高還元率のクレジットカードをひもづけ、「ポイント二重取り」で知られたウォレットアプリ「Kyash」を提供するKyashは、資金移動業者として届け出て、9月7日に資金移動サービス(銀行口座からの入出金サービス)を開始した。

 しかし、たった8日後の9月15日、Kyash経由で不正に預金を引き出す被害が発生していたと公表。3件・合計23万円の不正出金のあったゆうちょ銀行のKyashアカウントへの新規登録・チャージを停止した。9月17日時点で、Kyashの登録可能金融機関一覧にゆうちょ銀行はない。
 
Kyashを利用した不正な預金引き出しの仕組み

 同様の理由で、イオン銀行もKyashアカウントへの新規登録・チャージを一時的に停止した。イオン銀行は、ドコモ口座に続き、Kyash、LINE Pay、pring、メルペイ、PayPayへのチャージも停止しており、イオン銀行の口座を紐づけていた、各スマートフォン(スマホ)決済サービスの利用者にはかなり困った状況だ。
 
Kyashの銀行口座からのチャージは、新たに対応したばかりだった

 最初に発覚した同様の手口による不正預金引き出し被害は、NTTドコモのウォレットサービス「ドコモ口座」を踏み台としたもの。全国銀行協会は、ウェブ口座振替サービスによる不正出金事案の発生を受けて、会員銀行へ認証の強化や顧客への注意喚起などを呼びかけた。

 この指示は、全国銀行協会が「被害の発生した銀行のセキュリティ対策に脆弱性があった」と認めたことを意味する。実際に全国銀行協会の示達後、複数の銀行は、ドコモ口座へのチャージを停止した。
 
ゆうちょ銀行は、二要素認証導入済みの「FamiPay」「Pring」を除く、全てのスマートフォン決済・
ウォレットサービスへの新規登録・チャージを停止した

 一連の不正出金の犯人は、特定サービス(ドコモ口座)ではなく、入金した口座と別の口座に出金(払出)可能なウォレットサービス全般をターゲットとし、実行の機会をうかがっていたと考えられる。

 Kyashは、資金移動サービスの開始にあたり、入金先が提携10銀行のみだが、出金先はほぼ全ての金融機関が可能と、220円の手数料で24時間いつでも出金できる手軽さ、コストの安さをアピール。インターネットバンキングを利用しない層、より安い手数料を求める層の利用による手数料収入増を狙っていたはずだ。
 
9月17日12時現在、Kyashの登録可能金融機関一覧にゆうちょ銀行・イオン銀行はない

2021年の資金決済法の改正に向け、新規参入が始まっていたが……

 2020年6月5日に、10年前に施行された「資金決済に関する法律(資金決済法)」の改正を含む「金融サービスの利用者の利便の向上及び保護を図るための金融商品の販売等に関する法律等の一部を改正する法律」が成立し、21年にも施行される予定。改正に伴い、新設する第三種資金移動業に分類される少額送金サービス事業者に限り、現行より規制が緩和される。

 Kyashのサービス内容変更や、メルペイ残高や購入したポイントの「送る・もらう」サービスを始めたメルペイは、盛り上がりが期待される送金サービスを先取りした動きだった。しかし既報の通り、口座振替と連動した送金サービスは、悪意を持った第三者に悪用される可能性があり、出金元、サービス提供元、口座保有者それぞれが適切な対策を講じる必要があるという結論が出つつある。残念ながら、法改正をきっかけとした送金サービス分野の盛り上がりは、当初の期待より低調になりそうだ。(BCN・嵯峨野 芙美)