【決済】ゆうちょ銀行、ファミペイへの口座登録は二段階認証必須に設定していた [雷★]
■ このスレッドは過去ログ倉庫に格納されています
2020年09月15日
決済事業者さまのアカウントへの口座登録及び振替(チャージ)の一時停止について(9月16日更新)
(2020年9月16日に一部内容を変更して掲載しております)
本人認証方法として、2要素認証を未導入の8事業者※において、即時振替サービスを停止しました。
<即時振替サービス>
1) 新規口座登録及び口座変更
2) 振替(チャージ)
当行においては、2要素認証の導入に全力で取り組むとともに、各事業者様と連携して、お客さまの安全確保に努めて参ります。
https://www.jp-bank.japanpost.jp/news/2020/news_id001543.html
ファミペイへゆうちょ銀行を登録する画面
https://blog.yam5.com/wp-content/uploads/2020/06/Screenshot_20200610-080735.png
https://blog.yam5.com/archives/14326 >>174
pringが抜けている
pringとFamipay以外でしょう 安全のために、今後は口座ごとに暗証番号は違う物を使いましょう。
嗚呼面倒ですが、致し方ありません。
キャッシュカードと共に暗証番号を使うという前提を壊されてしまったのですから。 >>176
切り分けするなら、FamiPayサービスインから二段階認証だったならFamiPay側の要請だった可能性がある
セブンペイ事件後に二段階認証に変わったならゆうちょ側の対策 ゆうちょとの紐付け時に差があるのは二要素認証だけではない
銀行口座の情報を2、3入力するアプリ決済サービスもあれば5つ入力しなければならないサービスもあった pring ゆうちょ対応 2020年2月18日
FamiPay ゆうちょ対応 2020年6月9日
今回停止したサービスはすべてpringの2月より前からゆうちょに対応してたのかな? ドコモは途中で脆弱にしたからだろ?
当初のユーザはドコモが認証済のしか居なかったんだし
初めからザルならそれなりの付き合いはするだろ ドコモが拒否しなければ2段階認証になってたんじゃねーか!
ドコモが悪い! >>184
携帯がリアルタイムでハッキングされてるようならありうる 今一番のリスクはスマホ奪われることじゃね?
スマホのパスワード簡単な人こそ多い。 >>179
リバースブルートアタックなんだからそういう問題ではない >>180
あとゆうちょ銀行との紐付けを開始した時期もあるかもしれないなと
Famipay自体が生き残れたのはアプリリリース時からあるSNS認証のおかげということはあるだろうな
送られてくるワンタイムパスワードを入力しないと何もできなかった >>174
それなら後付対応になるだろ?
7payがコケるまで脆弱か一応不明なんだから
初めからファミマ側が頼んだんじゃね >>156
あれ、地味に使えるよな
宝くじ当たったら、あの口座に隠しておこうと思うw >>191
ギチギチのUFJとも口座紐付け許されてるって事は厳しいんだろうな >>179
そんなんじゃ防げないだろ
自分はとっくにやってたけど大慌てだった >>183
おお、調べてくれた人がいた
FamiPayのゆうちょ連携は2020年2月
セブンペイは2019年7月に不正利用事件によりサービスを停止
単純に同じコンビニ系キャッシュレス決済であるFamiPayをゆうちょがセブンペイの二の舞にさせたくなく信用せずガチガチに縛っただけ 知名度で言うと、5本の指に入る誰でも名前を知ってるSierが去年、
初代Strutsベースのフレームワークで自治体のWEBシステムの
新規案件の開発を始めたのをみたときはぶったまげた。
(Strutsはもう開発が止まっていてセキュリティホールが
見つかってもパッチが配布されない)
Strutsの開発が止まってることを話題にでも出そうものなら、
『お前、社会人としての常識が足りないんじゃね?』
みたいな目でみられる現場だった。 >>196
雑な対応するとアメリカに怒られるから
抑止されてる >>197
pringが2020年の2月でFamipayはその後の6月でしょう?
その仮説だとpringはなんで縛られたの?
ドコモ口座だけじゃない
こんなにある収納代行サービス!
.
支払いツールはSUICAやクレカで十分間にあってます!
収納代行手数料を負担するのからしてバカバカしい!!
ぼったくり。ぼったくり。ぼったくり!!!
.
これら全てが悪用されあなたの銀行口座にこっそり紐づけされ乗っ取られたら最期、
引き落とし被害は総額600万円以上にも!
.
もう百害あって一利なしです!
こんなの解約しよう!!
絶対につくるのはやめよう!!
.
銀行口座を持ってるだけで不正利用される!
https://asahi.5ch.net/test/read.cgi/newsplus/1600170953/
.
ドコモ口座
ゆうちょペイ
au Pay
Amazon Pay
PayPay
LINE Pay
QUICKPay
楽天ペイ
FamiPay
LAWSONペイ
イオンペイ
Bank Pay
Kyash
PayPal
メルペイ
PayB
pring
ゆめか
支払秘書
習近ペイ
加トちゃんペイ
50 >>1
_人
(___) ドコモ斬り まんせ〜♪
(._禿.)
<丶`∀´> n
/ 丶.( ヨ) >>30
マジで何でもかんでもペイペイうんざりだわ
自分の口座は被害が出ていないガチガチの銀行と信金とJA
電子マネーはプリペイド式のカードに現金チャージ
これでそれなりに便利に使えてる
たまたま助かってるけど、マジでいつ何があるか分からん >>200
セブンペイ後のペイ参入がこの2社だけなら
セブンペイ後に一律で厳しくした、と言う説明はつく
まあ他のペイとそのあたり事後でも交渉したのかは気になるけどな ファミペイも初期にアクセス集中し過ぎて使えない不具合とか有ったけど7ペイやペイペイのやらかしよりマシだったから上手く忘れてもらったね >>185
少なくともドコモ口座はドコモユーザー以外に二段階認証していた
よって厳しさは他のキャッシュレス決済サービスと同じ
他のキャッシュレス決済サービスが免許証原本のスキャンとか携帯作れるレベルの本人確認していた訳ではない
https://www.itmedia.co.jp/business/spv/2009/10/news159.html
ドコモユーザーの場合、ドコモ口座を開設するには「回線認証」など本人確認の仕組みが設けられている。一方、回線を契約していない人には、メールによる2段階認証を導入していた >>148
>リバースブルートフォース攻撃など使えねえよ
池沼か
>どんだけフリーワードの入力項目あると思ってんだ>>134
>明らかに何らかの理由で口座番号氏名生年月日暗証番号全部抜かれた奴しかログイン出来ない
それ地銀でも同じあし、給付金で暗証番号以外の情報のリストができてるのも知らないとかwwwww >>205
安心しろドコモの対応のまずさは間違いないし
あの記者会見で信用は地に落ちたw >>206
そりゃ使えないぐらいなら使用者しか困らないからな
ドコモ口座は使用者以外全員がトラブルのリスクに合うという大惨事
比べ物にならん >>201
Amazon Payは流石に大丈夫な気ガス >>204
「Kyashは7日、同社が提供するスマートフォン(スマホ)など向け送金・決済サービス「Kyash」にて2020年9月7日(月)より銀行口座から直接入金・出金できるようになったと発表しています。」
最近銀行との提携を始めたのサービスもあった >>207
メールによるってもフリーメールの捨てメアドでええんやろ? ファミペイとFamiPayは別物だよ
ファミペイ → 会員証と電子マネー機能を合わせた総称
FamiPay → 独自の電子マネー(コード決済) 7Payはやらかしたけど、止める決断をしたからな
垂れ流しを容認してるdocomoとは雲泥の差だと
それだけでも評価できるわ ファミペイは7Payがごちゃごちゃしてた時期目の当たりにしてたからだろね
システム担当者がひかんかったのだろう >>213
当然
フリーメール禁止しているキャッシュレス決済サービスあんの? >>212
そうするとゆうちょ銀行は相手によって対応を変えていたということか
何を基準に対応を変えていたのか気になるね >>208
世帯主リストだから、狙われた口座の傾向調べたら則バレしそうなもんなのにな >>206
一連の不具合等もよく覚えている(笑)
SMS認証でいつまで待っても送られて来なくて始められない人が騒いでたなあ >>215
7payは止めないと7銀が道連れで逝くからな >>217
それが二段階認証の根拠になるの?って話 スマホの扱い方に慣れてないと、二段階認証に対応するの難しかったりするよね。 >>206
ただ混んでただけでセキュリティ上は問題なかったからね >>134
これだと生年月日を1つに決めて、暗証番号を生年月日にしてる人を想定して
リバースブルートフォースアタックかければそのうちヒットするね >>221
docomoには自前の銀行を持たない故の奔放さがあるよなw >>219
バレてんじゃないの、警察は捜査中だろうし、パソナ絡みとかだとなかったことにされるだけで >>222
ドコモ口座(というかそれで使うdアカウント)の作成時には、登録したメールアドレスへのメールに応答しないと作れない
それは本人確認じゃなくて「メールアドレス存在確認」でしかないけど>>207の「2段階認証」はそれだけの意味
あまり正確な用語とも思われない >>28
ファミマはセブンペイが「2段階認証…?」でやらかしたのをみて
自分らは同じことはできないと自分から2段階認証してくれとちゃんと言ったのかもしれないな >>222
他のキャッシュレス決済サービス事業者と同じであるなら今回の事件の原因は他にあるという事 >>207
フリメの2段階認証がどう抑止力になるのやら
他の携帯smsに比べたら酷すぎ >>229
いや、これdアカウントの話ではなく「ドコモ口座」の話
いまドコモ口座作ってみれば分かるがアプリ使い始めるのに二段階認証求められる
>>207参照 >>232
だから他のキャッシュレス決済サービスでフリーメール禁止していた所あるの?
PayPay、LINE Pay、PayPal、ウェルネット、楽天Edy、ビリングシステム、メルペイ、ゆめカードはフリーメール禁止?
いくつか使ってるがフリーメールで登録出来てるしそれはドコモ口座の問題ではない >>232
ワンタイムパスワード用途ならフリメでも変わらん
というかSMSも悪意をもって動けばいくらでも量産できるし…
本人確認という意味で若干マシかもぐらいだろう >>232
「あなたは名無しさんですか?」
「はーい、オレオレ、オレ名無しです」
で何が確認できるのかって話だよな まあ組み合わせでしょうね
完璧でなくてもSMS認証などでことあるごとに二要素認証してたらかなりマシという ゆうちょのワンタイムパスワード微妙に早口だけど
高齢者は大丈夫なのかなあれ >>181
俺も
やっぱりアダモちゃんのイメージなのかな >>233
ああ、確かにメール来てた
訂正しよう
ドコモ口座の利用開始時には「dアカウントに登録したメールアドレスに認証コードが送られる」という無意味な2段階認証が行われている
だな だから今回問題になっているのはウォレットと口座を紐づけるときの二段階認証だよ
ウォレット作るときの二段階認証は対して問題じゃない。
財布買ってきて、他人の名前書いて、どっかの銀行に行ってその他人を装って
お金を引き出せるかということ。
他人の名前を書ける財布を売ってる方の問題か? >>229
メアドの1段階認証でしかないわな
ってか、必要なのは本人確認なのに二段階認証とか言ってる馬鹿ばっかだし
>>232
>他の携帯smsに比べたら酷すぎ
それじゃあ本人確認になってないことが分かってない馬鹿か >>242
たしかにそうだが、ウォレット作る時に二要素をやってるところは紐付け時にも導入しやすいんだと思う
ファミペイもそうだし >>239
出来ないんだろたぶん
相手に手数料無くなるから使ってくれって頼んだけど無理だったようだ まぁ本来ならクレカの3Dセキュアみたいなのが必要やわね
銀行側がそのインタフェース用意して >>243
身元確認
本人確認
二段階認証
SMS認証
IVR
ワンタイムパスワード
決済事業者側での認証/銀行側の認証
全部ごっちゃにして「本人確認」とか言ってる奴多すぎだよな ドコモはメールでの二段階認証で本人確認をしている
これは間違ってない
身元確認をしてないだけ >>248
「身元確認」とか言い出すのはただの詭弁 >>248
身元確認という最初のエビデンスがザルってことか
つまりドコモ口座のユーザーが紐づけ口座の名義人であるという確認か
それってさすがにドコモのやることだよなあ? 身元確認をしない2段階認証とか、ただのザルじゃねーか >>3のお父さん、お母さん これが息子さんの精一杯なんです。笑ってあげてください(´;ω;`) >>17
実際、ドコモユーザーだけの時は一番完璧に近い確認(利用者対面確認と証明書確認と住所確認までがっつり)してたし…
ドコモ止めるって時ですら、ボケてようが寝たきりだろうが本人連れて来い一点張りの凄まじい本人確認作業してたんだよ。
ポイント会員っていうザルと合体させたから大穴になったんだよ。 そもそもSMS認証しているPayPay、メルペイ、Kyashでも被害はあるのでSMS認証は確実とは言えない
eKYCで身元確認しないとダメ
銀行側は最低でも届出電話番号で二段階認証すべき >>244
ファミペイのゆうちょ紐付け時の2段階認証はゆうちょ側の実装(ゆうちょの登録電話番号に通知)
決済サービス側で2段階認証をやってるかどうかと口振登録への2段階認証の導入のしやすさは無関係 >>248
ドコモはドコモユーザー以外は、本人確認を全くしていないよ。
ドコモユーザー以外は、全くフリーでフリーメールでドコモ口座が作れるよ。
フリーメールだからいくつでも作れるよ。 >>255
意識的に二要素認証を依頼しやすいってことだよ
そういうのに疎ければ利便性ばかりを重視してしまう >>241
メールでの二段階かSMSの二段階かなんて大して違いはない
本人確認不要のデータSIMでもSMS受けられるものがあるわけで >>243
本人確認は銀行側が行うものであり、逆ではない >>252
むしろ最近ネットデビューした隠居のお父さんかもしれないぞ >>256
ではフリーメール禁止しているキャッシュレス決済サービスってどこ? 認証も含めておまかせになってたんじゃないか
銀行側では相手のネームバリューに乗っかって精査していなかったんだと思う >>250 ないんじゃね?
ドコモがというわけじゃなく、プールできるネットト上の口座への入金方法の種類はいくつもあり
クレジットカードは全て2要素済み、現金はおれおれにでも騙されてなければ不要だろうし
iTunesみたいにギフトカードをチャージする方法もあるがこれも基本現金同様
結局、一部の銀行が入出金の手続きが甘かったって事だろ?
これ、ドコモ口座がやり玉に挙げられてるけど 振込も出来たって事だからね?
まぁ振込だと振込先からバレやすくなるけど、二要素強制じゃない銀行は悪意ある振込も
できたってことで、そんなセキュリティの甘い銀行はネットサービスを許可してはいけないんだよ >>259
今日テレビで言っていたが、ドコモ以外は一応本人確認はしているよ。 明らかにドコモ口座を作るときに本人確認が無いせいでこうなってるだろ ゆうちょはポチっと設定変えれば二段階認証にできたがしなかった
ゆうちょの責任 >>264
Kyashは銀行口座登録で本人確認完了だけどな >>254
その通り
SMS認証なら良いって意味が分からん
銀行側が己の口座ひもづけるために銀行サイトに飛んで本人確認取るんだから、本来はそれで全て終わり
ファミペイの用に本来の口座名義人に向けてワンタイムパス求めるだけだから >>261
それは私自身が口座を作っていないから、それは分からない。
ただし、今日テレビで言っていたが、ドコモ以外は一応本人確認はしている。 >>262
被害の出た銀行はそういうことだろうな
まあまさか天下のドコモさんがお金抜き取る犯罪者を身元確認せずに
紹介してきちゃうとは思わなかったってところか >>264
ドコモもドコモ口座利用開始時に二段階認証している
TVのコメンテーターのお喋り鵜呑みにするな
そこは他のサービスも並列だ
問題は銀行の本人確認 >>267
それだけじゃ、完全な本人確認とはいえないよね。
まあ、ドコモよりはましだけどね。 >>262
銀行側のシステムの設定だから決済事業者側から変更はできない
銀行におまかせになっていた >>269
本人確認=電話番号にコードを送る二段階認証ってこと
ドコモは登録したメールに認証コードを送る
本人確認のレベル的にはほとんど変わりはない。
メールはフリーのメールアドレスを使えるし、電話番号もデータ通信用の >>269
いや、だからソースはTVのコメンテーターとかいいって
本人確認方法は銀行が決めるしファミペイにやっていたように本来の名義人にワンタイムパス送って攻撃者じゃないか確認するだけだ これゆうちょとファミペイ連携させるときの認証が電話なの面白いわ
他サービスの認証だとSMS起用してるじゃん
これ電話かかってきて音声でパス言うんやぞ
でもこれのおかげで固定電話でも認証可能 ■ このスレッドは過去ログ倉庫に格納されています