【ドコモ口座】専門家「リバースブルートフォース攻撃された可能性」 被害の銀行、登録に口座番号、名義、4桁暗証番号の3点利用 [雷★]
レス数が1000を超えています。これ以上書き込みはできません。
「ドコモ口座」で相次ぐ不正出金、なぜ地銀だけが狙われた? 専門家の見解は
2020年09月09日 07時00分 公開
[井上輝一,ITmedia]
NTTドコモが提供する電子決済サービス「ドコモ口座」を利用して、銀行から不正に現金を引き出す被害が相次いでいる。七十七銀行(宮城県仙台市)は9月7日、同行の顧客に被害があったとしてドコモ口座への新規登録を当面停止すると発表。中国銀行(岡山県岡山市)、大垣共立銀行(岐阜県大垣市)、東邦銀行(福島県福島市)も8日、同様の理由で新規登録の停止を発表した。
地銀ばかりで被害 なぜ?
今回被害が発生しているのはいずれも地方銀行。NTTドコモはITmedia NEWSの取材に対し「被害のあった銀行はいずれも『Web口振受付サービス』を使ってドコモ口座と連携していた」と話す。
Web口振受付サービスは、地銀ネットワークサービス(東京都中央区)が提供する、収納企業(決済サービス提供社)と地方銀行の連携サービス。ユーザーは収納企業のWebサイトを通じて預金口座振替の新規登録などの手続きを行える。
ユーザーが自身のドコモ口座へ銀行口座から入金するには、ドコモ口座のWebサイトから銀行口座を登録する必要がある。ドコモは「銀行のWebサイト側での作業ではあるが、いずれの銀行も登録には『口座番号』『名義』『4桁の暗証番号』の3点を利用していた」と明かす。
ドコモは、これらの情報が何らかの理由で第三者に漏れたことが不正利用の一因ではないかとしている。
一方、最初に不正利用の被害を発表した七十七銀行は「自社のシステムから顧客の口座番号やキャッシュカードの暗証番号などの情報が漏えいした事実はない」という。
不正利用の被害にあった人のネットへの書き込みなどから、ネット上では「リバースブルートフォース」や「パスワードスプレー」と呼ばれる攻撃があったのではないかという臆測が上がっている。
「リバースブルートフォース」とは? 原因について専門家の意見は
Webセキュリティ専門家の徳丸浩さんは「リバースブルートフォースやパスワードスプレーが使われた可能性はある」としながらも、「ドコモ口座側の防御策に問題があった可能性もある」と話す。
「リバースブルートフォースはパスワード(ここでは4桁の暗証番号)を固定してID(ここでは口座番号)を総当たりする攻撃のことで、パスワードスプレーは数千〜数万のIPアドレスを使っていろいろなIPアドレスから少しずつ攻撃し、攻撃を気付かれにくくする手法。これらが使われたかどうかは臆測でしかいえないが、いずれにせよ今回は暗証番号が4桁という部分が狙われたと考えられる。しかし、4桁の暗証番号を決済アプリとの連携に使っていても被害を受けていないケースもある」(徳丸さん)
「例えばゆうちょ銀行は、『LINE Pay』や『ゆうちょPay』などとの連携に4桁の暗証番号を使っている。しかしこれらで被害が発生していないのは、いずれもアプリがスマホ専用のものだからだと考えられる。『スマホを利用する』ということ自体が一種の認証であり、防御策になっている」
一方、ドコモ口座はPCからでも利用できる。ログインに2段階認証は必要なものの、口座開設時に携帯回線をひも付けていなければ登録メールアドレスにセキュリティコードが送られてくるため、攻撃者自身がドコモ口座を開いた場合はPCのみで操作が完結する。
徳丸さんは「こうした防御策の差で、今回は地方銀行とドコモ口座が狙われたのではないか」と分析している。
銀行が取るべき対策としては「アプリとの連携に4桁の暗証番号を使うのをやめ、ネットバンキングと同等のセキュリティ対策を取れるようにするべきだ」と話した。
続きはソース
https://www.itmedia.co.jp/news/articles/2009/09/news048.html 大手はネットバンク作ってワンタイムパスワード設定してないと使えないんだろ
地銀は利便性重視でガバガバにしすぎ >>5
Web口振受付サービスだな、ログが残ってるのは
Web口振受付サービス側からは何も発表がない ああ、リバースブルートフォース攻撃か。
俺だったらアンチ・リバースブルートフォース攻撃で撃退するけどダメなん? >>7
普通の総当たり攻撃とは違うし
暗証番号を固定してひたすら口座番号を試すという攻撃
逆総当たり攻撃とか言っても通じないだろう 北朝鮮か中国の仕業だ連中ケツに火がついた状態だから
いままで温存しておいた犯罪手口をすべて使いきってくるぞ 湘南地区の地銀なら1173の暗証番号で攻撃すればちょろい 赤の他人が本人騙って勝手に作れて
銀行口座からうつし放題ってwwwwwもはやテロ
仕様考えた馬鹿出てこい 「リバースブルートフォース攻撃!!」
「リバースブルートフォース攻撃!!」 これってクレジットカードと紐付けできないの?
ペイパルのコピーと思ってたけど違うのかな? 俺リバースブルートフォース耐性レベル5だから大丈夫だわ え?ネットでの送金するのに4桁だけてやれてるのか
都市銀だと金銭移動はカード型の暗証つかうよな >>11
何を固定するにしろ総当たりには違いはない ゆうちょ銀行の紐つけやばくね?
ドコモ口座の名義、生年月日が表示されて、ゆうちょの口座番号と生年月日しか聞いてこないんだけど。暗証番号すら聞いてこない。 >>5
IPアドレスをとっかえひっかえしてくるから、本人からのアクセスか攻撃によるアクセスか、ログから判別できないのかもね そもそも暗証番号はどういう経緯で流出してるんだ?
ドコモロだけの問題じゃないよねこれ >>26
資金移動するときに暗証番号必要なのでは? 要するにローラー作戦でヒットした端から抜いてるって事か?
おいおい冗談じゃねーぞ ドコモ口座では提携先の銀行の口座なら他人の口座だろうと本人確認なしで登録できる
他人の口座だろうと登録成功したら本人確認扱いで通帳やカードなしで引き出せる
ドコモ口座はメアドだけで本人確認なしで無限に作れるので犯人は無限にチャレンジできる
1アカウントは月30万円が上限だが、
アカウントは無限に作れるので総被害額も無限になる >>29
例えば暗証番号を1234と固定して、銀行口座番号をとっかえひっかえして試していく。
なので口座番号と名前さえわかれば当たる可能性があるってこと。 そもそも、無限にアカウントが増えてたらドコモも不正利用に気づくだろ これ、仕様検討段階で誰も本人認証の重要性指摘しなかったって事だよね?その時点で問題っすよドコモさん… 本当にこれが可能だったんなら
被害規模はけっこう大きいのでは こうでは?
スタート
↓
本人認証が不要なドコモ口座を作る
↓
適当な銀行口座に適当な暗証番号を試す
↓
合わなければ、スタートに戻り、次の銀行口座を試す
これで暗証番号は知らなくていい
ヒットした銀行口座に振り込み手続きしようとすれば、名義はわかる ★
銀行口座は自分で作った口座から連番で探ればいい
暗証番号を探すんじゃなく、決めた暗証番号にあう銀行口座を探す これdocomoとか関係なくてそこの口座持ってるだけでやばいんだろ? >>25
BLMに対してAll Lives Matterと叫んでボコられて、BLM否定してないのにと納得いかないひと? 専門用語知ってる俺カッケーだろアピールはいいから、はやく他人様のカネを守れよ パスワード(ここでは4桁の暗証番号)を固定してID(ここでは口座番号)を総当たりする攻撃
これって口座番号と暗証番号が一致するまで再試行切り返すの?
ロック掛からんか?普通 昔はトークンでワンタイムパス発行とかだったのにどんどん簡略化していったらこのザマに >>30
個人に資金が戻ってくるなら税金投入でも文句ねえよ。 1932年・女子高生が現代の女子高生と外見がほとんど同じだと話題に!今の女子高生を白黒写真にしただけと言われても信じるレベル
https://abcphoto.tinysun.net/Ikk575700 >>40
なんでこんなスカスカシステムを銀行が許すんだよ >>1でもそれえらく古典的なやり方じゃん
普通パスワードの入力は三回までとかなってるだろ
三回とも間違えた時の再開には面倒な手順があったり
まあ4桁の数字じゃネットではないに等しいけどね 被害原因はシステムと管理者だから全補填だよ
廃行出るな >>29
暗証番号から適当な口座にアタックするから、流出もクソも無いようだ >>5
個人情報保護法が厳し過ぎるので、ログに肝心の情報が残って無いと思われ 生年月日や電話番号要求されるならリバースブルートフォース攻撃される可能性は低い
Web口振受付サービスは口座登録に必要な項目が銀行によって違うので攻撃受けやすい銀行と受けにくい銀行があった 暗証番号なんて誕生日にしてるやつが80%やろ
お前らも心当たり有るな? ドコモはドコモ携帯からの登録のみにしてればIMEIで不正アクセスの検知と制限をかけれた。
銀行側もパソコンからの紐付け可能にするならワンタイムパスワード使わせれば防げた。
どっちもザル よくわからんのだけどドコモ口座っての持ってなければ危険ないんだよね? 文字認証&パスを入力するまでに1分待ち時間置くとか対策できるのにしないアホ
総当りまでの敷居をアホほど高くしないと >>40
10人くらいでPCをカタカタしてれば出来ちゃう作業だよな。
ってかドコモ口座が∞に作れるのが悪いだろ。 パスワード固定の口座番号総当たり。
つまり一番多いパスワードで固定してんだろうな。
1234とか7777とか。 とりあえず被害が確認されてる銀行は
ドコモ口座の取引履歴がある人に葉書なり書面送って確認しろよ
気がついていない人かなり居ると思うぞ >>44
ロックはかからない
口座番号に対して3回間違うとロックされるだけだからね >>44
口座番号大量に持ってれば一口座あたり一日一回程度のアクセスだから、制限に引っかからない。
IPアドレスもその都度変えるみたいだし。 >>1
サービス始まった時点で欠陥システムについて言及しろよ専門家 >>53
インテル ペンティアムプロセッサの時代でな >>44
口座番号基準ならロックもかけられるけど、不特定のipから複数の口座番号に別々に試されたらどうしようもない 間違いなくRBFAだな
それにPSを絡めた巧妙な手口 戻ってきそうに無いな
ドコモは金融で儲けようとすんな
アホなんだから 日本沈没ゲームが始まっている
防衛出来なきゃおしまいです 量子コンピューターが普及するようになったら一瞬でパスワードなんか突破されるんだろうな 島国はツッコミ不在だからなあ
こういうガラパゴスシステムに穴があっても実際に被害が出るまで誰も気が付かなかい もう自衛に自分から口座をドコモ口座に登録して防ぐしかないな
もしくは誰かF5でドコモのサーバーを機能停止にしてくれ
気持ち悪くて夜しか眠れん >>56
たしかにそれは有る
ただリ口座引き落としには銀行口座のオンラインバンキングが
必要になるからバースブルートフォース+パスワードリスト攻撃が
実施された可能性はある
ようは漏れたパスワードを適当に当てはめていくってやつや
アカウントに付き1回試行するにも
これが一番カンタンかつ確実に口座にログインできる
つかパスワード同じにするなよ・・・ >>44
ドコモ口座側がロック→大量のアカウントでやるだろうから新しいアカウントにするだけ
同一IPアドレスをロック→ボットネットとか使って分散させるだけ わかりやすいパスワードがやられたんだ
定期で変更しろと言われてる ドコモの株よりは資金を出された被害者に補填が先だよな。 >>62
むしろ持ってて既に紐付けしてあったらセーフ >>84
一応アタックともちゃんと呼ぶことはあるけど
日本のセキュリティ的にそういう攻撃だけ漢字になることも多い 1932年・女子高生が現代の女子高生と外見がほとんど同じだと話題に!今の女子高生を白黒写真にしただけと言われても信じるレベル
https://abcphoto.tinysun.net/Quo574247 >>87
全く関係ないのでは。
IPアドレス変えながら総当りしてると記事に書いてあるような。 いつまで数字だけの四桁暗証とかアホやってるの?ジャップ?? >>87
一回りするのに数秒だから定期的に変更してもあまり意見なさそう >>71
はいファクト
実際に自分の口座で何回もやって
ロックされたって結果がネットに上がってたぞ >>29
ブルートフォースって0000から9999まで連打するやつじゃなかった? >>1
お前らが昨日から言ってた手口じゃねえか。専門家ってこの分野でも誰でも思いつく当たり前の事しか言わないんだな。 被害かあった4行はたったこれしか要らないのか。お粗末過ぎる。
でも逆に安心したよ。
俺ゆうちょ口座あるが、これと更に生年月日も必要だ。
暗証番号も簡単には推測出来ないのにしてるしね。
口座番号と生年月日と暗証番号、この三点が揃わないとダメ dアカウントから口座登録する時に、銀行側のログイン画面が出る訳だよな??
銀行側としては、ログインのアラートに対して無頓着過ぎたってのもあるかもな。
何れにせよ、
ドコモとしては単純接続をするだけに終始してるからと逃れるって姿勢は気に入らない。 >>104
単語があると言うことは
よく知られた攻撃手法ということ ATMは数回の暗証番号間違いでロックがかかってたはずだけど、ネットだとIPアドレス変えるとリセットされるのが問題では。 >>73
mmx ペンティアム 200Mhzでもですか? 数字だけの暗証番号だけじゃなく漢字やひらがな混在のパスワードの2段階認証にすれば破ることほぼ不可能になるのに >>102
ちがうで
暗証番号以外にもパスワードにも使われるで
文字数多いけど
英単語とかパスワードに使ってるやつかなり居るから
もしくは漏れたパスワード
日本でも放置されているパスワードはクソ多い
これらから方法を選んで口座にアタックを掛けてたってことやろ
一応技術者として知識あるから何でも聞いてくれや 俺ならリバースブルートフォースではなくポパイフォースと名付ける >>6
イオン銀行はスマホアプリのワンタイムパスワードでやってるが
突破されてるやんけ 日本では、一般事業会社の銀行業への参入を認めてるからね。
アメリカとか海外では、認めない国が多いんじゃね?
日本は、規制緩和の議論ばかりだからな。 ああリバースブルートフォースね
2年前に食べたけど結構美味しかったよ ATM付近に盗撮カメラを仕掛けられて暗証番号などを盗まれた可能性はないのかな? まとめ
・暗証番号固定して口座番号を次々切り替えていく
・試すたびにIPかえるから本人からのアクセスかログからはわからない
・一口座あたり一日一回試行だと、パスワード間違いのロックがかからない可能性あり(短時間で複数回の間違いではない為)
・ドコモ口座が捨てアドで何個でも作れるから、これらを何度も試し放題。銀行との窓口的役割がドコモ口座なので、他のサービスではできない。
問題は
ドコモ側
・捨てアドで登録可能
・本人認証なし
ゆえに口座凍結されても作り直し可能
銀行側
・暗証番号のみで紐付け可能
大手銀行はワンタイムパスワードでガード
こんなとこか。 >>1
>「例えばゆうちょ銀行は、『LINE Pay』や『ゆうちょPay』などとの連携に4桁の暗証番号を使っている。しかしこれらで被害が発生していないのは、いずれもアプリがスマホ専用のものだからだと考えられる。
これ意味ないでしょ
残高照会はPCからできるんでこの成功失敗で暗証番号盗めちゃう
それから改めて飛ばしスマホ使ってやればいい
安心できないよね >>99
短時間で数回間違えたからだろ?
少しは考えろよ こういう時こそアナログの書類と印鑑のセットのセキュリティの強さが光るな 定期にするか証券口座にぶちこむかしか予防策ないっぽい >>110
一つの口座で何回もパスワード試したんじゃなくて
一つのパスワードで何個もの口座試してるからロックもクソもないって話なんじゃないの? 銀行によってパスワード桁数違うの?
それなら銀行側の落ち度になるだろうけど >>103
口座引落をネットで登録するには口座によって要件違うな
まあ一つ言えばオンラインバンキングにログインが必要な銀行でも
これおきてるからどっかでパスとか必要な情報が
漏洩した可能性は非常に高い
給付金はまさか・・・と思うが疑いたくないけど調べたほうがいいな >>121
ドコモと地銀どちらもアホ
ドコモ: 捨てアドで口座が作れる。
地銀: 4桁の暗証番号が判っただけで振替を認める。 >>64
1日あればひとりで自動スクリプトをかけると思う バオー・リバース・ブルート・フォース・フェノメノン! >>101
日本人は、一度決まったことは貫くから
それ無理 >>109
よく知られた攻撃に対策してないドコモと銀行何やってたんだうね? >>133
同じだよ。キャッシュカードの4桁の暗証番号 ドコモロとの合わせ技で犯人には待ってました状態だったんだろな… 銀行も暗証番号も数字4桁とかもうやめろ
英数字含めて8桁ぐらいにするべき わいの預金3000円は無事か?
もし不正されてたらDOCOMOに絶対補填させるで!! パチンコ送金が厳しくなってきたから今後はこういうの増えるだろうな >>140
去年のセブンペイの前例があるだろ。
これだけ大問題なら、ドコモ口座サービス自体終了の可能性もある みんな一度口座確認したほうがいいな
念には念を入れて銀行ATMで通帳記入をしたらいい
密になるけどしゃあない 今後は、セキュリティ対策のため暗証番号が20桁になります 実家の親に教えたいけど親に理解力があるか心配
面倒くさがりだから困る >>147
残念あなたの預金はマイナスです
3000円とか関係あらへん >>146
8ケタでも心もとない
ワンタイムパスワードのほうがいい
システム的に変えるべき どうせ被害拡大してドコモ口座廃止になるんだから、今すぐ廃止しろよ >>9
これね。せめてドコモユーザーの名前と名義人だけでも確定しろよ。どうなってんの >>149
CMスポンサー様の事件には慎重にならざるを得ないな そういやキャッシュカードは4ケタの数字だったな
心もとないわ >>150
ドコモは銀行側のセキュリティが弱いという
銀行側はドコモのセキュリティが弱いという
うーん、、、だね。
結局今はドコモは何もせず、銀行側が登録を中止してる。 >>40
ヒットした口座の名義名でドコモ口座を作る、だ。 >>129
印鑑みたいな物があると強いよな。偽造しても足がつきやすい。
キャッシュカードも。物理カードがあって、ATMを使うからたった数字4桁でも不正利用されない。
(その昔、カードに暗証番号を記録していた頃は、○立の社員が偽造カードを作った事件があったがw)
4桁の暗証番号をネットで利用するのは、ただの馬鹿。 ドコモ口座ってどんなもんか見に行ったけど、簡単に作れすぎだな やばいじゃん
あらゆる銀行口座がターゲットって事でしょ? >>160
キャッシュカードなら磁気テープを読み込めば一発最近はICチップかな?
パソコン普及してるし磁気テープの読み込み装置なんて簡単に手に入る
暗証番号は暗号化されずにある特定のエリアに書き込んである。
ピッて通せばわかる
複製も楽 >>17
普通のブルートフォースアタックが、特定のIDに対してのパスワード総当たりだから、間違いではないと思う。
>>10
それやるとユーザビリティが極端に悪くなる。 >>161
まあ、銀行が自発的に中止するのは大事だと思う
提携している銀行で、4桁の銀行はほかにもあるのかな?
あったら知りたい 地銀は利便性を求めたのでは無くネット時代のセキュリティーを理解できていない。 結局、楽天、そにー、セブン、JNBなどのネットバンクが最強って事
遥か昔から4桁の金国よりセキュリテイが高いのは
火を見るより明らかだったのに、
楽天ガーとかバカが言ってたからなあ 4桁の暗証番号
927 :おさかなくわえた名無しさん :2006/11/22(水) 12:34:31 ID:LlDpAOnT
銀行で窓口業務をしている親戚の話。ある日、おばあちゃんが新規口座開設
にきたので、「4桁の暗証番号を決めて下さい」とお願いしたら、えらく悩んでいた。
「おばあちゃん、明日でもいいから決まったら教えてね」と言ってその日は帰ってもらった。
そして次の日、おばあちゃんが持ってきた申し込み用紙にははっきりと
「ど・ん・ぐ・り」と書かれていた。前夜のおばあちゃんの苦悩の様子が
頭に浮かんで、笑いたくても笑えなかったそうです。 こんだけITだのAIだの進行しても番号総当たりとか怪しいことしてる輩のとこに現行犯で踏み込めないのかよ >>150
それどころか、同じ携帯系の銀行の不信感にもなるから
auペイとかも駄目になるじゃね?
それくらいの大騒ぎになるな 3回間違えたら印鑑と申請書持って、
銀行の窓口に長時間並んで、
解除は1週間後とかにしろよww 予想通りの地銀叩き始まったwwwクソワロ
戦犯ドコモ華麗にスルーw 普通の総当りなら、地銀側で防げる
逆総当りなら、ドコモ側でないと防げない
本人認証を含め、ドコモ側の責任が大きい様に思う 普通の銀行口座振替なら大丈夫だよね?
つか、機種変するときなどで代理店で手続きの際
本人確認の為の口座の暗証番号を押して下さい言われて押すでしょ?
これ、店員に分かってしまわないのかな?とちょっと不安だったのだけど >>1
ユーザー獲得を重視してセキュリティーを甘くした結果だな。
PayPayと同様、こういう金儲け第一主義の会社のものは
一生使わんよ!w そんなのができるシステムを日本の大企業が使って金の出し入れしてるってのが恥ずかしいわけよ 攻撃側に利用されてるドコモがなんとかしないと、
銀行がいくら防衛しても解決しないじゃん ドコモロ座のシステムじゃなきゃやれないよね
簡単に無限にアカウント作れるとか >>181
そこだよな、これ双方の問題を
見事についた事だからな これマイナンバー紐づけとかやろうとしてんだからな
こんな管理状態とセキュリティ対策で信用できるか?
口座の金取られても補償ないし戻ってこないし >>177
してるやつはたくさんいるがシステムに入り込めないようにするのがITスキルだ
入り込まれるようなシステムを公然と使ってるのが大企業としてあるまじき姿勢 日本は、一般事業会社の銀行業への参入を認めてるでしょ。
アメリカとか海外では、認めていない国が多いんじゃね?
政治家やマスコミは、規制緩和ばかり議論するからなww >>1
バカドコモは過去にクレカでやらかして
NTTファイナンスにクレカ支払い移行したんだが
そのNTTファイナンスもやらかしたのに
一切発表せずに隠蔽してる!!!!
ドコモの料金支払いサービス
NTTファイナンスの【Webビリング】も
去年2019年7月3日に何の前触れも無く突然
「セキュリティ改修の為、
当分クレジットカード支払いを停止致します」
とアナウンスして突然の支払い停止から
1年以上も経つのに未だに復旧していない
ドコモはNECと富士通の下請け、孫請、
ひ孫請ばかりのバカの集まり
昨日までの新型ドコモウイルスの感染者は、
七十七銀行、中国銀行だけだったが、
今日新たに東邦銀行、大垣共立銀行の
2行が感染したw
そして現在は17行が感染重症者続出!!!
終わったなドコモwww
いま、メルカリがユーザーにdアカウント作れば
ポイント還元やってるからなあ
docomo使ってなくても誰でも作れますよと
書いて宣伝してるからなあ
こんなのやるのメルカリユーザーだろうなあ 中華スマホだから
中国が なりふり構わず攻撃はじめた >>190
聴き慣れないカタカナで論理的思考させないようにする撹乱作戦だな >>186
使わないのではなく、かってにドコモのサービスを使って自分の銀行口座と紐付けされて、金を勝手に引き出されてるのでは。 どちらかというとこの二つは被害者で
口座番号を抜かれる要素があったのが最近あったのではないだろうか
もちろんアタックしまくれる仕組みを作ったところが悪いのではあるが 暗証番号を誕生日にしてる人結構いるみたいだから暗証番号の数字も1万通りから絞込んで日付のみにして
それを口座番号総当りすれば簡単に当たるだろうね
一番の問題は本人確認が一切無い事だけどね >>45
取り付け騒ぎになって銀行どころか各業界めちゃくちゃになるからな
さっきも口座から全部引き上げろみたいなこと言って回ってるやつおったで
あかんやろあれ もし本当にリバースブルートフォースだとしたら、監視してりゃすぐ気づくだろ・・・
金を扱うサービスなら監視くらいしとけよ >>200
「アタックしまくれる仕組みを作ったところ」
ここ間違ってる
「作ってない」から入り込まれる >>201
あとは繰り返し、地方は車のナンバーとかが多いらしい
まず、暗証番号変えた方がいい? >>129
窓口業務の女子行員(ババア)という最終防壁がさいつよ >>207
IT時代に当たり前こと
おまえがおかしい >>170
それ30年以上前のカードを使い続けていればなw 使えるのか?
先に書いた○立社員が偽造カードを作って他人の金を下ろしたんで、1980年代末にはゼロ暗証方式に移行したよ。 日本人は性善説の発想だからこういうの弱い
中国人を雇うしかないがそいつがやらかす可能性を考えないからやっぱり失敗する ガス屋のアプリ登録しないほうがいいのか?
利用料金明細をアプリで確認言われたが
そのアプリが有料?なのか金額書かれてないが
アプリに登録するときに、決済方法の画面がでてきて
携帯料金と一緒にガス代払えるシステムにされるとこだったのかな? >>200
偽サイトで氏名と口座番号を抜かれたか、何かのサービスの自動引き落とし登録で氏名と口座番号を抜かれたんだと思う どこかの物理ATMにカメラなんかを仕掛けられて
口座番号、暗証番号のリストが作られてて
その現金化に本人確認の緩いドコモ口座が
使われただけって気もしなくもない
情報があっても
偽造カードで引き出しはハードル高いだろうし 最近なんでもかんでもシステム同士で連携になってデータを引っ張れたりするから
この手の事件は起こるようになるよ
それはある意味時代の流れと犯罪や詐欺がリンクしているだけ
会社の経費精算システムからクレジットカードの中身見られたり
連携での「利便性」はむちゃくちゃあがった
利便性があがるということは「簡易」になっていってるし「データが知らない所で繋がってる」ということだからな
ある意味時代としては当然の事件ね >>199
ドコモの携帯を持っていなくても
勝手にネットバンキングから引き出しできるの? ドコモが悪くても日本で最上位のスポンサー様ですからね まあガースー様の言う事を素直に聞いて地銀はゴニョゴニョするのが正解ですな。 >>204
それがわかるのはWeb口振受付サービスやってるCNSだけだな >>202
狙いは現金取り付け騒ぎか!
やっぱ2chすごいわ >>207
長くて複雑なパスワード自体が盗まれたらお終い >>214
そんなの前からあるよな
一気に大量に口座番号がわかるって事態がどこかにないと今回みたいなことできなくね >>3
いや杜撰なのはドコモだよ
通常のなんとかPay同様にスマホの電話番号と紐づけてセキュアにするものをドコモがスマホがなくても良いようにした
リバース〜攻撃を普通のなんとかPayでやろうとすると何万何十万機のスマホ本体とケータイ契約の「本物」を用意せねばならず実質不可能だがドコモはそのどちらも無くてPC1台で出来てしまう
地銀はドコモから口座紐付けの要求が有れば本人認証はドコモの責任で出来ていると見做したのだろう
地銀にはこの見なしのレベル確認をしていないかする仕組みがないかの責任はあるが基本頭のおかしい処置をしたのはドコモだ
だから、パスワードは「間違ってます」と言わなきゃいいんだよ
間違ってると言うから、再度やろうとするんだ
「間違っていても、正解の時と同じように口座ページに飛ばしてやれば自動化はできない」
「口座のページは開かれるが、それはニセのもの」
となると、本当に成功したかどうか、コンピュータには判断できない
なんでこの程度の発想もできないやつがセキュリティの専門家ヅラしてんだか、さっぱりわからない
「私はロボットではありません」の実装忘れだな。
どこが設計したシステムだよ? 今回いろんな給付金申請で振り込み先のカードの画像添付ってあったけど、クレカの番号とかまんま書いてあるの審査員バイトに見せるのかって別な手段にしたわ >>211
ICチップに移行するまで暗号化してないと思ったわ >>170
今は昔のキャッシュカード持ってたら
作り変えろと言われるよ
バッチャンが昔のキャッシュカードを持ってて作り替えたとき
皆がこんな柄のは珍しいと見てたくらい >>212
ネット犯罪の被害額は、アメリカとか欧米の方がはるかに巨額だろwww
日本は、基本的に性悪説。
治安が良いのに、警備会社は非常に多い。 >>204
監視してなかったとしても、
被害が明らかになった時点で
穴の修正も、攻撃の手口もすぐに公表できるよね
でも、現時点でドコモも銀行も手口が掴めてるとは思えないんだよね。 >>161
ドコモが新規アカウント受付停止するのが一番早いと思うがね。
ドコモが受付止めた場合他の決済サービス経由でやられるかもしれんが >>204
地銀側はユーザとのセッション持ってないので、口座番号を固定した暗証番号総当りしか監視できない
リバースの場合は、ユーザとのセッション持ってるドコモ側で監視しなきゃならん
スプレーやられたら、ドコモ側でも監視できない >>1
クソ長文に、しれっと
>これらが使われたかどうかは臆測でしかいえないが
アホなんかこいつ? >>218
対象の銀行に口座があれば、犯人側でドコモ口座を作ってそれと紐付けされる 今現在、記帳して被害を受けてないなら、安心のために、暗証番号を変更する事で対策とれないか?
それとも、被害を受けてないなら、触らない方がよい? >>233
一般利用者が入力ミスしたらどうなるんだよwww >>245
実際どういう方法で突破されたかによる
システムの不備ならユーザー側で対処不能だよ >>241
新規停止しても今不正に使われたやつからの出金は停止されないので預金不正にたれ流し状態 振込のときに、口座番号入れたら名義は勝手にでてくるだろ、口座名義とか意味ない なりすまし詐欺で入手した口座番号とパスワード使った手口だよ >>249
使えないだけ
「わからんやつはネット使うな」の精神が求められる 欠陥システムやんけ。
プロクシとVPNからも抜けるんやろな 口座名義が必要なら
リバースブルートフォース攻撃だけじゃ突破できなくね? >>25
つっこんでるのはリバースの方だろ
ブルートフォースは無罪 総当たりを許すなら話が変わってくる
地銀もドコモ口座も両方やばい >>248
ちんげ、とかまんげとか出たら喜んでプリントスクリーンキーを押して
保存して画像うぷしてた奴居たわな。クレカ板のオリコスレで >>227
スマホ必須にするとスマホ強制するのかとお前等みたいなバカがドコモを叩くだろ エラーメッセージで最初に教わる事。
パスワードが違います。
IDが違いますは。
はいけない。どちらか一方の間違いの時常にログイン出来ませんとすべき。
どっちが間違いなのか知らせてはいけない。懇切丁寧も時と場合による。まあそこから始めましょう。 >>254
セキュリティってのは、利用者がキチンと使えるところまでを含めてセキュリティなのよ
利用者を無視するなら、オフラインの金庫の中に全部突っ込んでおけばいいんだからさw >>204
コロナの為、営業時間短縮と従業員数制限
今じゃ機種変もなんでも年寄り以外はWebで対応なってたし まあドコモの口座だけ狙われたというなら個人的な暗証番号漏れじゃなくてシステムの不備と考えるのが妥当
もしくは何らかのリストが漏れた
これなら番号を変えるのは意味ある
漏れたとすれば、マイナンバーのところから
海外のハッカー交流サイトでは、「マイナンバーはおいしい」って言う話になっていたからな
「セキュリティのセの字も知らんド素人が色気出して仕組みを作る、それはオイシイということ」
ってナメられてた
>>254
極端な性格だな。
たかだか総当りでぬけるシステムで抜かれただけの話。
これ自体はそんなに怖い話じゃない。
ただシステム作ったやつが間抜けなだけ。 >>243
この状況で攻撃方法を断言できるとしたら犯人だけだが 小難しいことはいいんだよ
・ドコモ利用関係なく、銀行口座から不正送金される事案
・ドコモ口座対象銀行一覧
https://docomokouza.jp/detail/bank_list.html
対応してない三菱UFJ、りそなは安全 失敗したら5秒アクセス禁止にするだけで難易度あがるんだけどな パスワードは固定で口座番号総当たりだろうね
パスワード間違えたらロック掛かるが口座番号ならそれがない 日曜朝の子供向け番組の必殺技みたいなネーミング
結構好き >>226
だから、NHKとか公共料金とかの自動引き落とししてるどこかの企業が、顧客名簿丸ごと流出させたんじゃないかと思う
若い人はクレカ払いを登録する人が多いけど、高齢者は銀行口座を登録するから >>262
その教則は正しいけど
今回の件には該当しないw 4桁固定だからマズイのか
銀行の4桁ってずっと変わらないもんな
もう時代遅れなんだよな 暗証番号10人に一人は暗証番号が1234らしいね
あとは何かで流出した口座番号と名義人名で試行する度にSIMを変えれば気取られないだろ 1500万人の工作員が物量でクラッキング仕掛けてくると想像してみ? 不正引き出しとか
専門家ならもっと分かりやすい言い方できるだろ >>270
やったーーー!
俺のメインバンクの三菱UFJが入っていない! もうカードとATMだけの時代じゃないんだからさあ… リバースかどうかは別にしてブルートフォース攻撃はほぼ無理では?
仮に可能だったとしたら銀行がかなりおかしい。 >>278
携帯ならIMEIで見るからSIM変えてもブロックできるね >>1
これ、docomoのセキュリティ設定が甘すぎた。
損害賠償はdocomoがしないと。
圧縮ファイルのパスワードクラックもそうだろ
「間違ってるよ」って言うから、あんなもんが通じる
間違ってても間違ってると言わなければ、何が正しいのか量子コンピュータでも分からん
「1234567890」っていうデータを暗号化したとするだろ
正しいパスワードを入れれば、そのパスワードでデコードして1234567890が出てくるが
間違ったパスワードもそのまま受け入れてデコードすれば「F3A555BB8」とか、変なデータになるわけだ
それを利用すんだよ
何が正しいのかを知ってるのは暗号化かけた本人だけ、
他人からは何が正しいんだ?ってなるから
>>38
問題はそこ じーさんばーさんはやられてるのに気付かない お前ら自分の親や爺ちゃん婆ちゃんにもちゃんと記帳しろと連絡しろよ? >>276
カードを所持してるっていう一つのセキュリティが噛んでる前提よね ドコモ口座に入った金は何に使えるの?通販とかなら足が付きそうだけど ドコモ「口座」とかいうなら捨てアドでもひらけるガバガバシステムにするなよ >>34
今回被害にあった人
暗証番号全員同じだとしたら面白いな
1111とか >>236
だから、カードには暗証番号がない。
一般の言葉は違うのかと思って「ゼロ暗証方式」をぐぐってみたらちゃんと説明されてた。 そう言えば、ゲーセンのメダルでさえ、暗証番号+静脈認証みたいのしてるのにな。 >ドコモは「銀行のWebサイト側での作業ではあるが、いずれの銀行も登録には『口座番号』『名義』『4桁の暗証番号』の3点を利用していた」と明かす。
名義必要なのか?
これだとフィッシングじゃね
登録には必要だけど使ってないとかない限りw
銀行側も見ていないとかもあるし
詳細は時間かかりそうだな
双方に発表できるところとしたくないところがあったりして 中国人とかが登場しはじめたら、いっきになかったことにされそう。
7ペイもうやむやになったよな。続報をみていないだけかもしれんが。
セブンイレブンでタバコ大人買いしまくってそのあとどうしたんだ? 被害者の暗証番号が1111とかゾロ目でしたのオチってこと
ないよね
住所や電話番号、生年月日など銀行側で確認すれば
防げたんじゃない? 銀行業務では当たり前の確認事項だと
思う。紙で提出する口座振替依頼書は住所くらいは確認してるでしょ?
書かせてるんだから省略するとロクなことないよ 一番の問題は誰がやってるかだろ
まあガイジンだろうけど そもそも4桁の数字ってパスワードとしては少なすぎ。 数回間違ったら一定時間ロックするシステムにしときゃよかっただけ
全てが言い訳にすぎない >>285
普通のブルートなら銀行側でブロックできるけど、リバースなら銀行側では対処できない
リバースならドコモ側がブロック必要
スプレーなら、そもそもドコモ側が本人認証でブロック必要
よって、ドコモの責任が重い >>270
重くて見れない…
え、その二つだけ無関係…
え〜、三井住友は。。 >>285
パスワードの総当たりは3回でロックかかるけど、口座番号は入力不備でロックかからないんじゃない。 どこからだろうな
北朝鮮
中国
韓国
この3択だと思うけど なんかものすごいことをしてるように聞こえるけど、これ初歩の初歩だから。 >>234
ロボットアームとタッチパネルでロボット認証クリアできるらしいな。 こんだけ一晩騒いで、自称でもやられてたって書き込みすらないな
自分も記帳してきたけど今のとこ不審な引き出しはなかったな
思ったよりも規模は小さいのかもな
まあ既に紐づけされててまだ引き出されていないだけの可能性もあるが え? リバーシブルフルートフォーク攻撃がなんだってー?
変わった楽器だなぁ >>305
ipも口座番号も毎回変えられたらどうしようもないよ 名義を総当たりで発見するのなんて不可能だし、どこかしらで個人情報が漏洩したんだろ
しかし銀行口座に干渉できるんなら本人確認は必須だろ >>285
一口座番号に1回しか試行しないから、ロックかかりようがない。 さすがに総当たりで損害だしたら無責ってわけにもいかんだろう >>306
リバースでもスプレーでも銀行側で対応が必要 >>301
たぶん総当たりにするとしても単純な番号から当たるよね
でもゾロ目なんて銀行側で設定できないようにしてるんじゃない これ昭和歌謡みたいで好き
908不要不急の名無しさん2020/09/09(水) 10:22:06.30ID:mkLES8df0>>914
>>855
ガバガバはドコモの罪
それを許しちゃうのは地銀の罪 >>327
振り込んだことあるなら分かると思うんだがな >>327
ランダムな口座にに振り込み確認画面表示させれば、名義人通知されるだろ。 >>306
銀行側が電話番号と生年月日を要求すればいいだけ >>307
メガでは三菱UFJ以外は該当
但し、地銀と比べて防御力が高いので、問題ない可能性は高い >>321
ロックかどうかはおいといて、すぐにバレるだろうということ。 ねーなんの為に海外送金できるようになんてしたの?
すっごく不自然じゃない? 地銀を重点的にターゲットにしたわけじゃないのかな? ドコモ口座の新規紐付け停止すのは当然として
既存の紐付けられたドコモ口座へのチャージも停止させなければ意味無くない?
せめて自分の銀行口座にドコモ口座が紐付けられていないか確認できるようにしてよ >>340
単に紐付けするときにセキュリティガバガバだったのが地銀だけだったんでしょう >>343
地銀にやる気があれば、高額ドコモロチャージに全員確認電話すれば良いんだが、オレオレ詐欺時代に銀行から振り替えご記憶ありませんか電話するとかw 被害の全容って全然見えないよね。
預金者に責はないから、当然に文句言えるよね。
請求先は、ドコモなのか、銀行なのか?
一体どうなっていくんだろう…
ところでドコモ口座って何年くらい続いてるの?
一度、全部ストップすることができないってことは、
それくらい浸透してるのかな? >>315
やられた人たちの多くは年配者高齢者なのかもしれない
ネットなど見ないしスマホも持っていない被害にあったことすら認識してないとかね >>353
銀行に責任ない場合は保険も当然下りない。 電話と生年月日なんて
Facebookみれば分かる奴いるだろ 古い銀行のシステムのまま
セキュリティを犠牲に利便性を追求した決済を使おうとするからおかしな事になるんだよな
どっちもユルユルだから
そりゃなぁ 暗証番号を固定して口座番号を総当たり
しかもIPアドレスいっぱい
さすがPC 偉いなあ 専門家で可能性ってもう記事書いてるやつの願望なんだけどな >>357
そもそも、その程度の名簿ならいくらでも過去に流出してるし、直近でほぼ全国民の個人情報を派遣社員が閲覧したイベントがあったしな。 >>315
毎月の引き落としに失敗したお知らせからようやく気付くとかありそう 総当たりの口座番号から名義人を先に調べて(調べられるかどうかは金融機関に依存)いれば、そこで発覚しそう。
仮に発覚しなかったとして、ドコモ口座を名義人の名前で作りつつ、銀行口座の認証を一つのパスワードだけで試みて失敗したらすぐに捨てる。
ドコモでも発覚しそうだし、銀行もいきなり大量に振替要求失敗が増えたらすぐに発覚する。
実現不可能な方法でしょう。
変な方式を頭をこねくり回してかんがより「口座番号、名義、暗証番号(候補)がバレていた」で説明がつく。 >>261
「スマホ無しなら、お客さんもたくさん加入してくれるだろう。セキュリティ懸念あるけど、へーきへーき」ということでしょうか? アタックに気づかないわけない。
内部犯行もしくは、システム欠陥を意図的に埋め込んだゴトだろ。 FX口座に移して安心してたのに、そこの口座はみずほだったわ
出金口座は事前登録した同一名義口座限定だが
口座振替ストロー刺されたら意味ないような気がするぞ ドコモ口座が利用されたのは本人確認が甘いからだな
キャリアフリーにしないでドコモ契約者のみの利用で良かったのに >>341
failureレートが急上昇すればわかるだろ >>343
ドコモ回線利用者など、本人家訓とれているアカウント以外は凍結するしかないとおもうけどな。
ドコモ回線利用者=絶対安心ってわけでもないとおもうが。
まあめんどくさいんだろ。
被害届だしたら、あれこれきかれるだろうし、こういう場合は基本、被害者させも疑われることにもなる。
あえて泣き寝入りする人間もおおそう。 今回該当した銀行利用者は、とっとと解約しちまうのが正解かもしれない。 >>365
最近、口座番号と名義、住所、生年月日10万円給付金のために書いた殆どの日本人がやばくね
だからそれは公にされないと思う
総当たりとかなんとか言葉を尽くしてごまかすわ 銀行口座怪しい引き落としがないか確認したほうがいいね。 >>365
名義人は、すべの銀行で調べられるよ。オンラインで、合法的に。だって、振り込み画面で勝手に通知してくれるもの。 >>146
そもそも、ATM自体の存在価値が10年ぐらいで
ガラッと変わっちゃう可能性もある >>371
実際に抜かれてるので、その言い訳は通用しない。 銀行がひも付けていいか聞いてくるべき
勝手にやらないで、欲しい >>1
暗証番号総当たりは使われてないだろう
やったらその時点で、ドコモのDアカウントサービス?を置いてあるサーバーに
過負荷が掛かって速攻でバレる(その日のうちにバレる
そうじゃないって事は、何か…別の方法で暗証番号を引っこ抜いてるんでないかと
Dアカウントは踏み台にされてるだけで
銀行の暗証番号が抜かれてるのであれば、他のスマホ決済全般で同じ事が起きる可能性がある >>370
急激なスマホ決済の普及やマイナポイント施策の後押しもあって
スマホ決済を幅広いユーザに利用してもらうと決済手数料収入がおいしいんだよ
だから多くの企業が参入した 遠隔操作サービスなんかとんでもないサービスあるし
年寄りが勧められて頼っていたら怖いw >>378
いいえ。金融機関によります。
提携時間帯にもよるけど。
いずれにしても、大量にリクエストが来ると発覚しそうです。 ネットのオンライン銀行なんて不正送金被害って年間うんじゅう億だからかわいいもの >>326
リバースならセッション持ってるドコモ側でブロックできるだろ
>>329
確かに。本人認証は登録時からやらんと対応できんからね。
ドコモ側は、個人情報保護法で規制されてるんで、ここで本人情報持てないのが、仇になってると思う
>>336
暗証番号4桁は甘過ぎるので、それは必須だけど、それでもブルートフォースを排除できる訳じゃないんで、やはりフロント側でブロックが必要 メアド垢のパスワード適当に間違えてロックさせたあと
そのメアドにメールで垢復帰のリンクと偽のリンクを踏ませようとする
この手口が多すぎる 地銀のキャッシュカード持ってたら既にやられてるかもしれんてことだよね
まだ気付いてないやつも多そうだな 複数ドコモ垢から攻撃すれば暗証番号ロックされないのでは? >>390
まぁ良く分かってないかもしれん(間違ってるかもしれん
簡単に説明してもらないだろうか >>370
それだと利用者増えないから負けるだろ
auだってキャリアフリーにして取り込もうと必死 >>382 ひどいなあ 初めに>1にアンカ付けといて>1を読んでないでやんの
総当たりは口座番号の方です >>351
そうなんか。
まぁ想定してる事態でもないのだろうけど…
>>356
そう?あ、どうも…
でなくて、率直に思ったことなんよね。
うちの口座のある銀行もあるけど、
振り込み用で、必要額程度しかないけど、
実家とか、下手したら…と思うところもあって、
でも、少々老いぼれてて、すぐに動けないやろうから…
情勢チェックし続けるしかなさそうやね。 Web口振受付サービスの暗証番号ロックって緩いよね もうダメだ全ての地銀からお金を下ろさないと全て盗まれる >>385
で、そんなセキュリティ対策してる銀行が、今どきワンタイムも生年月日確認すらせず、4桁暗証番号だけで紐づけしてるって事?
言ってること激しく矛盾してるのに気がつかない? 1つの垢から2回まで挑戦できるなら、5000ドコモ垢使えば、4桁なら100%突破できるはず インターネットが問題なんだろ
銀行が専用線を用意してるテレフォンバンキングでやれ これだからマイナンバーカードなんて恐くて申請できん >>402
ちなみに、ある調査だと1234が10% 仮にここで言われている暗証番号固定の口座番号アタックなら、被害者の暗証番号が同じなわけだから調べればすぐわかるでしょ、
専門家の指摘もでてきてるんだからさっさと結果出せ スガの政策
地銀統合 大手携帯料金減 デジタル庁
こんな偶然ある? >>389
リバースに対してはドコモ側はなんもできねーよ
Web口振受付サービスは別サイトなんだから
Web口振受付サービス側で何回試行されたかはドコモは知る由もない
本人認証で未然に防げるというのは同意 >>406
「被害を確認しますから、暗証番号を教えてください」 要は地銀のシステムが杜撰だったって話だな
たまたまツールとしてドコモが使われたけど、他のサービスからでも不正やり放題って話だな 結局は有人窓口でその都度ハンコ押した紙でやり取りして預金するのが安全なんじゃね? リバースパンティーフォーム攻撃・・・。
うーむ。。 色々と考えるシナチョンだなw
あいつら悪事に費やすエネルギーが半端ねえわwwwクズニダ 『口座番号』『名義』『4桁の暗証番号』の3点の情報を一括セットで入手できるのはどこか? 結局銀行が悪いって事だねネットバンキングを見習えと >>393
ドコモのアカウントなんて銀行としては知ったことではなく、銀行の特定の口座に対して認証失敗がなされるのでは?
むしろドコモから銀行ページへの遷移ではトークンとかしか来ないのではないかな。そこの連携仕様を知らないけど。
で、最後に銀行から認証成功したらドコモにコールバックしそう。 なんでこのスレってIDまっかにしてマウント取りたがる奴多いんだろ? >>363
ドコモは店頭スタッフ派遣使ってるし
契約も実店舗で書かせてたら個人情報晒してるのも同じだからな。
しかも無知な高齢者を主要顧客にしてれば容易く誘導できるだろうし、この辺り考慮すると手口からして関係スタッフが関与してても不思議じゃないな
個人情報の扱いに関して益々実店舗契約に対しての疑問が湧くわ >>417
4桁暗証番号だけ突破すればいいと何万回。 >>405
これってパスワードがって話であって、キャッシュカードの暗証番号ではないのでは?
キャッシュカードの暗証番号が1234なんてやつが10%もいるの? >>401
そうですね。
それが現実です。銀行システムは古いものを引きずりすぎてます。 >>417
口座番号あれば名義は振り込み確認で誰でも確認できる
暗証番号は総当たり攻撃 >>396
口座番号は総当たりするまでもなく
例えば…この前の「コロナ給付金の申し込み書」なんかにも
書き込んでいるので
これは番号を探すまでも泣く、「何等かの方法で流出したとしても」まぁあり得る話だよね
口座に>振り込む事は誰でも出来る
引き落としは誰でも出来ないように暗証番号が掛かってる 銀行は
人の金を預かってるんだから
今度からドコモロから請求が来たら
払ってもいいですか?
ぐらい聞いてくるべき
聞きもせずに勝手にぶりまかないでよ 日本のネット関連のセキュリティは土人国家レベルだからしゃーない。 マッチョなジェダイにフォースで拘束されてゲロを吐きかけられる攻撃か? >>404
マイナカードはパスワードの桁数が恐ろしく長い上に、数回でロックのでは。 >>50
それを回避するための*リバース*ブルートフォース
各口座に対してアタックは一回だからロックされない ドコモロ座の聖闘士「受けよ!わが最大奥義!リバースブルートフォース!」
地銀聖闘士「うああ!もろだしだし!無数のアタックが飛んでくる!」 何だその必殺技みたいな名前は?w
ジェットストリームアタックよりつおいのか? まずはドコモが全てのドコモ口座を停止させるべきなのに未だにやってない、許されない怠慢だよ >>403
ネット送金時の認証二段目は電話でやればいいよね
銀行側は口座に登録されてる電話番号のみ受け付けて
自動ガイダンスでプッシュボタン押して暗証番号入力 >>3
ドコモの安全対策は一律だが、そこから先の銀行の安全対策は銀行によって違うからな。 >>432 読んだの?>1
なにわけわかんないこと言ってるんだか
暗証番号 固定
口座 総当たり
まだ分からないの >暗証番号が1234なんてやつが10%もいるの?
暗証番号は連番と同一数字、誕生日、電話番号が通らないと思うけど、
それはオラのBLACK地方銀行だけ? リバースプルートフォース攻撃いいたいだけちゃうんかと >>431
暗証番号の総当たりを、何万回もやってたら
Dアカウントサービスを置いてあるサーバーに過負荷が掛るので
多分、その日のうちに異常に気付いたと思うんだよね
…って事は、暗証番号自体は、既にほかの方法で入手済みで
Dアカウントを踏み台にしてる、って事なんじゃねーかなぁ やっぱりパソコンのが脆弱なんだな
ガラケーとパソコン厨のジジババw >>408
そうなのか、指摘サンクス
じゃあ、ユーザとのセッション持ってるWeb口座受付サービスなるサイトが、諸悪の根源だな >>62
ドコモ関係ない、被害にあった銀行口座もってればヤバいな >>428
当然、そんな調査はないだろ。
でも、何かのサービスに1234を使うやつが、キャッシュカードだけ推測されにくい番号使うと思うか?
元の調査では340万件が母数だそうだぞ。 ドコモアカウントが無限に取れる時点で回数ロックとか意味ないね シェア拡大に目が眩み
アカウント作成をザルにしたドコモの罪は重い >>422
携帯のキャリア、その名の通り代理店。docomo,au,sofutbank,全員が社員じゃない。実店舗こそ信用できない。デパ地下の派遣程度と思った方がいい。 >>455
防犯ロック掛かったら>新しいアカウント作ればいいだけだからね
スマホゲームのスタートガチャみたいなもんだ >>1
そんな面倒なことやってないと思うわ。
どこかの通販サイトから口座番号、氏名、生年月日が洩れ、
暗証番号は生年月日から推測、または総当たり。 >>448
銀行の暗証番号をドコモのサイトに送るわけないでしょう…。
そんな作りはありえません。
銀行の口座なんだから銀行で認証します。そっちで認証失敗が増えるしリクエスト自体も増えるのでバレるけど。 可能性はあるとおもうが、総当りとか力越しとかは、なんか違うかんじがするな。
ペイペイ事件や7ペイ事件だとのっとり、クレカ番号チェックとかされたようだが。
フィッシングあたりで確実に登録したほうがばれにくいとおもうし。
被害件数がすくないようであればフィッシングあたりであつめた情報、
多かったら、金融機関からの情報漏えいを疑ったほうがよさげ。
地銀利用者や該当する金融機関の利用者は何百万、数千万人じゃきかないか。郵貯はいってるし。
被害をふせぐにはスピードがもとめられるとおもう。ドコモ口座の既存アカウントは停止されていないんだろう。 この犯人の手口ってこういう理解でいいの?
この方法なら同一攻撃元から1つの銀行口座番号に対して1回しか攻撃しないからこのロックされないということか。
前提:ドコモidは1人いくつでも作れる。ドコモ口座はドコモidがあれば1つ作れる。
ドコモIDを1つ新規作成しドコモ口座0000を作る
銀行aに対してドコモ口座0000のウォレットを使い暗証番号0000ですべての口座番号に攻撃をしかける
ドコモIDを1つ新規作成しドコモ口座0001を作る
銀行aに対してドコモ口座0001のウォレットを使い暗証番号0001ですべての口座番号に攻撃をしかける
↓
繰り返し
↓
ドコモIDを1つ新規作成しドコモ口座9999を作る
銀行aに対してドコモ口座9999のウォレットを使い暗証番号9999ですべての口座番号に攻撃をしかける
銀行bに対して以下同様
… リバースブルートフォース攻撃は、パスワードを固定し、
ユーザーIDを辞書ルーツなどで片端から試していくことでログインを試みる手法である。
ブルートフォース攻撃は、ユーザーIDを固定し、パスワードを変えていくため、操作が反対(リバース)になる。
ブルートフォース攻撃では、同じIDで一定数以上パスワードを間違えるとロックをかけるという対策を施すことで対応が可能になるが、
リバースブルートフォース攻撃では、一つのユーザーIDにつき一回しか試さないので、その対策では意味をなさない。
お勉強になるな。 こんなことがあるから紐づけなんてしたくないんだよなー >>446
Auは1234はオッケーだそうだ。
https://help.jibunbank.co.jp/faq_detail.html?id=17
携帯電話番号、自宅電話番号の連続する4つの数字
ご本人さまの生年月日の数字の組合わせ
同一数字4桁
前回、前々回に登録した暗証番号 >>450
ちなみに運営は地銀ネットワークサービス株式会社
全国の地銀が出資してる会社 >>366
あーそういうことか。スマホアレルギーの老いたお偉いさんから突き上げくらったのだろうか。 まず、地銀のログインで暗証番号固定して口座番号は総当たりでスキャンする
ヒットした口座番号で振り込み確認で名義をゲットする
その名義でドコモ口座を作る
ドコモ口座と地銀口座を紐付ける
ドコモ口座へ送金する(上限があるはず月30万までなど)
ドコモ口座から海外口座へと送金して完了。 イオンはなんで誕生月で口座でふりわけるんだよ
個人情報出しててあぶないじゃないか >>13
ワロタww
5963 1188 4649 2525 1919
これらもすぐに突破されるw >Webセキュリティ専門家の徳丸浩さんは「リバースブルートフォースやパスワードスプレーが使われた可能性はある」としながらも、「ドコモ口座側の防御策に問題があった可能性もある」と話す。
専門家から見たらドコモの手落ちか、終わったね >>1
じゃやっぱドコモがそんなシステム作ったからってことになるけど >>463
それだと同じ口座に複数回攻撃してるやん。
皆が使ってそーな番号、良い国作ろう鎌倉幕府とか、
利用率が高そうな暗証番号の口座を探すんだろ? 今回、狙われた暗証番号は銀行側も当然分かってるよね
ダミー混ぜてもいいから公開すればいいのに >>118
振替の登録時にワンパス要求されなきゃ意味ないんだけど、今回の場合ワンパス要求されるのか? >>475
ドコモはあくまでも踏み台にされただけと言いはるよ
ドコモ口座の正規顧客に損失が出てないってことで 4ケタの暗証番号なんてカード現物がある場合以外意味ないよね >>470
よく本人確認放棄して銀行業務なんて手をだしたもんだw >>372
そんなんしたらメルカリキャンペーンでアカウント作った勢が激怒するぞ
800ポイント配ってからやるならいいが >>461
あまぁ、俺も「Dアカウント」のサービス自体は使った事が無いの
詳しい登録内容は知らないんだけれども
多分、「Dアカウント」内で「引き落とし指定口座」と「その口座の暗証番号」を
先に情報入力しておいて
その情報で、一般銀行からお金を引き落としに行くんだろうなぁ、と
多分そゆことだよね?違ったかな?ごめん 1192
0794
3776
こういうの使ってる地元の人いそう >>486
め、め、め、るかりwwと笑うしかないわな >>482
こちらリバウンドブルートフォースどうぞ みずほは、通帳最終行の残高を入力しないとドコモ口座に登録できない。
三井は、ワンタイムパスワードがないとドコモ口座に登録できない(ネットバンキング契約していない人はワンタイム器持ってないので大丈夫)
せっかくワンタイムパスワードを配っていたのに
ドコモ口座に登録するときは不要にしていたマヌケな銀行もあったと。
こういうことだね? >>483
言い張ってもな、集団訴訟起こされたら最悪だし、悪徳企業のレッテル貼られて終わり。 >>1
ドコモ口座というか、セキュリティがザルの極みの地銀の問題だろ、、、 >>488
今は1192じゃなくて1185なんスよおっさん 4桁の数字なんて適当に打っても当たる
口座番号も数字だけだから総当たりならチョロいな >>204
パスワードスプレー攻撃とも呼ばれるが攻撃の間隔をあけてアタックされるとシステムでの検知が難しい >>463
ロックの仕組みは知らんが、例えば3回でロックならほとんどの銀行aの口座が暗証番号0002を試した時点でロックされるのかw
バカな手法だな。 >>495
人口比的には1192の方が多そうじゃないか? >>491
イオン銀行は
ワンタイムパスワード有りなのに突破されてんのは何でやろ 「武井壮さん、リバースブルートフォース攻撃には
どんな対策が有効なのか教えてください」
みたいな質問を「五時に夢中!」で投げてほしい
きっと実演つきで教えてくれるはず まあ前回の7ペイやらなんやらで、もうパスワード、生年月日、氏名のリストが作られてるだろ。
それの再利用。残りは総当りで。 >>477 でも3回間違えたらさようならだよ 一瞬でw >>499
金入ってて残高に無頓着で居られるのもその世代と思う >>500
ドコモに入金するときワンタイムパス使わない
のかな?
分からないけど この手口って極端に言えば、スレタイで挙げられてる3点うち一つも情報漏洩が無くても総当たりで金抜けるってことじゃないの? リバースブルートフォース攻撃
何となく3機で編隊組んで飛んできそうな >>503
1回しか間違えないだろ。次は口座番号変えるんだから。
情弱乙 >>466
いやほんと。自分自身、オンラインの紐付けにずっと慎重だったが今回こんな事態になるとはね。
これからは紐付け両端のシステムを把握しないとおちおち寝れないわ。
今回、小金持ちが特に焦っていそう。端た金しか持てない底辺のワシは動向を見守りやす。 電子マネーは、組織犯罪に相当狙われてる
セキュリティが弱いとすぐ攻撃される
扉にカギかけない田舎
クルマですぐアクセスできる様になると、空き巣に狙われるの図 >>492
あー、一頃のネトゲのような「ワンタイムパスワード」を使ってたのか >>507
総当たりできないように制限かけるのがセキュリティだから 現場は「こんなシステムじゃダメですよ」って意見したのに、営業に「これで良いんだ」って押し切られた気がする。 要は地銀ネットワークサービスのWeb口振使ってるところは危険なのか
てか使ってないとこあるのか?
定形銀行一覧になきゃセーフ? >>507
そうだよ
流出がゼロでも総当たりでいける 複数回の試みで同じアカウントを狙ってるだろうし
ブルートフォース攻撃だかやっても不正検知しなかったのだろうか >>8
ツイッター情報だけど
口座振替の方は3回間違えたらロックだそうだから、銀行側で入手してると思われ >>515
システムから見ると総当たりしてないから。 リバースブルートフォース攻撃されたら
防ぐ事は無理だな、あとは賠償問題だな >>515 捨てアドでアカウント作れるんですよ。
総当りなんて気にしてると思う? >>493
アホ?
ハッカーに勝手に踏み台にされたことでドコモも被害者の立場であって
顧客がドコモのサービスを利用することで不利益を被ったという事件とは性質が違うってわからんのか? >>519
だから銀行側もウチから漏れた訳ではないって言い訳してるんだよね >>483
匿名つまり本人確認なしで無数に作れることが
被害甚大にしてる主因なのは確実でしょ。
こんなもの、裁判ではまったく通用しないよ。
銀行口座同等物でありえない杜撰さだから。
そして、そういう仕様なのを銀行側は把握してたのかだね。
匿名で作れるって、ちゃんと説明してなかったんだろうね。 >>478
なるほど、日本史の成績で、セキュリティ度合いが決まるかもな
Fランなら誕生日、日東駒専なら鎌倉幕府、GMARCHなら室町幕府とか >>521
一アカウント一口座1回しか間違えないから、検知難しいだろ。
それを検知しようとやる気がある銀行は、4桁暗証番号だけでオケ、なんてザルにしてない なんで登録してある機種依存や指紋や店頭で本人確認せずにドコモ口座なんてつくれるようにしたんだよ
おまけに海外に送金てww >>515
今回の件はシステムにドコモと銀行の2社が関係していて
お互いがお互いに丸投げしあってたが為に起こった問題かと >>521
3回ミスでロックしてくれるならいいけど、よくありがちな時間経過でロック解除とか、その日のうちに3回ミスとかだったら嫌だね。 >>432
すると番号だけ得た口座に対して、ドバドバ暗証番号を振りかけ攻撃して総当たりのセンもあるか そろそろ金融庁あたりがなにか声明ださないと
取り付け騒ぎが大きくなるわな
銀行ドコモロも俺が悪くないって言ってるんだし
被害者がどういう行動するか分からない >>510 横から口出すな アンカ見ろ!文盲!低能 >>521
そうだよなーロックされた口座が続出になるもんな
銀行側で漏洩→外から攻撃するためにドコモを利用
こんな順番か >>535
d払いのユーザ拡大のため
利用手数料収入だよ 私はロボットではありませんからの横断歩道の画像をえらんでくださいをやってれば防げたかもしれんと 暗証番号側を固定でアタックするってのは、暗証番号は何度も間違えるとロックされるからなのけ? >>471
全然ちゃう
まずフリメのアドレスを大量収得して
不正入手した個人情報リストで個人情報と口座番号を紐付けする
そしてフリメアドでd垢を大量収得して暗証番号固定で
口座番号を振り分けてIPを変えながら
地銀の認証にアタック
口座と暗証番号が合えば提供地銀の特定口座と紐づけされたドコモ口座が入手できる
あとはドコモ口座にターゲット口座にチャージして海外口座に送金する >>542
だから、>>1のやり方で一瞬だよ、と言ってるの分からない文盲。 >>537
たぶん、ロックリセットしないと迷惑な愉快犯が出るな。
人の口座を、ロックさせて喜ぶ奴 >>549
そだねー。ペイペイとかアホなシステムじゃなきゃ、さすがにそこのロックはかけるでしょ…多分 銀行は被害者だけど
顧客からの信用の低下は免れないな >>535
ソフトバンク回線と全く依存しないpaypayが一気に台頭したんで焦ったんだろうな
ドコモ口座自体は割と古参の割に、知名度全然だったし
その辺もセブンpayが拙速で自滅したのに似てるなw 総当たりなんて絵に描いた餅でしょ。
現在までで出ている情報からしても単なる情報流出ぽい。
ドコモ口座大量作成とか、大量の振替認証失敗とか、すみやかに検知される。 >>549
そういうこと
1回ずつ、しかも時間をあけてゆっくり試行する
連続パスワード相違検知も大量アクセス検知もすり抜ける
通常利用との見分けがつかない 地銀がザルなのはしゃーないにしても
電子マネー新規参入は絶対やらかすと思っとかないとな このニュースがきっかけで
ドコモ口座がフリーメールで作れて、今ドコモがドコモ口座と銀行口座紐付けすると1000ポイントプレゼントってやってるから
ドコモ口座いっぱい作って銀行口座紐付けするだけでポイントをいっぱいもらうというセコいことするやつ増えそうw >>519
だったらドコモも銀行も漏洩は無い漏洩は無い言ってるけど、漏洩無くても金盗られるシステムにしてんじゃんって思うわ これ銀行に自動貸し出しとか付いてたら残金無くてもマイナスになるかな
そんな銀行システムあるかな
カードとかサラ金とかリボばらいみたいなの?
借りたことないから分からない >>552
片っ端からロックさせるというのは
一種のDoS(サービス妨害)攻撃になるね… 絶儀!リバースブルートフォース!
相手(の口座)は死ぬ >>558
ドコモロ大量作成
社員「ドコモロ座が大人気です!今月のノルマ200%達成です!キャンペーンの効果ですかねー(ハナホジ)」 >>89
あ、何かに似てると思ったら
聖闘士星矢の あのアヒル乗せたカンムリの星座人の攻撃名か >>550
つまり今回は地銀に認証アタックかけるツールと出金方法を
ドコモが犯人に提供してるって事なんや
犯人は海外にいて全部Web上で完結して足がつく事もまず無い >>563
(´・ω・`)あるよん マイナス分を借り入れにする口座wwww 千葉銀行は生年月日氏名暗証番号と発行部数というのが必要の二段階認証
今のところ被害なしだが ドコモの本人確認は銀行口座登録するときにドコモ口座の個人情報と銀行口座の情報が同じか確認するだけだからな
銀行口座が登録されると別口座への送金が可能になる >>10
それ何?ニュージャーマーとニュージャーマーキャンセラーみたいなもの? >>564
うーん、何等かの不正アクセスを延々と繰り返したら
その時点でwebサービス置いてあるサーバーに負荷がかかるので
直ぐ分かると思うんだけどね
一体何が何やらって感じだ 被害に遭いたくなければドコモ口座作って
犯人より先に自分の口座と紐付けして守るしかない >>518
日本の全ての金融機関がアウトぐらいな気持ちでいた方がいい気がする
Web口振は希望者だけ使えるようにするか停止にしないと被害が拡大している一方だけど
国がキャッシュレスサービスを推進している以上『Web口振を希望者だけ』とはしないかもな 各地でばら撒いていたdカードあれは何なんだろうな。あれは紐付けできちゃうシロモノなん? >>558
異常が検知されたらすぐに停止すればいいんだが
停止もせずそのまま放置しているドコモロw >>459
ソフトあるからそれでIDの範囲指定して総当たりするだけだぞ
面倒な事はない >>575
ドコモロ社員「さあ、登録してくれたまえ、全国民よ!!」 ブルートフォースは知ってたけどリバースは初めて知ったわ
なるほどと思ってしまった
仮に100万口座あって暗証番号0909で全口座にアタックしたら
1万分の1だから確率的には100口座は当たるってことだな
365日のカレンダー内の数字は多少利用率が高そうだからもっとヒットするかもと >>575
別アカウントに同じ口座が登録できると報告あり つか本当にありそうだね
この件がニュースになってからの
「ドコモの人間ですが今回の騒動の確認のために暗証番号教えてください」的な詐欺事件
みんなが不安だから余計にひっかかる老人が多くなる >>558
そうなると
「犯人は、引き落とし時の暗証番号を既に入手済み」だとしたら
他のスマホ決済でも同じ事が起きるんでないかと
(今回はドコモのサービスを踏み台にしてるだけ 二階幹事長もリバースブルートフォース攻撃じゃ
防ぎようがないと言ってるし、対策を急がないといけない >>551 なにが>1のやり方で
なんだか
ほんとあたまわるい
だれが>1って書いてる?見えないの>477って書いてあるでしょ
で>477さんは 「力技とは言うけど」 これ読めないの?日本語分かる? >>575
金融機関によっては複数のアカウントと紐付けできる可能性があるから
安心できない 総当たりは当然警戒されてロック等の措置、名義番号暗証の3点セットは個人の証明として充分であるとの法定義もある
しかしながら前提となる「総当たりにはロック」について
試行回数を無限に増やす手伝いをした形になったのが「個人確認なくフリメでアカウントを作れる」ドコモ側の仕様
どちらかだけならともかく2つが合わさると災害になるので、どちらも自責と認めたがらないというわけか
ドコモは無数アカウントはやらかしだったという趣旨、昨夜認める流れにしたようだが >>374
やばいよね
国営さぎ
>>494
スマホアプリのワンタイムパスワードでやってるイオン銀行もやられたのに
地銀を悪者呼ばわりするのは無理筋だわ >>580
まさか犯人は…いやあこれ疑心暗鬼になるわあw >>587
(生年月日等なくて)暗証番号だけ
という文脈を読み取れないのにマウントするガイジ。 >>582
そんなにたくさんアクセスがきて、ほとんどが暗証番号ミスだったらすぐにバレるんじゃないの? みずほ銀行はみずほダイレクト使ってるなら平気やな
しかし今時口座振替って… Androidアプリって今でもGoogle Play からソースコードをダウンロードしてスマホの中でコンパイルしてるの?
それならドコモ口座アプリダウンロードしてソースコード見るのも簡単じゃないかな?
中を見て別リスト口座番号を順に、そして毎回違うIPプロクシ使い分けてアクセスするアプリ開発も可能じゃないかな? パスワードは総当りに強い9000番台がいいぞ
俺は9999にしてるからすぐには見つからないわ >>574
最近の攻撃は時間間隔あけてアタックするから大量アクセス検知には引っかからないのよ もうドコモはよけいなことすんなよ
電話屋だけやってればいいんだよ >>535
当初はケータイユーザーだけが対象で本人確認は厳しかった
けど途中でd垢をフリメで収得可能って信じられん事やってしまった
誰も反対しなかったのか本当に不思議だよな >>598
連番を最初に試行されたらやばいから
9998にしとけ >>597
昔も今もアプリ完成体でダウンロードだよ
頭おかしいのか? >>583
酷いなそれ・・・
守るにはドコモ口座と紐付け可能な口座から全て出金するしか無いじゃん >>568
> 犯人は海外にいて全部Web上で完結して足がつく事もまず無い
「ジパング、黄金の国ネー」 >>602
MUFJの半沢は気がついてたので、稟議を潰した。 >>593 おまえ
初めに 「1回しか間違えないだろ。次は口座番号変えるんだから。 」って書いてるじゃん
これはどうしたの?なに勝手に話変えてるの?
もう低能児は困ったもんです。 Web口振受付サービスは、 Web口振受付サービスは、地銀ネットワークサービス(東京都中央区)が提供する、収納企業(決済サービス提供社)と地方銀行の連携サービス。ユーザーは収納企業のWebサイトを通じて預金口座振替の新規登録などの手続きを行える。ネットワークサービス(東京都中央区)が提供する、収納企業(決済サービス提供社)と地方銀行の連携サービス。ユーザーは収納企業のWebサイトを通じて預金口座振替の新規登録などの手続きを行える。
なるほど、Web口振受付サービスを使って無いメガバンクや郵貯が無事だったのはそういうカラクリね! >>595
分かりやすく一個の番号で書いたけど
実際は暗証番号をランダムに入れても確率は1万分の1で変わらないから
100万口座にランダムな暗証番号でアタックしても100口座は当たるよ
この場合は不自然な点がゼロでたぶん気付かれることはない
まあ同じIPから連続アクセスとかなら気付かれるかもしれないけど
その辺りもたぶん攻撃側は対策してて串切り替えたりしてるだろうし ドコモ口座はセキュリティチェックがゆるい銀行に
穴を開けるために作られたのかもしれない。 >>585
それらの銀行が提携してるかどうか、それらのPayアカウントが独自に本人確認しているか。という問題。
例えばkyashはつい最近から資金移動業者になったけど、独自に本人確認する。 >>609
1回しか間違えないだろ。>>1のやり方で4桁暗証番号だけ突破するなら。
マジで理解してないの? ということは被害者達の暗証番号は同じ、という人が多いわけか。その地域で使われそうな番号からなんだろうね市外局番とか名物の語呂合わせ的なものとか
被害者の共通点でわかりそうね >>521
口座登録は3回間違えてもロックかからない銀行がある >>278
やっばいわ。暗証番号ぶんどるよりも、口座番号と名義人の併記を入手するほうが、ね… >>610
郵貯は「地銀ネットワークサービス」を使って無いから大丈夫じゃね? これ>>1できまり?
イオン銀行のキャッシュカードが使える銀行の中から狙われたってことない?だってみんなイオンに関係してね? >>595
バレたとしても、どう対応する?
ヤバイよヤバイよ言ったら、今回の様に大ごとになるしなw >>617
いや、口座番号間違えでロックかかる銀行なんてあるの? 銀行口座番号はチェックデジットがあるから実質6桁。地銀は支店数も少ないから有効な番号は少ない。
まあ利用比率の高い4桁暗証番号をテーブルにしててその暗証番号と順番に生成した口座番号。
全て終わったらテーブルの次って感じかな。
ヒットしたらゴニョゴニョして金を抜く。 スマホ認証はウザいけど
こういう事件があると必要だなとか思うわ >>616
市外局番
1111
0123
これで3割は行けそう ドコモアカウントって複垢可能なんだっけ?
他人に知らぬうちに別垢作られてたらやだな >>612
暗証番号をランダムにしようとなんだろうと、認証失敗だらけでしょ?
むしろ、どの暗証番号で試行したのかのログなんて取らないだろう。何も変わらない。 >>623
暗証番号を3回間違えてもロックかからないで口座登録できる銀行がある >>619
振り込み画面って知ってる?適当な口座番号ランダム入れると、相手銀行が名義人教えてくれる便利なサービス。 ドコモ口座利用していない身からすれば、
そんなサービスとっとと停止しろ馬鹿野郎なんだな テレビで自分の通帳の暗証番号連呼してた芸人とか、完全にやられてるだろ。 よくこんな抜け道見つけるもんだ
その道のプロは地銀事情まで満遍なく見ているな >>636
基本、銀行ではなく、docomoのシステムが悪い。 d払い使い始めてすぐ不正ログインしようとしてるメールきたし
ドコモは絶対狙われてると思ってたわ
それ以降使うのやめた >>591
web口座振替の登録にもワンタイムパスワード使ってるの? ドコモが糞だろ
お前のサービスなんだから責任をもて 地銀でWeb口振受付サービスを利用している銀行だよ
ドコモ口座の対応銀行ではないけど >>621
んでなおかつ「時間外無料」の記載がある提携先?のとこは今回の被害にあってない気がすんだよね
たとえばゆうちょやスルガは時間外無料 >>604
APKファイルは簡単にデコンパイル出来ちゃうやん
だってAndroidって一種のJavaアプレット端末だもの
ttps://kaworu.jpn.org/java/Androidアプリのapkファイルを解析する方法 >>468
ほお、地銀からの出向だろうけど、そこのセキュリティ設計が甘々だな。EC業界や都市銀行では考えられない甘さだ。
日本のIT力の弱さが露呈した様に思う 日本は合理性に欠ける
だから徹底的に簡素化して使い勝手よくしたったwwww
とか思ってたんだろうな >>638
俺も最初はそう思ったけど、コレは「地銀ネットワークサービス」の設計が悪いわ つーかドコモなのに
利用者にスマホ認証させてないってのに驚いたわw >>626
人気暗証番号ランキング
#1「1234」10.713%
#2「1111」6.016%
#3「0000」1.881%
#4「1212」1.197%
#5「7777」0.745%
#6「1004」0.616%
#7「2000」0.613%
#8「4444」0.526%
#9「2222」0.516%
#10「6969」0.512%
#11「9999」0.451%
#12「3333」0.419%
#13「5555」0.395%
#14「6666」0.391%
#15「1122」0.366%
#16「1313」0.304%
#17「8888」0.303%
#18「4321」0.293%
#19「2001」0.290%
#20「1010」0.285% >>550
ドコモ口座から紐付けするときに口座名義人の名前が必要なのに
そのやり方では名義人の名前が合わないだろ 雷電「こ、これは…デビルリバースブルーフェニックス…」 >>634
認証試行が100万回、認証失敗が99万9900回になるような事態が、すぐに検知されるでしょう?
そんな事態がバレないわけがない。
暗証番号を、ランダムにしたら何か変わるんです? >>648
通信会社なのにてめえの会社を回線関係ないユーザーに開放して銀行業やろうってんだからwww >>650
「地銀ネットワークサービス」を使ってるから 昔ドコモの携帯を使ってたとき、特に特殊でもない普通の契約変更がしたくてサポートに電話したら
担当違いましたと部署を何回もたらい回しにされた事がある
組織がデカすぎてまともに回ってないんだろうなきっと
ドコモショップも営業攻勢が酷過ぎて全然行く気にならないし
もう解約しちゃったけど 被害額
少なくみても億は超えそうだな
(´・ω・`) >>658
スガが「通信で儲けるな!」と言ってるから他所へ進出しないといけないんだな 壊れたスマホのデータ復旧依頼したらソシャゲの引き継ぎIDのSSまるまる間引かれたことあるよモモモに つまりドコモロを経由すればキャッシュカードがなくても他人の預金を引き下ろせるわけか ちゃんと点を入れて読みやすくしろや
リバー・スブルー・トフォース >>665
セキュリティがザルなのは「地銀ネットワークサービス」の仕様 えーと
ここで宣言させてもらうわ
ネットの回線とドコモの回線の支払いを一緒にしませんか?
っていちいち電話かけてくる業者
こんなことがあるから紐づけなんてやりませーんwwww
お得以前に危険極まりねーわw >>1
>数千〜数万のIPアドレスを使って
JavaScript有効にしたり謎アプリ入れまくってるアホな端末を経由するんだよ
JavaScript強要してケツの穴から変態性癖までダダ漏れ端末じゃないとサイト利用させないとか
そんなアホなことやってる悪質サイトが増えてるからこういう攻撃が可能になる >>671
「俺は悪くない理解しろ」ってスタンスみたいね さすがに、ドコモ口座のサイトから飛んで、口座振替のための登録(申請)する形だからなあ。
IPアドレスやらを変えながら、大量の口座番号をつかい、パスワードを1,2回ためしつづけるってのは
ムリゲにおもえる。
数件とかでなくて、被害がでている銀行数がどんどんでてきてるし、
とりあえずは、ガチの情報漏えい(個人情報と口座番号、パスワード)をうたがうのが、無難かとおもうが。 >>7
分かりやすく日本語で書いて欲しいよな
逆けだもの力攻撃された可能性みたいに 90年代前半まで、銀行のカードって暗証番号が磁気ストライプに書いてあった
力いっぱい叱ってやった俺の銀行は、アメリカから帰国したら平仮名3文字に変わってた >>642
じゃ、イオン銀行は何で新規登録停止したんだろ。
もしかしてイオン銀行は「地銀」なのか >>667
奇しくも菅の二枚看板
地銀の整理と通話料引き下げが同時に潰れたな
この混乱で整理と値下げなんて無理だわw てかこれ機能の昼には騒ぎになってたんだな
未だにドコモまともに対応しないとかなんなん 数字だけの暗証番号に悩んだら
運転免許証番号12桁の中央赤斜線の四桁を暗証番号にする
運転免許証の中央の数字は個人番号だから変わらんし
無くして再発行するとセキュリティ上危ないから変わるけど >リバースブルートフォース
もーせっかく覚えたのに一般的になったらテストに出ないじゃん
1.25点の損 >>666
手始めにって感じなのかな
また何処かの口座で起こりえるのか >>630
うわ、なるほど。便利と思っていたけど悪用出来るね >>681
地銀ネットワークサービスを使ってたから >>670
おまえ頭おかしいわ
李・バースブルートフォースだろ
つまり在日 銀行側のシステムで本人確認の仕組みが甘すぎるんだろ
スマホでマイナカード読み込まないと登録できないようにすればいいのに >>682
これ利用して生理やん。
体力ないとセキュリティおかしくなるって、黒崎に検査させれば1発だろ。 >>654
ドコモってでかい会社でしょ?
どのくらいの数が使ってるのか知らんけど100万アクセスなんて大した数じゃないよ
あとね、こんな酷い仕様でシステムを作る様な会社が
アクセス数の異様な増加を検知するシステムなんて導入してると思えないよ
あと毎日少しずつ一定数増加させたりすれば不自然な増加にならないし
攻撃側はそこまで考えてもいると思うよ
更に言えば、特に客から何も言われないなら
サーバーが重くなったり落ちたりしなきゃOKってのがインフラ屋の考え方だよ
システムだって作ってるのは人間なんだぞ
振り返ったら異様なアクセスはログから導き出せるかもしれないけど
それを検知するのって結構難しいよ実際のところ リバースブルートフォースってローラー作戦してるってこと? >>681
イオンウォレットが停止してるのは今回の件と関係ある? 意味もなく生年月日要求するクズサイト全員逮捕しろよな 5ちゃんでもスマホアレルギーでパソコン信仰のジジババ多いけどパソコンのがセキュリティ脆弱ってわからないんだよな
自分も個人情報はパソコンでは絶対入れない >>652
>不正入手した個人情報リストで個人情報と口座番号を紐付けする
完全にランダムやないで
過去にいくらでも流出事故は起きてるからな
振込口座は別に非公開情報でもなんでもないやろ?
この個人情報を幾らでも収得可能なフリメ垢と合わせるから今回の
総当りが可能になるって話やで? >>687
暗証番号忘れたジジババの対応で業務停滞するだろ どっかの店のサイトで氏名生年月日要求されて入力したら終わり >>622
バレたら塞ぐのでは?
むしろ自動的に特定IPを塞ぐなどの仕組みをとっているかも?
実際、ログイン攻撃なんてよくあるんだよ。いろんなシステムで。
サービスをすべて停止するような事態になるか、あるいは特定の相手を排除するかは場合による。
例えば、同一セッションで大量試行ならセッションごとの試行回数を減らす。あるいは間違えるごとにどんどん長時間待たせる。
別セッションなら、IP制限とかがすぐにできるのではないか。
本質的に問題があるなら、そのセッションを作っている連携先(今回ならドコモ)との連携を遮断する。 総当たり攻撃でも逆総当たり攻撃でもどっちでもいいみたいだから
目新しいカタカナを使うのやめてよ・・・(´・ω・`) 個人情報保護法がおかしいんだよな
全然保護してねえし >>684
まあPCで総当り食らったら4桁なんてすぐに破られる
多重ロックや生体ロックじゃないと >>693
都合の悪い事から逃げてる菅には手に負えない案件だよw
下手に手を出して取りつけ騒ぎが本格化したらどーすんだw だからドコモやめろって
楽天モバイル
楽天銀行
楽天カード
楽天pay
ラクマ
同一グループだけで回してる楽天最強なんだな >>692
シジババが反乱起こす。
操作、暗証番号等わからなくなったやつらで、コールセンターや窓口20時間待ちとかなる。 リストにはない地方銀行使ってるけど記帳してこよう
ついでにATMで暗証番号の変更出来るからそれもしてこようっと やっぱり、ドコモに入る奴は育ちがいいんだろうな
ソフバンは、自分達が詐欺師だから利便性と天秤
かけて同業者の手口は想定できてしまう >>674
ドコモの下請けかw
知らん番号から定期的にくるよね
光入れろ営業なんでしょ? >>704
BOTツールと同じ仕組みなら毎回アクセスは違うIPからやで >>671
システム会社のせいにしそうな気はするよな
要件定義に乗ってたのにそれが満たされてないとかなんとか言いながら
この程度なら誰でも気付けそうなものだけど組織がデカ過ぎて責任の所在が曖昧で
社内社外に関わらず色んな所に丸投げして
気付いたらこうなってたんじゃないかと予想してる 徳丸さんって名前は聞いてたけど、結構ガチでスゴイ人なの? >>714
マイナンバー給付金の時、窓口六時間待ちだってよ。
200円程度でペイするわけないだろ。 >>694
地銀で認証するんですよ。ドコモが認証するわけではない。当たり前だけどドコモは暗証番号も口座番号も知らないんだから。
振替申込みなんて大量に試行され、なおかつ失敗だらけなんてことは起きないでしょう?100万とか完全に異常です。
わけのわからんことを書かないでくれますか? 半沢で、何回試してもロックがかからない、そんな脆弱なシステムある訳ねーだろって
笑われてたけど、そういう事なんでしょ >>666
一口座当たりわな。幸か不幸か一日30万円までの制限があるから10日で300万が限度。
問題は何口座破られたかだ。 >>713
光営業が終わったと思ったらしつこいんだよなw
もうすぐ解約するからいいけどw ドコモとか地方銀行とか
老人の小金持ちだな
全滅の予感、暴動起きてもおかしくないな
人間全て失うと無敵になる これやらかしてくれたせいでアカウントアグリゲーションの連携も不便になりそうでやだなー >>639
たまに触れてもいないのに
ワンタイムが来た時あったな。
それ以来最低限の契約見直しと保証付きカード会社通すことにしたわ 地銀なんて体力ないからセキュリティ強化できないんじゃ
やっぱり再編か
ゆうちょはダメだろう。金あるのに何やってんだ まずドコモ口座の入り口が甘すぎる
捨てメアド登録出来てしまう
複数作れてしまう
そのずさんなシステムを狙われて踏み台にされたかと 誕生年月に該当しない暗証番号なら、とりあえずは大丈夫か? >>715
IPレンジはあるでしょうし、何らかの規則は見つかると思います。
それでも、塞げないならば全体的に遮断でしょうね。 利用者本人も敵とみなして接してくる楽天はセキュリティ安全
楽天銀行は違うデバイスから口座見ようとすると秘密のパスワード求められるし
過去にログイン履歴があるデバイスでも一度別のデバイスでログインしてたら何度も秘密のパスワード入力
取引もメールで届いたパスワードを口座開設時もらった暗号カード見ながら自分の脳内で変換して入力
やっぱり楽天だなー 今時ブルートフォースなんて
と思ってたらリバースブルートフォースとは考えたもんだな
これは中々防ぐのが難しいんじゃないか? googleですら登録機種以外でのアクセスあると
警告してくんのに この攻撃が本当なら地銀から結構な額の口振依頼手数料と本人確認手数料が請求されるだろ
後、nttdからの手数料も >>735
そんな監視してる銀行なら、なんで4桁暗証番号だけでスルーするんだよ。
セキュリティに人員もコストかけてないからそうなるんだろ? >>722
口座振替するのに本人確認をドコモがしなかったというのが一番のミスだと思うぞw ドコモ口座側が銀行に寄らず累計認証失敗回数をアカウントロックの条件にして1000回くらいで切ってしまえばだいぶ被害が減るのでは (犯人)→→ドコモ口座→ →地銀ネットワークサービス→→地銀
こういうインターフェースなのね >>724
ロックかけるといたずらで他人の口座をロックできてしまうから、ロックかけないようにしてたんじゃね? ふつう 間違えてたら
IDか暗証番号が間違ってます
ってでるだろ
それで3回間違えたらロック こんな事もあったね
この国はうんこ
日本年金機構から、年金受給者の個人情報データ入力を委託されていた情報処理企業「SAY企画」が、無断で中国・大連の業者に作業を再委託していたことが明らかになった。併せて、年明け最初の年金給付日2月15日に起きた年金の過少給付が、SAY企画の入力ミスに起因することも報じられている。 >>743
ドコモロのIDが大量の捨てIDならそれも通用しないだろ。 >>741
本人確認なんて飾りです、ID認証さえあればいいんですw
ワラタw スイカとかぺろぺろとか
おかしいと思ってた、あんなおもちゃみたいなのに
金いれて、子供銀行レベルに全部を任せるとか
直観てやっぱある、通帳みて気絶する老人激増だな
今時、銀行窓口修羅場、罵声とどなり声
いつもの老人サロンが激変 >>722
銀行関係の認証のシステムのことを詳しく知らないんだけど、君は詳しいの?
自分仕事がSEなんだけど、少なくとも>>1の内容は前のレスの通りで理解したよ
君が詳しいなら、違ってる所を専門的かつ具体的に教えて欲しい
認証ってドコモ口座側でやってるんじゃないの?地銀じゃなくて
内部の連携はあるだろうけどそこでは認証とかないんじゃないの?
全銀TCP/IPとかああいうのでデータ送ってるだけなんちゃうのと思うんだけど
物凄いニワカ知識だけど >>736
>利用者本人も敵とみなして接してくる楽天はセキュリティ安全
ワロタw
まあ用心に越したことはないわな
いちいちログインがありましたってメールが届くのはウザいけど安全ではあるw >>747
IDと口座番号替え続けるから、一度しか間違わない 何その技名みたいなやつ
カードゲームとかにありそう >>1
PCだけで操作するとスマホだけで操作するよりセキュリティーが脆弱になる理由を詳しく教えて dアカウントは本人確認なしでいくらでも作れますし
ドコモ口座から銀行のアクセス制限しろって言ってるやつは脳ミソ大丈夫か >>753
普通に考えるとそこから漏洩が一番時期的にもあってるよなぁ >>734
最近のドラマて実話を元にストーリーたてるよね
報道できない、裏側とかをドラマで反映させてる
未解決事件などの犯人の存在やら黒幕とか ドコモは地銀からの漏洩を疑ってるけど、それが正しくなかった謝罪するのか、しないのか。 >>743
ドコモから見ても認証失敗は1回だぞ
IPとフリーメアドの組み合わせ使用は1回こっきりなんだから
総当り攻撃なのか単なる失敗なのか見分けつかない
だからフリアドでd垢収得を許可って部分が重要なんやで? >>741
関係ない話を書かれても困りますね。
ドコモは銀行口座登録のみをもって本人確認とした(法令的には正しい)けれど、それは甘かったというのはあるでしょう。
で、ドコモのサーバで認証するわけではないから、100万もリクエストがきたら異常だということはご理解いただけましたか? >>46
ドコモと地銀に弁済させるに決まってるだろ >>758
スマホは契約時に本人確認するからじゃね? >>5
ログはあってもpw固定で口座番号とIPがランダムだから特定されないってことでしょ? ザルなセキュリティで事件が起きた時は懲罰的制裁を科せるようにすべき
自分らが倒産する恐怖とかないからコストをケチって必要なことをやらない 特別定額給付金を申請するとき
口座番号、名義、生年月日、携帯番号を郵送してるが
それとは関係ないよね? >>766
どちらも規約違反してないから、賠償責任から逃げられるね。 >>765
なんで君が困るの?ドコモ関係者なの?
今回はドコモのミスなんだよw >>772
まだわからん。漏れてなくても今回のセキュリティは突破できそうだけど、漏れてたらもっと簡単。 老人は生年月日か住所か電話番号しか無理
全部同じにしてる、これは他も全部やられたな
終わった、政府が基本的に悪い ドコモ口座に二重に紐付けはできないから、
最強の自衛方法はドコモ口座を作ること 二段階認証なしの銀行を利用してた本人の意識の低さ
いい勉強になったな オレみたいに、残高は常に一桁万円、振り込ま限度額低めにしとけよ >>677
フォーマットは変わらないから、自動化簡単やん >>1
つまり、攻撃受けた銀行以外は突破不可だった、セキュリティ万全だっちゅうことやな。 >>776
いや、捨てアカでドコモ口座を無限に作れる仕様は直せよw >>772
あるかないかは今のところわからん
けど過去に個人情報の漏洩ってのは何十万件単位のが何度も起こってるやろ?
何が問題か?何に使用されるのか?
こういうのは認証アタックのためのライブラリになるんや >>778
名前と口座番号と誕生日でアタックすれば100人に1人ぐらい誕生日を暗証番号にしてるから、手間はへる。 中学生総当たりで必殺技言わせたら全校で一人は
言えそうな攻撃名だ 数年前に仮想通貨マイニング目的でPCパーツが軒並み高騰したというニュースを耳にしたが
高騰した理由はこれだけじゃなく総当たり攻撃目的が理由も当然あるわな
paypay騒動もそうだったし >>747
固定はpwだけで口座番号とIPはシーケンシャルで当たるのでロックされない。
ロックされずに当たったらログインして名義を確認してドコモ口座開設して引き出し。
要するに対象地銀でFB登録があればやばいってこと。対象者めちゃ多いよ、これ。 >>788
スガちゃん「通信では儲けてないな、セーフ!」 >>772
給付金関連の作業請け負った業者が犯人なのね
自治体はどう責任を取るのかしら >>783
2段階認証は関係ない「地銀ネットワークサービス」を使用してたか否か >>766
ドコモと銀行、どちらも落ち度はあるが、どちらに責任があるか微妙だよ。
下手をすると、お互いに責任を押し付けあって賠償拒否、被害者泣き寝入りになりかねん。 >>752
別にこのシステム自体は知らんけど、普通こうするだろう、という話は分かる。
ここでは全銀手順とか関係ない。利用者がインターネットを経由して認証するんだから。
ドコモのdアカウントはもちろんドコモで認証する。
その上で銀行口座紐付けをしようとしたら、トークン的なものを付与したURで銀行サイトに遷移させる。
そのトークン的なものや付加情報でで、銀行は「ドコモからの振替登録要求だ」と知る。
銀行は独自に口座番号その他で認証を行う。認証に成功したら、今度はおなじくトークンを付与して銀行からドコモのサイトにコールバックさせる。この最後のコールバックは成功しなくてもよいかもしれないが、これで紐付けが完了する。
銀行側で認証させて、その結果だけ受け取るので、認証そのものにはドコモは関与しないしできない。 既にどの国から犯行を行ったかわかってるよな
早くその国を発表しろよ
どうせその国の政府が協力しないから犯人は逮捕出来ませーん、てオチだろ
もういいからさ、アメリカの言うデカップリングを日本もやるべきなんだよ 今どき名義と暗証番号だけで自由に口座を扱える事がおかしい
ドコモ側も利便性ばかりでセキュリティに目を向けてなかったのもおかしい
ドコモ口座のPC側はSMS認証にワンタイムパスワード導入しても良かった >>787
「それが何がいけないの?」
ドコモ認識てそういうことだお。 利権屋ドコモは潰せ潰せ
ドコモが倒れたら携帯料金は必ず下がる
そうだろ?孫、三木谷 ドコモのスマホもケータイも使ってないけどドコモ口座作って
自分の銀行口座と紐付けすることできるの? >>775
で、ドコモのサーバで認証するわけではないから、100万もリクエストがきたら異常だということはご理解いただけましたか? 現金が一番
スマホなどネットでの金の扱いは最低限で >>796
ドコモ公式にこう書いてるけどこれは嘘ってこと?
複数の銀行口座を登録することはできますか?
複数の銀行口座を登録することはできません。
1人で複数のドコモ口座を利用できますか?
ドコモ口座は1人1口座となります。 暗証番号って本当に4桁の番号なんかで意味あるの?ってみんな薄々思っていたよな…
8桁×3回入力とかにして欲しいよ >>810
youtuberみたいに「こんなにアクセスがあった!」て大喜びしてるだろうな担当者は。
攻撃されてるなんて理解してないわ。 おサイフケータイで銀行クレジットカード紐付けしないで
nanaco当りで現金チャージしながら使ってるぐらいでいいんだよ
ドコモ世代のじじばばは 総攻撃されたら、暗証番号を頻繁に変えていても意味ないよね >>813
一つの銀行口座に複数のドコモロIDを付けられない、とは書いてないな。 >>82
犯罪が起きる前に危険察知してツッコミ入れたら悪人にされるまであるからな >>792
いやマインニング目的やで
けど中国でマイニングやってた連中は仮想通貨前はだいたいBOTファーマーや
ゲーム内通貨稼いで現金化するやつやな
それがマインニング儲からなくなったら一部がカードマスター(不正クレカ番号生成)や
今回みたいな認証アタックによる不正送金に手出したって感じやと思うで >>812
それなら利用しなくともドコモ口座作って紐付けとけばお金は守られるんだよね このドコモ口座詐欺やらかしたの日本人?じゃなさそうだな >>1-3 >>1000
コロナマップ(世界の感染者をまとめたマップ)
https://vdata.nikkei.com/newsgraphics/coronavirus-world-map/
新型コロナウィルスに感染すると若い人でも
・14% 100人中14人が死ぬ(伊国政府報告)→米国では国民の1%が感染し、17万人死亡、死因の3位は新型コロナになってます。
・脳に重大な損傷を受ける(英国研究機関報告)
・60% 100人に60人が心臓障害や心筋炎を併発し、治らない(独国研究機関報告)
・43% 100人中43人が呼吸困難の後遺症(イタリア・ジェメッリ大学病院報告)
・40% 100人中40人が味覚障害、嗅覚障害の後遺症(イタリア・パドヴァ大学報告)
・15% 100人中15人が人工透析(米国医療法人報告)
・無症状でも肺が繊維化し10年以内に80% 100人中80人死ぬ可能性(台湾医師報告)
・87% 100人中87人何らかの後遺症が残る(伊国研究機関報告)
・免疫細胞を破壊される(米国研究機関報告)
・95% 100人中95人 2ヶ月でコロナに対する免疫が消え、再感染する(中国大学病院報告)
・27% 100人中27人が関節痛の後遺症(イタリア・ジェメッリ大学病院報告)・53% 100人中53人が疲労系の後遺症(イタリア・ジェメッリ大学病院報告)
・21% 100人中21人が胸痛の後遺症(イタリア・ジェメッリ大学病院報告)・14% 100人中14人が聴覚障害(英国マンチェスター大学報告)
・10% 100人中10人が神経障害(イタリアのジョバンニ23世病院報告)
・9% 100人中9人が運動能力障害(イタリアのジョバンニ23世病院報告)
・一生味や香りを感じなくなる(伊国研究機関報告)
・倦怠感や風邪の症状、息苦しさが一生残り元気を失う・頭痛、頭がボーッとし考えられない、幻覚、痙攣が一生残り、何もできなくなる(EU研究機関報告)
・血管がボロボロになり最後は血管が破れて死ぬ。また血管を修復する為にできた血栓によって脳卒中や心筋梗塞を引き起こす。
血管が破れることで、そこから先の臓器や細胞が壊死する。←突然死の原因
・耳鳴りが一生治らない、悪化していく(英国大学報告)
・無症状でも他人にうつす
・50% 100人中50人は無症状(日本政府ダイアモンドプリンセスの船内感染者調査報告)
・1人が2.5人に新型コロナをうつす(WHO報告)
・血管内に入り、全身でウィルスが増殖、血管をズタズタに壊し、最後は血管が破れて死ぬ(米国研究機関報告)・息、鼻水、汗、糞、尿からウィルスを放出、感染させる(中国研究機関報告)
学校、企業側は一度感染した人を感染者として扱い続けます。また感染者の家族も同様です。
情報弱者がコロナにかかっても大丈夫と考えていますが、自分や自分の家族、多くの日本人の人生を破壊します。軽く考えずストレス発散方法は自宅でできるものを探しましょう。
また直近の死者数でコロナにかかっても大丈夫という人がいますが、死傷者は感染者が増えてから1ヶ月後に急増します(↑コロナマップ日本の感染者、死者グラフを比較すれば分かります。)
絶対に油断しないでください >>813
個人名じゃなくてIDで管理するらしいよw
だから俺の名義が複数ドコモにあってもおかしくないwwww >>805
その仕様は、「地銀ネットワークサービス」の仕様でドコモは悪くない
ドコモが悪いのは、捨てアカでドコモ口座を無限に開設出来る事 >>821
>>818見て
他人のドコモ口座からあなたの銀行口座に紐づけされるかも >>720
ドコモって、裏街道の人達とつながりが強いのかね?
そこに頼まれたからこんな仕様のシステム作ったのかね?
中の人に犯罪者とつながりがある人がいるの? 個人的には自分が使ってる三井住友もガチガチでうぜーとか思ってたけど反省
もっと強固な銀行ある? >>29
暗証番号なんて4桁しかないんや。
数をこなせば当たる。 これでまた役所案件でネットNGだわ
いまだUSBメモリ運用 可愛そうなのが金がない口座からもむしり取っていくスタイル
10000円で引き出せなかったら
5000円でattack
それでもダメなら1000円でattack
けつ毛までむしりとるスタイル
被害者が金持ちだけじゃないってのもひでぇ >>821
一つの口座から複数のアカウントへの紐付けが可能だから無意味 >>813
ほかのドコモ口座には同じ銀行口座を紐づけできるのだろう
だから意味なしだねw 簡単に言うとドコモ口座がキャッシュカード代わりにされたという書き込みがあったが、
正しいですか ドコモじゃなく新興企業なら行政処分や行政指導レベルの案件
ジャップ案件 >>832
トランザクション2秒でも
2*9999/60/60で5.5時間くらいだしな
何日間放置してんだよドコモって話 >>802
なんとなく分かった、なんとなく
てことは、認証に関しては口座紐付け時に地銀側の手順が貧弱過ぎてこうなったってだけなのかな今回の件は
でも、アクセス数の増加を検知するシステムまで銀行のシステムって入れてるの?
昔その手のシステムちょっとだけ作ったことがあるけど
移動平均から大きく乖離したら出す様にしといて
あとはアクセス数の増加を見て調整するくらいでまともなやつ見たことないんだけど
あと、その話の通りでも、いずれにしても100万件を検知できるのはドコモ側だけだよね?
地銀が仮に30行あったら、一銀行3万3000件確認すれば、ほぼ100万件の総当たりは実行できてしまうと 今ならドコモ口座で他人のキャッシュカードが使える!
でCMすれば利用者増えたんじゃね? 対策がザル過ぎるんだよね
セブンでもそうだったけど中の人がセキュリティはちんぷんかんぷんでひたすら営業成績重視だからこうなることは必然
責任者は猛反省すべき >>806
やっぱドコモって反射なんじゃ?
コメントとかおかしいもの
実は裏社会に便宜を計り続けてるんでは?
そうでないと公式コメントでうちは悪くありませんとか、セキュリティに甘い顧客のせいとか出てこないでしょう
他のサービスも危ないのでは?
スマホの情報とかどうなってるんだろ? 安倍が辞任会見した後のこのタイミングで公表したのも
臭いよな もっと前から問題わかってたはずだぞ >>842
ファイヤーウォール製品買えば当たり前のようにそんなことできるよ。 >>843
この事件で初めて知った 携帯はドコモになのに知らなかった >>792
マイニングで必要なのは膨大な単純計算を高速に行えるグラフィックカードで
グラフィックカードの不足現象はあったけどそれ以外は問題なかった
総当たりにグラフィックカードは必要ではないと思う >>824
複数回線契約してればそれぞれにdアカウントやd払い登録されるし
普通に行けそうだけどね
昨日調べたらドコモ光も別ID持ってた >>843
ドコモ口座に関わらずATMでも他人のキャッシュカードは使えるだろ >>828
>>836
防ぎようがないんだ
銀行に行ったら既に紐付けられたドコモ口座がないかおしえてくれるのかな >>848
1年前くらいからあったらしいが最近突然増えたようで発覚したそうな >>824
そんなーまさk−
いや、マジで?
正気なん?ドコモ? >>855
今回の怖いのは
「キャッシュカード」自体を持っていなくても
できてしまうことじゃないか >>1
横文字使うなよ
総当たりで入力されたのに
気づかないクソシステムでした
全額補償しますだろ? >>10
耐アンチ・リバースブルートフォース攻撃に気を付けろよ この事件で、利用や認証が面倒で複雑になるのは困る。
簡単な方がいい。
この事件の再発防ぐには、刑罰を重くすることだけ。
ハッキングで他人の口座からカネを引き出した奴は、その金額に大小に関わらず。
「仮釈放なしの懲役30年」+「だまし取った金額の5倍の罰金」
とすればいい。
もし20代で犯罪起こしたら出所するのは50代だからな。
人生の一番いい時期を檻の中で過ごすとか、どんだけカネをだまし取っても割が合わないだろ。
更に高額な罰金で家も、車も、貯金も全てを失う。
煩雑で面倒な認証と手続きで煩わしくするより、犯罪者の刑罰を引き上げることで犯罪を起こさなくさせろ。
問題は国外からの外人犯罪集団…支那とか北チョンからの犯罪。
国外からのアクセスは一切遮断するしかないな。
ドコモ口座など海外から使う奴はいないだろ。
偽装の踏み台に使われるサーバからのアクセスも遮断する。
そういうサーバを監視する団体と提携して、常に犯罪組織の踏み台に利用されるサーバからのアクセスを遮断。
>>851
ネットバンキングの有無にかかわらずキャッシュカード持ってたらアウトな銀行で起きてる問題
どちらかというとネットバンキング契約がない方が緩そう >>824
複数IDにすれば
一日に30万以上抜けるのか? >>858
なんで突然、口座番号やら生年月日が必要なサービスの穴が広かったんだろうな。
おかしーなー
最近そんな情報やりとりするイベント、なんかあったっけ? スーパーウルトラグレートデリシャスワンダフルリバースブルートフォース? >>846
セブンのときだって二段階認証て何?ていう雰囲気だったから、
日本社会全体がセキュリティなんて考えてない。
考えてもみ、ドコモでもセブンでもそこらの中小企業じゃないんだぜ。
日本を代表するトップの企業でトップレベルのセキュリティ会社を雇おうと思ったらいくらでもできるぐらい金持ってるんだぜ。
それがこの有様なんだから。 これからデジタル庁とか立ち上げようっていう
ジャップ後進国をなめんなよ!!!!!!!!!!!!!!!!!!!!!!!!!!!!! >>851
口座振替の申し込みだからネットバンキング利用してなくても被害にあう パスを固定する発想はなかった。でも数字4ケタと分かってるなら全然アリだよな
これで口座番号リストまで組み合されてたらとんでもない事になってそう
この程度で発覚して良かったというか >>847
1234とか1111とか
これだけ注意喚起されていても
いまだに連番やゾロ目を使ってる人は多そう これ銀行が1番悪いような気がする
暗証番号入力させてるからヨシ!
なんてザル過ぎるだろ >>871
10万円の給付金って言わせたいんでしょw >>870
子供のドコモロIDに親が紐付けオッケー、としてるかだな。
まあ、世帯内ならオッケーとしそうだろ。 口座番号と暗証番号はわかるけど名義はどうやって割り出すの? リバースブルートフォースを使えるジェダイが残っていたとは… IP変えてトライするのは理解できるけど
同じ口座に1日通算100回とか暗証番号入力間違いがあったらそれはそれで検知してほしいな >>842
個々の銀行システムでどんな検知をしているかは知らないです。
ただ、銀行Aの口座100万件を確認するなら、そりゃ銀行Aは100万件のリクエストが来てると検知可能でしょう。
地銀Aに3万件、地銀Bに3万件、地銀Cに…とかそういうことですか?
3万件きてて認証失敗だらけなら分かるでしょうし、今回の地銀はCNSを経由して振替を受付しているから、そこでも100万件来てると気づくんじゃないですかね。 >>529
正式には銀行口座同等じゃないから。
本人確認は銀行口座結び付けで行うところだったのを狙われた。
道義的には通用しなくても
裁判では通用するんじゃないか。
というか何を言っても悪いのは犯人だから。
その視点が皆抜けてるんだよな。
ドコモを落としたいポジションの人の声は大きいからね。
ソフトバンクとかLINEとかあっち系。 >>879
0000から9999まで順番にやっていったのではないかな パソコンが勝手にやってくれるわけで・・。
>>871
全国的な被害なら大規模に口座情報を取り扱った事案、つまり給付金申請でお漏らししたか、小規模な被害ならフィッシングってとこだろうな
総当たりは無理ゲーだわ 普通にオンラインでも暗証番号間違いは、三回ぐらいでロックされるだろ
だからリバースブルートフォース攻撃ってわけで >>887
暗証番号固定で口座番号でやってるから賢いんだぜ >>873
面倒くさくすると誰も使ってくれないじゃないですかー パスワードにひらがなカタカナ漢字を必須にすりゃ不逞外国人からの攻撃は防げる
海外のシステムとの互換性はなくなるだろうけど >>630
ありゃー。久しくATMで振り込みしていないけども、そういうの普通にあるね。
マズいじゃん。 >>883
口座振込みの時に口座番号入力したら普通に名義出るやん?
そいうのはほぼ公開情報やと思った方がええで >>40
名義合致しないとヒットせんがな
アホかいな >>888
ちなみに3万3000件は銀行から見たら3万3000人
しかも1日でやるわけじゃなくて期間は分からないけど
仮に一ヶ月コツコツやれば1日ほぼ1000件
毎日1000人が一回だけ暗証番号を間違えるってそんな特殊かね?
だから>>1みたいなことになったんじゃないのと思うんだけど
まあ、銀行回りのシステムは全く知らないので勝手な妄想だけど >>304
>>325
まじか、何でそんなシステム作ったんだ?? > 「リバースブルートフォースはパスワード(ここでは4桁の暗証番号)を固定してID(ここでは口座番号)を総当たりする攻撃
正確に書けよ、総当たりならブルートフォース攻撃だろ >>901
その口座に自分で振り込もうとしてごらん
出てくるよ >>862
一部銀行のセキュリティホールをドコモ口座という誰でも扱えるソフトで突けるのが危険 >>10
リバースアンチ・リバースブルートフォース攻撃の対応は? >>904
名義合致しないのにヒットするワケないだろ
ヒットしてから名義調べるのが妄想 名義の入力は必要ない銀行が多かったのでは
まだ被害確認されてないけど利用方法の説明見ると郵貯は必要なさそうだよ 4桁パスワードなら名義人の誕生日入れりゃ100件中数件レベルで当たる もしも銀行で口座番号から名義探してるやついたら長い時間居座ってるだろうし
防犯カメラとかで映ってそうなんで見つけやすいんじゃね
これがネットでできるならそっちでやってるだろうができるのかね ネットバンキングなんかやるのがアホ
クレジットで十分 >>914
ネットバンキングって、知ってる?
目の前のパソコンで口座名義人調べられるんだぜ? >>868
アホちゃうか?
この手の送金詐欺は昔からほぼ外国からのアクセスやぞ
足付かない前提やで
国内のはオレオレ詐欺や
ハッキング関係ないやろ 犯人は日本人か、外人か、或はドコモ社員の内部犯行か?
答え合わせ死体から、はよ警察は犯人を逮捕しろ。
>>907
口座固定で暗証番号を総当たりするのがブルートフォース
暗証番号固定で口座番号を総当たりするのがリバースブルートフォース
言葉は使い分けられてるんやで >>903
チンタラやってたら気づく人が出るからそれはそれで発覚するのでは?
そんな特殊なことを考えるより「ああ、口座情報が漏れてたんですかね」で終わるでしょ。
ドコモ側にも怪しいアカウントをたくさん作らないといけないし、名義調査もいるんだぞ。
テクももちろんあるだろうけど、ディスプレイに貼ったパスワードの方が現実には問題になるんだよ。 ドコモ、地銀ネットワークサービス、銀行
立場的に一番拙いのはドコモだと思う
地銀ネットワークや地銀は、立場的には「ドコモからの依頼に応えただけ」と言うこともできるのでは?
極論すれば「ドコモに預金を騙し取られた」とも 銀行が絡んでいるのにこういう杜撰なことが起きるんだな >>921
今回は流出情報使わなくてもできるって穴を指摘してるが、名前、口座番号、生年月日、住所なんてのは、数十万、数百万件規模で流出してるので、ほぼ公開情報と思った方が良い。 >>226
まー最近10万円振り込みで動いた人多いよね。つまり役所の委託者を洗えってことか? みずほみたく通帳の最終記帳残高が登録に必要なら被害はほぼ無かったな >>1
なんだよ、リバースモゲージブルートゥースってよ! 口座番号、名義、暗証番号
2つを給付金で自らばらしたアホがぎょーさん居るなw >>926
準備に時間掛けとると思うで
こういうのはチマイマやってたら見つかるからな
去年の9月に少数で試して手順確立させて
それから1年かけて口座だけ作って
今一斉に引き出しって感じやろな >>226
給付金、マイナポイントと目白押しなんだよなぁw >>929
そんな頻繁に流出してたら大問題になってないか? >>913
数%なんて意外と素人でも防犯意識高いんだな
数割ぐらいいくかと思ってた >>937
8桁の暗証番号45451919の俺にスキはなかった >>939
ニュースググってみろよ。いくらでも出てくるから。 1名義に対して4ケタ暗証番号総当たりだとロックかかるけど
暗証番号固定(違う番号は日を変える)でお漏らし個人情報総当たり
みたいなパターンかな? >>939
流出してもてへぺろで済むから問題視されない ドコモ:信じてたのに
銀行:信じてたのに
どうせこの構造 >>939
頻繁に流出してよく社長が謝ってるやろw
通販会社とか ドコモ口座なんて聞いたことも無い一般人からも、
地銀の自分の口座からゴッソリ大金盗まれるとか、
怖すぎるわ…
何が起こってるんだ一体
地銀解約してタンス預金にするのが一番だな… >>943
ロック掛からないのがドコモロ座経由の怖いところ >>926
ドコモIDって誰でも幾つでも簡単に作れるって認識してるんだけど
名義調査とか関係ないんじゃないの?
まあ、単に漏れてた可能性が高いってのは分かるけどね
直で銀行にアクセスしたら質問の答えを書け!とか言われてログインできないだろうし >>529
理解していないな。
ドコモ口座は口座って名前が入っているだけで、口座じゃない。 >>939
大問題になるのはどこから流出したか特定できる場合だけ >>942
なんか前にこれだけ毎日流出してるよってのまとめてあるのは見たが
住所とか名前やメールアドレス程度じゃないっけ
たまにクレカとか そもそもWeb口振に名義なんているのか?
申込みから銀行のWebサービスに飛んで、そこでログインして口座振替しますか?はい、いいえ押すだけじゃね普通? このドコモロ座から、不正に引き出された先は当然犯人の口座なんだろ?
すぐ犯人は特定されて逮捕できんの?
>>955
ふりーアドレスから犯人辿れるならなw
日本にいなくて全部簡潔している >>923
それやったら影響大きいから踏み切れないんだろうな。
例えば飲食店でドコモ口座から支払い(D払い)しようと思って、食べた後に使えない事が判った、現金や他のカードの持ち合わせもない。
困るぞ >>947
ドコモやめて楽天モバイルに乗り換えて
Dカードやめて楽天カードに乗り換えて
地銀やめて楽天銀行に乗り換えて >>939
信頼のUFJもお漏らししてるからな。
>2015年11月30日、三菱東京UFJ銀行は、出会い系サイトの運営事業者の口座記録が不正アクセスを受け、振り込みを行ったサイト利用者の約14000件の振込情報の外部流出が発生したとの発表を行いました。
ほかのも
>なお、SaxoTrader PROやSaxoTraderGoなど、当社取引システムへのログインに必要なパスワードやお客様のお取引口座情報等は、親会社であるサクソバンクA/Sが管理するサーバーで保管されており、今回の不正アクセスによる情報流出はないことを確認しておりますので、お取引等への影響やその他情報流出はございません。また、弊社ではサイバー攻撃を検知した後直ちに調査を行い、前記サーバーへの外部からのアクセスを遮断するよう措置を講じております。
流出した可能性のある情報の内容
氏名、住所、生年月日、ご連絡先情報、銀行口座情報、本人確認書類等
こんなまとめも
https://cybersecurity-jp.com/leakage-of-personal-information ドコモ口座は正式名称だろうが、アプリ表示と同じd払い残高にしろ。
なんか銀行口座みたいじゃないか。 >>955
こういうレス見ると日本のセキュリティ意識の弱さがよく分かるわ >>955
送金先が海外の不正口座だったらどうもならんだろ >>955
捨て垢のメールアドレスで作られた口座でどうやって特定するんや
本人認証してないんやぞ >>958
チャージしてる分返せって話にもなるしなw >>949
口座とdアカウントの名義が一致しないとだめなのでは?
だからまず口座の名義を入手しなければならない。
最近だと入手できるところが増えてきたが、それも検知される可能性がある。
頑張って名義を取得した上で、dアカウントをその名義で作ることになるね。 >>954
web口座するのに
収納機関コード、銀行コード、支店コード、口座番号、名義人名
は必須 >>955
ドコモ口座からアメリカやフィリピンに送金できるらしい。 >>954
Web口振には名義は要らんだろうけど、ドコモは名義を見るのでは? 口座名義と1111はいいとして、名義なんてどうやって合致するんだ?流出してんじゃね? >>966
口座番号と名義名くらいなら万単位で流出してるだろうし
それならそれを全部登録してそれぞれ1回だけ試行するリバースブルートはやっぱ可能だよね
1万件試せば1件当たるから
それぞれ地銀がバラバラならバレ難くてなお良し
てことで、>>1は可能性十分あると思うよやっぱり >>969
いや、ドコモから連携時にdアカウントの名義を送信する仕様なんかもしれないな。
知らんけど。 >>973
子供のDアカウントに親の口座紐付けるケースもあるだろうな。 不正アクセスされたのならどこがお漏らししたかなんてすぐわかるだろうし未だにお漏らしかもよくわかってないから口座番号総当たりなんてのも言われるが
名義調べるときのネットからでのアクセスでも変な動きになるし発覚するよね? >>972
まあ、可能性があるかどうかという話なら可能性はあるだろうね。
明日人類が滅亡する可能性もありますし。 これの監督官庁はどこになるんだろ?
金融庁?経産省? だから「フリメ由来のドコモ口座」を一時凍結して
チャージと海外送金を停止して
店舗で身分証明の提示と提携銀行の照会をした後出金にすれば
ほぼ問題は解決のはずなんやけどな
なんでやらの? >>978
だって蓋然性が低いものにこだわる意味がないから。
オッカムの剃刀の言葉の通り。 つまり、スマホができた当時はセキュリティが
むっちゃ甘くてPC手放せんわ、と思ってたけど
いまや、多数派のスマホの方がセキュリティがっちりしてて
PC、何その過去の遺物pgr、って状態になってる、ってこと?? >>983
ワイは素人だけど>>1はセキュリティの専門家の意見だからな
君がセキュリティの専門家なのかは知らんけど
>>1の専門家の可能性はあるって意見にああそうだなと同意しただけよ自分は やっぱ名前と口座番号の組合せが流出してるって事だよね。それが分かればあとは1234の人はお金引き出されちゃうと。 >>980
やったらアカウントの大半凍結になるからじゃね? そもそも4桁のパスワードなんてこんなもんセキュリティの意味ねーじゃん >>987
それは公開情報。あなたも振り込み画面で誰かの名義を確認できる。 あちこちで個人情報のお漏らしをしているから
名前と地域で地銀を当たったのかね? もしも犯人がここ見てて
デスノート方式でそれぞれの板でこれ俺の暗証番号www
って言いながら適当な暗証番号書いといて
その番号のアタックが増えればどこの板に犯人がいるかわかる
って手法も使えんかね? >>990
なるほどね。じゃあドコモの全面敗訴だねコレ。 >>986
自分もセキュリティは資格もあるし専門職だよ。セキュリティだけではないけど。
そりゃ徳丸さんの言う通り可能性はあるだろうね。それには同意するよ。 暗証番号以外はそこら中で手に入る
振り込みとかで普通に記入するんだから >>977
最近やたらとデジタル化をアピールしている菅の案件でしょ
NTTの幹部は官僚出の天下りがほとんどだから完全に政府の利権絡み
安倍政権は以前、国民年金の管理をなぜか中国の会社に委託して多くの個人情報が漏洩したのも記憶に新しい
サイバーセキュリティ担当大臣の桜田もPC触ったことない人だったし、日本はセキュリティに関しては特に信用が無い
政府は利権のためにそう遠くない先でマイナンバーと結びつけるのが目的 (全口座+ドコモ)
デジタル化の下地が出来てないのにすっ飛ばして先走ろうとするからややこしいことになる
信用金庫かタンス預金が一番安心とか
オレオレ詐欺グループ「いい時代になったわ」 セキュリティ専門家で言えば高木さんも、リバースブルートフォースに言及してたかな? このスレッドは1000を超えました。
新しいスレッドを立ててください。
life time: 3時間 16分 21秒 5ちゃんねるの運営はプレミアム会員の皆さまに支えられています。
運営にご協力お願いいたします。
───────────────────
《プレミアム会員の主な特典》
★ 5ちゃんねる専用ブラウザからの広告除去
★ 5ちゃんねるの過去ログを取得
★ 書き込み規制の緩和
───────────────────
会員登録には個人情報は一切必要ありません。
月300円から匿名でご購入いただけます。
▼ プレミアム会員登録はこちら ▼
https://premium.5ch.net/
▼ 浪人ログインはこちら ▼
https://login.5ch.net/login.php レス数が1000を超えています。これ以上書き込みはできません。
