【決済】ゆうちょ銀行、ファミペイへの口座登録は二段階認証必須に設定していた [雷★]
■ このスレッドは過去ログ倉庫に格納されています
2020年09月15日
決済事業者さまのアカウントへの口座登録及び振替(チャージ)の一時停止について(9月16日更新)
(2020年9月16日に一部内容を変更して掲載しております)
本人認証方法として、2要素認証を未導入の8事業者※において、即時振替サービスを停止しました。
<即時振替サービス>
1) 新規口座登録及び口座変更
2) 振替(チャージ)
当行においては、2要素認証の導入に全力で取り組むとともに、各事業者様と連携して、お客さまの安全確保に努めて参ります。
https://www.jp-bank.japanpost.jp/news/2020/news_id001543.html
ファミペイへゆうちょ銀行を登録する画面
https://blog.yam5.com/wp-content/uploads/2020/06/Screenshot_20200610-080735.png
https://blog.yam5.com/archives/14326 >>148
>リバースブルートフォース攻撃など使えねえよ
池沼か
>どんだけフリーワードの入力項目あると思ってんだ>>134
>明らかに何らかの理由で口座番号氏名生年月日暗証番号全部抜かれた奴しかログイン出来ない
それ地銀でも同じあし、給付金で暗証番号以外の情報のリストができてるのも知らないとかwwwww >>205
安心しろドコモの対応のまずさは間違いないし
あの記者会見で信用は地に落ちたw >>206
そりゃ使えないぐらいなら使用者しか困らないからな
ドコモ口座は使用者以外全員がトラブルのリスクに合うという大惨事
比べ物にならん >>201
Amazon Payは流石に大丈夫な気ガス >>204
「Kyashは7日、同社が提供するスマートフォン(スマホ)など向け送金・決済サービス「Kyash」にて2020年9月7日(月)より銀行口座から直接入金・出金できるようになったと発表しています。」
最近銀行との提携を始めたのサービスもあった >>207
メールによるってもフリーメールの捨てメアドでええんやろ? ファミペイとFamiPayは別物だよ
ファミペイ → 会員証と電子マネー機能を合わせた総称
FamiPay → 独自の電子マネー(コード決済) 7Payはやらかしたけど、止める決断をしたからな
垂れ流しを容認してるdocomoとは雲泥の差だと
それだけでも評価できるわ ファミペイは7Payがごちゃごちゃしてた時期目の当たりにしてたからだろね
システム担当者がひかんかったのだろう >>213
当然
フリーメール禁止しているキャッシュレス決済サービスあんの? >>212
そうするとゆうちょ銀行は相手によって対応を変えていたということか
何を基準に対応を変えていたのか気になるね >>208
世帯主リストだから、狙われた口座の傾向調べたら則バレしそうなもんなのにな >>206
一連の不具合等もよく覚えている(笑)
SMS認証でいつまで待っても送られて来なくて始められない人が騒いでたなあ >>215
7payは止めないと7銀が道連れで逝くからな >>217
それが二段階認証の根拠になるの?って話 スマホの扱い方に慣れてないと、二段階認証に対応するの難しかったりするよね。 >>206
ただ混んでただけでセキュリティ上は問題なかったからね >>134
これだと生年月日を1つに決めて、暗証番号を生年月日にしてる人を想定して
リバースブルートフォースアタックかければそのうちヒットするね >>221
docomoには自前の銀行を持たない故の奔放さがあるよなw >>219
バレてんじゃないの、警察は捜査中だろうし、パソナ絡みとかだとなかったことにされるだけで >>222
ドコモ口座(というかそれで使うdアカウント)の作成時には、登録したメールアドレスへのメールに応答しないと作れない
それは本人確認じゃなくて「メールアドレス存在確認」でしかないけど>>207の「2段階認証」はそれだけの意味
あまり正確な用語とも思われない >>28
ファミマはセブンペイが「2段階認証…?」でやらかしたのをみて
自分らは同じことはできないと自分から2段階認証してくれとちゃんと言ったのかもしれないな >>222
他のキャッシュレス決済サービス事業者と同じであるなら今回の事件の原因は他にあるという事 >>207
フリメの2段階認証がどう抑止力になるのやら
他の携帯smsに比べたら酷すぎ >>229
いや、これdアカウントの話ではなく「ドコモ口座」の話
いまドコモ口座作ってみれば分かるがアプリ使い始めるのに二段階認証求められる
>>207参照 >>232
だから他のキャッシュレス決済サービスでフリーメール禁止していた所あるの?
PayPay、LINE Pay、PayPal、ウェルネット、楽天Edy、ビリングシステム、メルペイ、ゆめカードはフリーメール禁止?
いくつか使ってるがフリーメールで登録出来てるしそれはドコモ口座の問題ではない >>232
ワンタイムパスワード用途ならフリメでも変わらん
というかSMSも悪意をもって動けばいくらでも量産できるし…
本人確認という意味で若干マシかもぐらいだろう >>232
「あなたは名無しさんですか?」
「はーい、オレオレ、オレ名無しです」
で何が確認できるのかって話だよな まあ組み合わせでしょうね
完璧でなくてもSMS認証などでことあるごとに二要素認証してたらかなりマシという ゆうちょのワンタイムパスワード微妙に早口だけど
高齢者は大丈夫なのかなあれ >>181
俺も
やっぱりアダモちゃんのイメージなのかな >>233
ああ、確かにメール来てた
訂正しよう
ドコモ口座の利用開始時には「dアカウントに登録したメールアドレスに認証コードが送られる」という無意味な2段階認証が行われている
だな だから今回問題になっているのはウォレットと口座を紐づけるときの二段階認証だよ
ウォレット作るときの二段階認証は対して問題じゃない。
財布買ってきて、他人の名前書いて、どっかの銀行に行ってその他人を装って
お金を引き出せるかということ。
他人の名前を書ける財布を売ってる方の問題か? >>229
メアドの1段階認証でしかないわな
ってか、必要なのは本人確認なのに二段階認証とか言ってる馬鹿ばっかだし
>>232
>他の携帯smsに比べたら酷すぎ
それじゃあ本人確認になってないことが分かってない馬鹿か >>242
たしかにそうだが、ウォレット作る時に二要素をやってるところは紐付け時にも導入しやすいんだと思う
ファミペイもそうだし >>239
出来ないんだろたぶん
相手に手数料無くなるから使ってくれって頼んだけど無理だったようだ まぁ本来ならクレカの3Dセキュアみたいなのが必要やわね
銀行側がそのインタフェース用意して >>243
身元確認
本人確認
二段階認証
SMS認証
IVR
ワンタイムパスワード
決済事業者側での認証/銀行側の認証
全部ごっちゃにして「本人確認」とか言ってる奴多すぎだよな ドコモはメールでの二段階認証で本人確認をしている
これは間違ってない
身元確認をしてないだけ >>248
「身元確認」とか言い出すのはただの詭弁 >>248
身元確認という最初のエビデンスがザルってことか
つまりドコモ口座のユーザーが紐づけ口座の名義人であるという確認か
それってさすがにドコモのやることだよなあ? 身元確認をしない2段階認証とか、ただのザルじゃねーか >>3のお父さん、お母さん これが息子さんの精一杯なんです。笑ってあげてください(´;ω;`) >>17
実際、ドコモユーザーだけの時は一番完璧に近い確認(利用者対面確認と証明書確認と住所確認までがっつり)してたし…
ドコモ止めるって時ですら、ボケてようが寝たきりだろうが本人連れて来い一点張りの凄まじい本人確認作業してたんだよ。
ポイント会員っていうザルと合体させたから大穴になったんだよ。 そもそもSMS認証しているPayPay、メルペイ、Kyashでも被害はあるのでSMS認証は確実とは言えない
eKYCで身元確認しないとダメ
銀行側は最低でも届出電話番号で二段階認証すべき >>244
ファミペイのゆうちょ紐付け時の2段階認証はゆうちょ側の実装(ゆうちょの登録電話番号に通知)
決済サービス側で2段階認証をやってるかどうかと口振登録への2段階認証の導入のしやすさは無関係 >>248
ドコモはドコモユーザー以外は、本人確認を全くしていないよ。
ドコモユーザー以外は、全くフリーでフリーメールでドコモ口座が作れるよ。
フリーメールだからいくつでも作れるよ。 >>255
意識的に二要素認証を依頼しやすいってことだよ
そういうのに疎ければ利便性ばかりを重視してしまう >>241
メールでの二段階かSMSの二段階かなんて大して違いはない
本人確認不要のデータSIMでもSMS受けられるものがあるわけで >>243
本人確認は銀行側が行うものであり、逆ではない >>252
むしろ最近ネットデビューした隠居のお父さんかもしれないぞ >>256
ではフリーメール禁止しているキャッシュレス決済サービスってどこ? 認証も含めておまかせになってたんじゃないか
銀行側では相手のネームバリューに乗っかって精査していなかったんだと思う >>250 ないんじゃね?
ドコモがというわけじゃなく、プールできるネットト上の口座への入金方法の種類はいくつもあり
クレジットカードは全て2要素済み、現金はおれおれにでも騙されてなければ不要だろうし
iTunesみたいにギフトカードをチャージする方法もあるがこれも基本現金同様
結局、一部の銀行が入出金の手続きが甘かったって事だろ?
これ、ドコモ口座がやり玉に挙げられてるけど 振込も出来たって事だからね?
まぁ振込だと振込先からバレやすくなるけど、二要素強制じゃない銀行は悪意ある振込も
できたってことで、そんなセキュリティの甘い銀行はネットサービスを許可してはいけないんだよ >>259
今日テレビで言っていたが、ドコモ以外は一応本人確認はしているよ。 明らかにドコモ口座を作るときに本人確認が無いせいでこうなってるだろ ゆうちょはポチっと設定変えれば二段階認証にできたがしなかった
ゆうちょの責任 >>264
Kyashは銀行口座登録で本人確認完了だけどな >>254
その通り
SMS認証なら良いって意味が分からん
銀行側が己の口座ひもづけるために銀行サイトに飛んで本人確認取るんだから、本来はそれで全て終わり
ファミペイの用に本来の口座名義人に向けてワンタイムパス求めるだけだから >>261
それは私自身が口座を作っていないから、それは分からない。
ただし、今日テレビで言っていたが、ドコモ以外は一応本人確認はしている。 >>262
被害の出た銀行はそういうことだろうな
まあまさか天下のドコモさんがお金抜き取る犯罪者を身元確認せずに
紹介してきちゃうとは思わなかったってところか >>264
ドコモもドコモ口座利用開始時に二段階認証している
TVのコメンテーターのお喋り鵜呑みにするな
そこは他のサービスも並列だ
問題は銀行の本人確認 >>267
それだけじゃ、完全な本人確認とはいえないよね。
まあ、ドコモよりはましだけどね。 >>262
銀行側のシステムの設定だから決済事業者側から変更はできない
銀行におまかせになっていた >>269
本人確認=電話番号にコードを送る二段階認証ってこと
ドコモは登録したメールに認証コードを送る
本人確認のレベル的にはほとんど変わりはない。
メールはフリーのメールアドレスを使えるし、電話番号もデータ通信用の >>269
いや、だからソースはTVのコメンテーターとかいいって
本人確認方法は銀行が決めるしファミペイにやっていたように本来の名義人にワンタイムパス送って攻撃者じゃないか確認するだけだ これゆうちょとファミペイ連携させるときの認証が電話なの面白いわ
他サービスの認証だとSMS起用してるじゃん
これ電話かかってきて音声でパス言うんやぞ
でもこれのおかげで固定電話でも認証可能 二段階認証ができたところで今回のは意味あるのかな?
二段階認証って、使うアプリを登録している番号にSMSで暗証番号送ったりするやつだよね。
犯人は自分のIDから他人の口座情報入れてるんだから二段階認証が来ようと
障害にはならないと思うんだけどな。
登録対象の口座が銀行のオンラインと紐づいてて、登録されてるメアドとかに
登録確認の連絡とか出すとかじゃないと本人確認にならんでしょ。 >>272
kyashもPayPayもmijicaもその他踏み台にされたサービスは全部犯人に二段階認証していたわけだが Famipayは一応ゆうちょへの届け出電話番号が紐付け時に必要だったはず
その先の流れがどうかはだれか紐付ける人がいたら流れを解説してくれ、画像付きで(笑) ●ドコモにPayPayにLINEpayと不正出金されてしまったザルセキュリティの日本の銀行はすぐ解約すべき
マスコミは、お門違いのマイナンバー批判やキャッシレス化批判やドコモ批判など繰り返し安倍政権の施策妨害をしたいのだろうが、日本のデジタル化を妨害していると世論のマスコミ批判高まる
これら不正利用の原因は、日本の銀行がセキュリティ意識が低く先進国の銀行とは思えないからだ。
クレジットカードなんてパスワードなしで通販購入でき毎年250億円も不正利用されていることはバッシングしないから不思議だ。
日本の銀行は世界からのハッキングから顧客預金を守ると言う責任感がない。
セキュリティの高い銀行へ変えないと危ない
▼今回被害者を出した銀行は固定4桁パスワードだけが多い
ゆうちょ銀行 ・・・カード暗証番号
イオン銀行 ・・・カード暗証番号
大垣共立銀行
紀陽銀行 ・・・カード暗証番号
滋賀銀行 ・・・カード暗証番号
七十七銀行
第三銀行
中国銀行・・・カード暗証番号
東邦銀行
鳥取銀行
みちのく銀行
世界では当たり前の1分毎に6桁パスワードの変わるワンタイムパスワード認証を採用している三井住友銀行やみずほ銀行は被害者はゼロだ。
三菱UFJ銀行はキャッシレス口座への連携をほとんど拒否しており安倍政権のデジタル化を阻害する消極的銀行であり被害者はいないが褒められたものではない。
被害は中国銀行の口座が3割もあり、騙してパスワードを入力させる偽中国銀行フィッシングサイトの駆逐や啓蒙していなかったのだろう。
ドコモ調べでは犯人は暗証番号1発で認証しており完全にパスワードは漏洩している。
ワンタイムパスワードを使わなくて賢い本人確認をして被害者ゼロの銀行もある
例えば、ソニー銀行はキャッシュカードの製造番号と銀行に登録したメールアドレスも必要だ
西日本シティ銀行や広島銀行は銀行に事前登録した電話番号に職員から電話がかかってきて本人が口座引き落としされるか聞いてくる日本どくじのアナログ式高セキュリティ方式だ。セキュリティ意識は高いから問題ない銀行だ。。
保健所が未だに手書きFAXだったり世界から笑われ、マイナンバーが普及してないから給付金も支給できません。
マスコミや野党の何でも批判に屈せず新生デジタル庁には頑張っ欲しいものです >>278
決済アプリにログインするときの二段階認証はほぼ無意味
口座登録時に銀行届出電話番号へワンタイムパスワード送るのは意味ある 今どきスマホ開けるだけでも顔認証や指紋認証があるのに、
銀行がそれよりゆるいってどういうことや? >>277
ゆうちょの口座連結はファミペイとpring以外二段階認証ナシ
>>1のURLから確認取れる >>259
>本人確認は銀行側が行うものであり、逆ではない
リバースブルートフォース攻撃もわかってない馬鹿の言うことは、さすがだなwwwww
>>264
SMS確認は、ケータイ会社が自社ユーザにやる場合以外は、本人確認じゃねーぞ >>274
だとするとなぜ相手によってセキュリティを変えていたのだろうか? キャッシュレスサービスと銀行口座紐付けを世の中から無くしてしまえばいいだけだろ
キャッシュレスサービスへのチャージは現金でしかできないようにしろ 固定電話へ音声で通知可能というのはクレジットカード会社もやる手段ではある
各種変更時などでも来たことある >>235
メールを本人確認に使わない、ただのidにするだけの話やろ?
何でその辺ごちゃごちゃにすんの? >>288
> キャッシュレスサービスへのチャージは現金でしかできないようにしろ
それやってるのが現行のサービスよ >>178
pringは口座残高が必要
ファミペイはIVR
ゆうちょはいろいろオプション使えたようだ
8社で記号、通帳番号、暗証番号、生年月日だけだったのは謎すぎるな >>287
ファミペイ/pringはセブンペイ事件後だからだろうという仮説がある >>288
まあユーザーのリテラシーのレベルからしてもそれが正解だと思うわw >>18
となると事業者側の落ち度に話が変わって来るね
結局当初の通りドコモが悪いと >>287
ファミペイと7payは同時期だからそこじゃないかな 銀行が主体的にサービスを提供する時と同じだけの堅牢性でやればいいだけの話
めんどくささを含むコストやリスクはサービス利用者が背負えばいい
利用するつもりがない人間が背負うことになっているのが問題なのだから もう銀行はカネいじる資格ないわ、
免許剥奪や廃業や >>293
いや、それでさっきkyashは?って話になったんだよ >>293
でもKyashは再後発(>>212)なのにザル認証なんだよな >>290
決済サービス側の本人確認がメールでもSMSでも大差ない
現にSMSだったPayPay、kyash、LINE Pay、mijicaからも不正利用されている
どこまで議論しても最終的に銀行サイトの紐付け問題に帰結するんだよ
銀行サイトの本人確認が徹底していたファミペイ/pringは不正利用の踏み台にならなかった >>302
騙される銀行ってどうなん?安心できないわ
最初から否定的な銀行もあったのに >>291
それじゃキャッシュレスの意味ないだけど。 >>282
三井住友のワンタイムパスワードって6桁なんだ
今の主流は8桁じゃないの ■ このスレッドは過去ログ倉庫に格納されています
