日本通信株式会社(以下、「当社」という)は、当社連結子会社、my FinTech株式会社を通じて、群馬県前橋市において昨年12月20日より電子地域通貨「めぶくPay」を提供しております。
スマホ決済における主な問題として、1)スマホ決済アカウントの「のっとり」、2)不正入手したクレジットカード情報を利用した「不正チャージ」の2つがあります。めぶくIDは、マイナンバーカードを用いた厳格な身元確認とレベル3の当人認証により、高い安全性を確保しています。しかしながら、このたび、レベル3の当人認証を備えているものの、簡易的な身元確認で発行されためぶくIDの仮ID(以下、「仮ID」という)を利用した、クレジットカードの不正チャージが発生いたしました。
今回の事案を受け、前橋市と協議のうえ、仮IDによる「めぶくPay」アカウントにおいては、クレジットカードからのチャージを停止することといたしました。詳細は下記のとおりです。
なお、めぶくID(本ID)でのめぶくPayは安心・安全にご利用いただけますので、仮IDではなく、本IDでのご利用を強くご推奨申し上げます。
記
1. 経緯
従前より、前橋BOOK FESなどのイベントを通じて、めぶくのサービスを手軽に体験いただけるよう仮IDを発行してまいりました。仮IDについては、本来、金融・医療・行政といった重要なサービスには利用しない想定で運用しておりましたが、地域からの要望を受け、2024年10月7日より「めぶくPay」の仮ID対応を開始いたしました*1。これは現在普及している様々なスマホ決済においては、簡易的な本人確認で運用されているため、それと同等の方法でめぶくPayを利用できるようにしたいという理由によるものでした。
*1 他のQRコード決済の多くで採用されている、メールアドレスの到達確認などの身元確認レベル1に相当する方法
しかし、2024年12月18日から19日にかけて、不正に取得された8件のクレジットカード情報を用い、総額989,000円のチャージが行われ、市内の加盟店舗で支払いに利用されるという事案が発生したと、クレジットカード会社からシステム運用会社に対して報告がありました。
なお、クレジットカード会社のセキュリティ対策である3Dセキュア2.0は今回の不正利用全ての事案で導入済みでした。
2.緊急対応
本事象がすべて仮IDによるものであったことから、my FinTechでは緊急対応として、2024年12月20日早朝に仮IDの新規登録を停止いたしました。これは、新たな不正利用を防ぐための措置です。
3.今後の対応
前橋市と協議の結果、2025年1月6日より、仮IDによる「めぶくPay」アカウントでは、セブン銀行ATMからの現金によるチャージ、及び銀行口座からのチャージのみとし、クレジットカードからのチャージを停止といたします。また、この期間中、仮IDの新規登録を停止いたします。(仮IDの新規登録停止は、12月20日朝の段階で緊急対策として実施済みで、これを1月6日まで継続いたします。)
なお、めぶくIDを利用した「めぶくPay」アカウントでは、昨年12月20日の提供開始から本日まで1年以上に渡り、スマホ決済アカウントの「のっとり」や、不正に入手されたクレジットカード情報を利用した「不正チャージ」は一切発生しておらず、安全な仕組みであることを改めてご案内申し上げます。
以上
当社は今後も、安全・安心にビットを運ぶことを使命とし、サービス・製品を通じて社会に貢献し、持続可能な企業価値の向上を目指してまいります。
※文中の社名、商品名は、各社の商標または登録商標です。