一覧へ

演習と CTF で人材育成 発掘、NECが教育サービス提供 画像

演習と CTF で人材育成 発掘、NECが教育サービス提供
川口洋氏や登大遊氏ら、2021年サイバーセキュリティ総務大臣奨励賞 受賞者 画像

川口洋氏や登大遊氏ら、2021年サイバーセキュリティ総務大臣奨励賞 受賞者
ワンビとネットアップ、総務省ガイドライン準拠し ADEC 消去証明書発行サービス 画像

ワンビとネットアップ、総務省ガイドライン準拠し ADEC 消去証明書発行サービス
LogStare がログ転送モジュール無償提供 、syslog 非対応アプリのログ収集可能 画像

LogStare がログ転送モジュール無償提供 、syslog 非対応アプリのログ収集可能
KCCS「Salesforceセキュリティ診断サービス」提供開始、1回80万円から 画像

KCCS「Salesforceセキュリティ診断サービス」提供開始、1回80万円から
NRIセキュア「Okta Identity Cloud」のライセンス販売と導入支援サービス開始 画像

NRIセキュア「Okta Identity Cloud」のライセンス販売と導入支援サービス開始

おしらせ 記事一覧へ

ScanNetSecurity システム更新のお知らせ 画像

ScanNetSecurity システム更新のお知らせ
特典ノベルティ写真公開、Scan PREMIUM 創刊22周年記念キャンペーン11月末迄 画像

特典ノベルティ写真公開、Scan PREMIUM 創刊22周年記念キャンペーン11月末迄
ScanNetSecurity 創刊22周年御礼の辞(上野宣) 画像

ScanNetSecurity 創刊22周年御礼の辞(上野宣)
上野編集長就任10周年記念オンライン飲み会 7月17日開催(ScanNetSecurity) 画像

上野編集長就任10周年記念オンライン飲み会 7月17日開催(ScanNetSecurity)
上野宣 編集長就任10周年記念オンライン飲み会、Scan PREMIUM「宣ベロ」ライセンスキャンペーン実施(イード) 画像

上野宣 編集長就任10周年記念オンライン飲み会、Scan PREMIUM「宣ベロ」ライセンスキャンペーン実施(イード)
上野宣から編集長就任10周年の御礼 画像

上野宣から編集長就任10周年の御礼
Page Top
★★会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★
★★会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★

登録すれば、記事一覧、人気記事ランキング、BASIC 会員限定記事をすべて閲覧できます。毎週月曜朝には一週間のまとめメルマガをお届けします(BASIC 登録後 PREMIUM にアップグレードすれば全ての限定コンテンツにフルアクセスできます)。
×