三菱東京UFJ銀行は2015年11月30日、一部の出会い系サイト運営者の預金口座の振込明細情報が不正アクセスによって流出したと発表した。不正アクセスの疑いがあるのは47口座。この出会い系サイトは、利用者が代金を振り込む際に振込依頼人欄に電話番号を記載するよう呼び掛けていたため、電話番号約1万4000件が漏洩した可能性があるとしている。

 同行の説明によれば、10月23日に警察から「『残高照会ダイヤル』を通じて電話番号の情報が漏洩し、架空請求詐欺に悪用されている可能性がある」という連絡を受けた。同行が「残高照会ダイヤル」に関連する情報システムや業務フローを点検したところ、システム仕様上の不備が見つかり、10月29日までに修正した。同日以降は同様の事象は発生しない状態になっているという。

 「残高照会ダイヤル」とは、電話の自動応答で店番号や口座番号を入力し、残高や入出金明細を音声で照会できるサービスである。本人認証には「(1)キャッシュカードの暗証番号」「(2)通帳に印字されている最終残高」のいずれかを使える。(1)か(2)が正しければ本人と確認され、入出金明細が自動音声で読み上げられる。

 不正アクセスを受けた47口座は、すべて「照合表口(しょうごうひょうぐち)」と呼ばれる通帳のない特殊な口座だった。通帳の代わりに照合表を発行する口座で、入出金が頻繁にある事業者などに利用されている。

 通帳を発行しない口座では、本来は「残高照会ダイヤル」で(2)による認証ができない仕様になっている必要である。実際に同行の口座のうち、同様に通帳を発行しない「エコ通帳」などでは、もともと最終残高による認証はできなかった。

 ところが、照合表口では最終残高としてある特定の数字を入力すると、本人と認証されてしまう不備があった。何者かがこの不備を悪用し、「残高照会ダイヤル」を通じた情報窃取を試みたとみられる。この口座への振込依頼人が依頼人名として電話番号を記載していたため、結果的に「出会い系サイト利用者の電話番号」が漏洩することになった。

 同行広報部は「システム仕様上の不備のためにお客様にご心配をお掛けして申し訳ない。今後も新たな情報が分かり次第告知し、被害が拡大しないように努めたい」と説明している。

三菱東京UFJ銀行の発表資料(PDF)