ドコモ口座の不正出金、被害額以上に深刻な事態に【ASCII倶楽部】 [ブギー★]
■ このスレッドは過去ログ倉庫に格納されています
NTTドコモが提供する「ドコモ口座」を使って、銀行の預金が相次いで不正に引き出された。
同社の発表によれば、2020年9月10日までに判明した被害は、66件約1800万円。預金が不正に引き出された銀行は11行に及んでいる。
いまのところ被害総額1800万円と、不正出金事件としては「小さい」と判断しているのか、テレビや新聞の扱いはほどほどという印象を受ける。
しかし、ドコモの会見や銀行が公表した事案の概要からは、かなり深刻な事態が浮かぶ。
ハッカーは、銀行の口座番号と暗証番号を不正に手に入れたうえで、ドコモ側の本人確認のゆるさを突いている。
●被害者はドコモユーザーではない
今回の事案では、ドコモのユーザーでも、ドコモ口座の利用者でもない人たちが被害にあった。
ドコモの携帯電話回線を使っていない人でもドコモ口座を開設できるが、ドコモユーザーとそうでない人で、本人確認の手続きに差をつけたことが不正利用を招いた。
利用者はまず、ドコモの電子決済サービス「d払い」を使い始める際に、「ドコモ口座」をつくる。
念のためだが、d払いは、スマホで店頭で支払いができる決済サービスのひとつだ。
ドコモユーザーでない人がドコモ口座を開設する際には、ドコモのアカウントをつくり、銀行の口座番号や暗証番号を入力する。
そのうえで、登録したメールアドレスに送られてきたメールに記載されているリンクをクリックして、本人確認をする。
銀行口座とドコモ口座の連携が完了すれば、銀行口座からドコモ口座に「チャージ」をすることができる。
手続きは、簡単だ。
●銀行もドコモも「漏えいはない」と主張
ドコモ側の発表によれば、今回の不正出金で利用されたとみられる個人情報の例として(1)氏名(2)口座番号(3)4桁の暗証番号(4)生年月日の4種類が挙げられている。
生年月日が挙げられているのは、いまも誕生日を暗証番号に使っている人が多いことのあらわれだろうか。
不正送金された銀行のひとつである大垣共立銀行(岐阜県大垣市)などは、口座番号や暗証番号の漏えいは起きていないと発表。ドコモ側も漏えいはないと主張している。
銀行の発表が事実であるとすれば、個人情報が盗み取られた手口の候補として上がってくるのは、フィッシングだろう。
フィッシングは、金融機関などを装ったメールを送りつけ、ニセのサイトに誘導し、口座番号やパスワードといった情報を盗む。狙われるのは、経済的な被害に直結しうる情報だ。
被害が確認された銀行は、全国各地に広がっている。そうなると、特定の銀行からまとまった数の個人情報が盗まれたというより、個人が標的になった可能性が高いのではないか。
●メールアドレスを用意できれば、準備完了
現時点で明らかにされている事実からは、氏名、口座番号、暗証番号などを手に入れたハッカー側は、あとは適当なメールアドレスを準備できれば、不正出金の準備が整うと考えられる。
もう少し厳重な本人確認の手続きが用意されていれば、被害は防ぐことができた言っていいだろう。
https://ascii.jp/limit/group/ida/elem/000/004/026/4026630/ >>319
ツイッターでそういうのが一件あったけど
ドコモは公式が一つしか紐づけできないって言ってたような
どっちも信用には足らんかw >>331
わたしは最初からカード作らずに利用しているよ、
使い勝手が悪いので無駄に引き出さなくなるから預金は余り減らない 死にぞこないの高齢者のジジババがかなり銀行に貯えてるからな
10年ちょい前に自民党政府が休眠口座を国が回収したいといったら銀行業界が猛反発した
つまりこういうのをずいぶん前から狙ってるのは反社だけじゃないってことさ 口座番号と氏名は振り込む側に知らせるだろ?
これ単に、他人によるドコモアカウント登録は
犯人が登録口座名義人のキャッシュカードを盗んだ状態と同等の機能を得たのであって、
ATM行くリスクなしで、暗証番号の調査試行できるってことだろ?
犯人用どこでもバックドア。
アマゾンとかのフィッシングメールは相当来てるけど相手にしないだろ?
なりすましの口座やクレカ利用で、ログインやアカ、ID作成はできない仕様じゃなきゃ・・・
アホかと?
銀行と個人の契約と信頼とは無関係に
犯人用ドコモ口座が、銀行のセキュリティー壊してるだけだろ? (´・ω・`)2年後に国民全員にマイナンバーカード義務化させたいって言ってるけどさ色々ヒモ付けして盛大にお漏らしさせたら誰が責任とるんだろう?乗っ取られたらヤバくね?
ドコモ口座の抜け穴があったみたいに
国がやるなら安全!の思い込みで色々取り返しのつかない被害が出そうで怖い 毎日口座確認しないとって思ったが、ゆうちょもチャージ禁止にしたおかげで一安心。
次からはこんな心臓に悪いへんな事業はやめていただきたい >>341
複数紐付け出来たら振り込みいらねえじゃんw 記帳して確認してきてやった
今のところ被害は確認できなかったが
余計な手間と時間かけさせてくれた分の賠償請求してえ >>1はまだフィッシングとか言ってんの?
どうしてもユーザのせいにしたいんだな 利便性とセキュリティは両立しない
利用者を犠牲にしないとキャッシュレス社会は成り立たない ドコモの対応は糞だが
地銀もひどいな
統廃合が一層進むだろう システムの脆弱性を突かれて無実の人間が不正出金の被害に遭っている訳だから
ドコモに問題があるのは明白な事実
犯罪ツールを世間に提供した張本人
幇助・教唆以外の何ものでもないよ (´・ω・`)ドコモも提携銀行も裸の王様なんだよ。「情報漏洩は無いですよ。」と囃し立てられて真っ裸なのに気付いてない。
最悪なのはドコモが薄々、裸だと感づいているのに裸だと思っていなくちゃならい理由があること。 >>328
メールというシステムがすでに古臭すぎてどうしようもない >>1
これさ
未知の不正ドコモ口座で盗られること心配するなら
明日にでも記帳ついでに暗証番号変えればいいんだよな。
でドコモは今後ドコモ口座チャージ時、新しい暗証番号入力必須とすれば
それで解決だろう。 >>364
すでにストロー刺されてたら暗証番号変えても意味がない >>365
だからドコモが新しい暗証番号入力させるようにすればいいんじゃねえのかな 利便性が高いツールは犯罪者にとっても使い勝手が良い
金融機関はハッカー集団を雇って提携するシステムを事前にチェックするべき >>364
暗証番号変えてもダメなときはダメだぞ。
推測しやすい番号からワケワカメな数字に変えるんなら多少マシかも知れんけど。 対策しないとドコモ社員もコレの被害食らう可能性あるのに >>366
実際そうなってないから、変えても意味ない
馬鹿も休み休み言ってくれないかな 思ったんだが暗証番号変えてもリバースブルートフォースは防げんだろ
ウォレットや銀行の本人確認・セキュリティシステム変えないと >>370
だから
ドコモが対策すればいいだけなんだよな
他に方法もねえだろう パソコンもスマホも持っていない高齢者も被害にあっている
パソコンもスマホなしで詐欺サイトを見る方法教えて まだ全容はわからないけど、いずれにせよ国際的にかなり恥ずかしい事件なのは間違いなさそう
二段階認証すらできない金融機関とか、お話にならない >>2
一万歩譲ってもドコモと地銀と金融庁が無能だったことは明らかだ。
もはや日本のモバイル系キャッシュレスの信用は地に堕ちた。リスク高すぎ。
クレカに戻るわ。 そもそもこの手の本人確認の要項って細かく法律で決まってたよね
暗証番号と口座番号だけで本人認定していいんだっけ? >>374
ドコモは「お客様」の手を煩わせることをする気はない
ここでいくら喚いても無駄 被害者は多いんだから
ドコモに対して皆で集団訴訟したら?
集団でやられたらドコモも政府も無視できない
ドコモは不誠実過ぎる ドコモ口座使うとドコモになんかメリットあるの?
最近はなんとか電気みたいな意味がわからないのばっかり >>381
「いい方法」の定義が曖昧だが、自分の財産を守ることを最優先するなら銀行口座ぜんぶ解約
取り付け騒ぎ?社会信用不安?そんなのドコモの知ったこっちないゃ >>384
そんな大袈裟なことになるなら
お客様の手を煩わせる方採るのが普通じゃね 一番の問題は銀行の責任になすりつけようとしたところこの姿勢だと、自分は悪くないユーザーが悪いという論調にもなりかねない。だからさっさと辞めるのが1番 >>384
暗証番号変えたと言う情報だけドコモに伝えて
その口座だけ暗証番号要求するのでもいいけどな >>175
今回の場合、仮に口座番号を漏らさなくても暗証番号がなんだろうと不正に口座を開設出来るのが問題になっているのでは? だから金融系はワンタイムパスワード必須にすりゃいいやろハゲ >>388
口座紐付け時に暗証番号要求するか決められるのは銀行側
銀行とドコモが協力して、全ての口座紐付けを一旦切るべきだな 去年の事件でセキュリティホールに気が付いてたのに放置して他(非ドコモユーザー)に被害出したとかこの仕事任せられん システムは堅牢だったとしても
それを採用したり使用したりするのは人間だからな
セキュリティ犯罪事例って多くはアホな人間が招いてるんだから >>384
取り付け騒ぎを起こして、提携銀行がドコモを相手に偽計業務妨害なり信用毀損罪で刑事事件起こして欲しいな >>388
そうだお前にいいことを教えてやろう。
ドコモがお問い合わせ窓口設置したから、0120-885360に電話してお前のその素晴らしいアイデアをドコモに教えてやれ。 ドコモ口座は一旦紐付け成功すると
出金するたびに都度暗証番号入力とか
ないんか? これでまた「重要なお知らせのためメール送信を希望しない方にもお送りさせていただきます」で始まる、
銀行の上から目線の注意喚起メールが増えるんだろうな。
迷惑だ。 >>400
公共料金等の口座振替と同じなんだから、ないよ >>401
「暗証番号変えろ」って書いてあったらお笑いだなw ドコモがしょうもないもん始めたせいで
ドコモのサービスなんか利用してない人が
嫌な思いさせられてるな >>112
しかも直請けからどんどん下に丸投げされて6次請け7次請けの寄せ集め技術者が開発してるのも当たり前だしな
寄せ集めだから皆どこの会社から来た人なのかも不明だし、そこには中国人とかも当たり前のように混ざっていたりするしな
経歴偽造したり偽造名刺を使った偽装請負もしたりとシステム開発しているIT業界側も滅茶苦茶だし今回の事件はなるべくしてなった事件だと思うよ ドコモ口座残高の換金はどうするの?
d払いで物品買って換金するってこと? >>411
ドコモユーザーならセブン銀行で引き出せるよ 口座名義名・口座番号・暗証番号はとっくに漏れてるが、
今回のドコモ口座みたいに絶好の引き出し先がなかったから、これまで
無事だっただけなのかも。 >>414
まだ目に見えやすいクルーズ船を止めて乗客の感染者がどうこうやってる段階だからな 勝手にひもずけするなボケ 書面による要式契約にしろアホ https://japan.cnet.com/article/35159521/
ここの解説は正確だわ
セキュリティを緩くしていた理由や認証要素4点についても正しく把握してる
この件について語るなら少なくともこの記事くらいには目を通してからにして欲しいね >>419
というよりはドコモ口座持ってて口座に紐づけしてあると
複数の紐づけが出来ないから安全という理屈なんだよ
とはいっても紐づいていない口座が提携銀行にあると危険なのは変わらないんだけどなw これ記帳して安心してたらダメだろ。全額降ろさないと。
取り付け騒ぎだろもう 口座を不正に紐付けられたまま気が付かず、数年後に被害にあった場合は泣き寝入りかな へー、ドコモユーザーは被害なしなのか
何となく犯人わか(ry ドコモ口座が匿名では無限に作れるなんてのは大した問題じゃない
匿名可能なアカウントにクレカで決済できるサービスなんて珍しくもない
ゲームマネーだってRMTで現金化できるしね
Amazonだって似たようなもの
SMS認証なんて安いデータSIM使えば身分証明にならないしね
アカウントの匿名なんてそれほど問題ではない、金融機関の認証方法の問題だと思えます >>425
金融機関の認証方法の問題
たしかにそう
ただ、認証がざるだった金融機関を認めたドコモもダメ 銀行自体でのネット認証は暗証番号以外も必要でしょ?
暗証番号だけでやれるようにしたドコモが悪い 気づいてよかったねw
ID:kh94IVME0
思い込みって怖い ID:kh94IVME0
こいつのレス面白すぎだろ 昔はiモードかSPモード契約必須だったはずなのに、メールアドレス認証のみにまで緩くしてるから自業自得 >>426
田舎銀行なんか、うちはこんなシステムですけどセキュリティ的に大丈夫ですかってドコモに確認してるわな
ドコモはユーザー増やしたいからオケオケって、深く考えずに引き受けたんだろ
この点でドコモが悪いよ >>434
地銀は振替扱いでやってたじゃん
最初からおかしいよな
匿名アカウントにクレカ決済OKっていうのはあれは
クレカ会社からアカウント事業者へ振込だろ >>428
フィッシング詐欺だと散々言われとろうが。 >>427
それが最大の過ちなんだが、その責任は銀行側にある。
ドコモのミスと責任は本人認証がザルだったこと。 >>431
このスレのおかげで賢くなってきて良かったやんな。 ■ このスレッドは過去ログ倉庫に格納されています