【地方銀行】「二段階認証」導入の銀行は被害確認されず #ドコモ口座 [雷★]
■ このスレッドは過去ログ倉庫に格納されています
(略)
専門家「“2段階認証”など対策を」
ドコモ口座と口座連携している銀行は、地方銀行のほか、大手銀行やゆうちょ銀行など合わせて35行あります。
このうち被害が確認された銀行は、ウェブサイト上で名前と預金口座の番号、それに4桁の暗証番号などを入力すれば口座を登録できる状態でした。
一方、ドコモ口座と連携している銀行でも、口座を登録する際「2段階認証」を取り入れている大手銀行などではこれまでのところ被害が確認されていません。
「2段階認証」は、セキュリティーを高めるために本人かどうかを段階を踏んで確認する仕組みです。
名前と預金口座の番号、それに4桁の暗証番号などに加えて、本人確認のため「ワンタイムパスワード」などの入力が必要となります。
情報セキュリティー会社「マカフィー」の寺尾敏康さんは、地方銀行は、大手銀行に比べて2段階認証を導入していないところも多く、そのセキュリティー対策の差が関係している可能性があると指摘しています。
そのうえで「今回の問題にかぎらず、預金の不正引き出しの被害を防ぐために、銀行の側も『2段階認証』などのセキュリティー対策を一段と強化すべきだ」と話しています。
さらに寺尾さんは「利用者の側も、預金口座の番号や暗証番号などが何らかの理由で外部に漏れてしまうという最悪のケースに備えておくことが大事だ。同じパスワードを使い回さないなど自己防衛を心がけてほしい」と話しています。
https://www3.nhk.or.jp/news/html/20200909/amp/k10012608551000.html 1932年・女子高生が現代の女子高生と外見がほとんど同じだと話題に!今の女子高生を白黒写真にしただけと言われても信じるレベル
https://kgz-photo.sramage.net/2860.html ドコモ口座対応銀行
★=新規登録停止
◎=二段階認証採用(ネットバンキングではなくweb振替に採用)
▽=登録には口座残高や生年月日・住所などが必要
みずほ銀行◎(ネットバンキング登録の場合)▽(未登録 年月日や口座残高等)
三井住友銀行◎
ゆうちょ銀行★▽(生年月日・住所が必要)←いらなかったという説もあり?
イオン銀行★※被害あり
伊予銀行 ★
池田泉州銀行★
愛媛銀行
大分銀行 ★
大垣共立銀行★※被害あり/チャージ停止中
紀陽銀行★※被害あり
京都銀行◎
滋賀銀行★※被害あり/チャージ停止中
静岡銀行▽口座残高
七十七銀行★※被害あり
十六銀行
スルガ銀行◎
仙台銀行★
ソニー銀行◎
但馬銀行★
第三銀行★
千葉銀行▽(生年月日・発行番号必要)
千葉興業銀行▽最終口座残高が必要
中国銀行★※被害あり
東邦銀行★※被害あり
鳥取銀行★※被害あり
南都銀行
西日本シティ銀行◎
八十二銀行◎▽(生年月日・電話番号必要)
肥後銀行◎←new
百十四銀行◎
広島銀行◎
福岡銀行◎
北洋銀行★(窓口で口座振替の確認が取れない)
みちのく銀行★※被害あり←new
琉球銀行★ 対応してないのがイチバンなんだがな
・ドコモ利用関係なく、銀行口座から不正送金される事案
・ドコモ口座対象銀行一覧
https://docomokouza.jp/detail/bank_list.html
対応してない三菱UFJ、りそなは安全 口座振替で二段階認証しないってどういうセキュリティ意識なんだろう >>3
千葉銀は被害は確認されてないけどチャージ停止中
https://www.chibabank.co.jp/news/topic/2020/0909_01/
現在、当行において、不正利用の発生は確認されておりませんが、お客さまの安全を優先するため、
「Web口振受付サービス」を利用した「ドコモ口座への新規登録」ならびに「すでにご契約いただいている
お客さまのドコモ口座へのチャージ」を、当面の間停止させていただきます。 >>3
我が家の京都銀行とスルガ銀行はセーフか
良かった ゆうちょドコモロとの紐付け確認してきたら紐付けされていないとの事
肥後銀行は確認出来ません被害出たらドコモの窓口へとのこと面倒なんでお金下ろしてきた ゆうちょダイレクトではあんだけめんどくさいことさせるのにドコモ口座連携はガバガバってアホなの? アドレス名前生年月日がわかれば他人でも簡単に作れるってモーニング羽鳥が言ってたな 4桁の暗証番号は、あくまでもカードを使うときのものだと思っていたがなぁ。
カードを使わないオンラインバンキングで、振り込み時に4桁の暗証番号を入力した記憶がない。
以前のdアカウントはケータイ、スマホ契約者が持ってるもんだったから、そこでしっかり本人確認ができていて、dアカウント持ってれば作れるドコモ口座は、ある意味カードのような役割になっていたということなんだろうけども。 女子高生で言えば二段階認証してねえ地銀は
誰とでもどこででもどこもこもっこり 逆にそれ以外は『被害』だと確認出来てるって事だね
被害装った詐欺等とどう判別したんだろね? 一流セキュリティ銀行チェッカーの役割を果たしていたんだな >>3
南都銀行問い合わせたらワンタイムパスワード発行してるらしい やっぱり日本は紙の書類にハンコにFAXの方が良さそうw 泥棒ならまず面倒がない所から狙うだろうな
防犯でもひと手間あるだけで狙われにくくなるらしいし >>17
その通り
ゆうちょダイレクトはめんどくさいことこの上ないのにね ドコモからしたらまさか銀行がって感じなのだろう
リスクを背負わず金儲けしたいのだろうけど >>4
りそなは前にやられてるから危ないだろ
システム変えたのなら参入するはず
UFJは統合?してからシステムがだめなんだって >>20
物理的なカードというセキュリティが担保されてるから4桁で良いのであって、それが確認出来ないならノーガードも良いとこだものね 自宅のPCでログインしようとしていて
そばにスマホがないと面倒くさいんだよなあ 銀行の暗証番号が4桁数字で問題ないのは、
物理的なカードなどと一緒に使うことで「自然と本人確認ができている」という保証があるから
4桁数字をそのままインターネット上の認証に使うなんて、「絶対にあり得ない」よw
もしどうしても使いたいなら、必ず2要素認証を組み合わせる
これ、ウェブ開発1年目の新入社員にですら分かる、小学生レベルの常識なので、
ドコモが「問題点を把握してなかった」なんて事は絶対にないんだよなぁ…
「把握はしていたが放置していた」って事になる
さてさてどう言い訳するつもりなのやら… 二段階認証で銀行口座の名義人と、認証パスワードが送られる携帯端末の名義人が
一致しているという保証があるのかな。なにか抜け道がありそうに思うが。 地方銀行は経営難でセキュリティに金かけられず甘くなる
顧客の預けた金を大事にしない体制
こんな銀行は潰れるべきと半沢直樹が言ってます >>4
これからを考えると対応してるかしてないかじゃなくて
セキュリティを強化したかが肝要
提携外しただけでセキュリティそのままの所あるよね 三井住友、さすが一流大手。
ワンタイムも確か6ケタ数字だっけか >>32
パソコンからのOTP認証は、一度認証が通ると一定期間はOTP認証が不要となるシステムも多いんだけどね >>30
JRA-VANは逆にみずほがダメで三菱は行けるんだがな。
2段階認証なんてしてないのに。 電子決済の銀行口座登録で本人確認が速攻で終わって即チャージできるところと
ものすごく時間がかかるところがあるからな >>31
そこだよね
あくまでも4桁の暗証番号はカードありきだからなのに
ネットでたやすく引き出しできてしまうとは 論点ズレてないか??
銀行の2段階認証の導入と、勝手に他人口座の紐づけるドコモ口座はと大きく違うぞ。
銀行が2段階認証をしていなかっただけなら、その銀行と利用者が被害に遭った。
それこそフィッシングかよで済ませられた問題だ。
ところが、ドコモ口座がザルな事をしてるから大問題になってるんだよ。 77銀行に100,
ゆうちょ銀行に250
あずけていたけど無事だった トークンみたいなの使ってる銀行あるけどあれかなり防止に役だってるのか
すげえめんどいけど ゆうちょ確認したけど今のところ無事だった
だからって明日も無事とは限らないよね? 対象だったがキャッシュカード作ってないので問題なかった(記帳で確認) ワンタイムパスワードはTOTPっていうオープンな仕様があるんだが、
銀行とかは独自仕様で実装してるっぽい。
専用のキー発生器かアプリじゃないと取得できない。
こんなことがあるからそれはそれでいいのかもな。 >>48
まじすか!ありがとう
なんのための3段階認証でワンタイムパスなのかw
何よりドコモに対してゆるすぎ
やっぱり〇〇崩れなんだね >>45
ドコモは論外、大馬鹿野郎。もうドコモ口座なんて止めてしまえレベル。
それとは別に銀行もセキュリティーしっかりしとけや、って話。 客の金預かっといて抜かれても私は知りませんだったら何のために預かってるんだって話だな みずほが安全なのはわかったけど
ちょっとくらいウェブサイトに説明乗せろよ
そういうとこだぞ 犯人について、何か報道があった?
ドコモ口座用のメアドを取る取りドコモ口座を開設するところから、
全部TailsOSからやるぐらいの事、そこらの中学生にでもできるご時世なんだが
TorのIPを弾く事すらしてなかったとの事
どうすんだろww 犯人は他人の口座から引き出してからどうしたの?それまだわからないの? 本人確認は銀行のサイトに飛んでやってるんだから、悪いのは銀行。 >>69
ドコモの問題じゃないから同じ
銀行側の問題
ドコモが口座情報を持ってるわけじゃないし知ってるわけもない >>69
キャッシュカードと暗証番号だけで登録できるなんて相当信頼されてるな >>53
するんだろう、で納得しちゃうんですか?! >>69
PayPalも銀行口座登録で本人確認完了
そのページに書いてあるぞ
まあ、対応してるのはワンタイムパスワード必須の銀行だけどな(ゆうちょ除く) >>1
∧_∧
( ´._ゝ`) < ネット証券と比べたら、アマチュア3級ってとこだな・・・w
/ ゆうちょに記帳に行った
何より衝撃だったのは
定期と定額の利率が0.002パーセントになってたことだった
定額に預けても意味ないやん 今まで公共料金、保険、電話代等口座振替でこんな事は出来なかった、本人確認という高い壁があったから
そこにドコモ口座が抜け道を作った
こんな認識でいいのかな?
まぁ銀行もセキュリティ強化の教訓にはなったでしょ >>1
専門家はいつから対策を訴えていたのだろうか 2段階認証に問題をすり替えるなよ
クレジットカードの現物を確認せずに4桁の暗証番号だけで本人確認をしたことがおかし
いんだろ >>64
頭が悪いのか何なのかしらんが、「問題の本質」を何も理解できてない人が多いなぁ…
この問題の本質は
ドコモ口座との連携時に、連携口座の持ち主へSMS認証をかけるなどして「本人確認をする」
事を必須にしていなかった、ドコモの仕様上の致命的欠陥にある
ドコモ側がAPIを用意してそれを必須にしとけば済む話なんですわ
馬鹿は黙っとけw >>79
クソドコモのせいでほかの口座振替まで疑わなあかんなってしもたがな
社会が成り立たんわ >>82
そうみたい
しかも当時は上限100万だったからかなり抜かれたっぽい へえ、ポイントサイトでもポイント交換するときはSMS認証するのにな ドコモ、金融庁からキツイお叱りを受けてるぞw
ざまぁwww >>83
銀行側で二段階認証しておけば起きなかった問題
ドコモも銀行も悪い >>80
「専門家」でなくても、最初から分かってるよw
7payのときも言い訳してたでしょ?
「利便性のため」って
たぶん同じ理由で強引に通したんだろうよ
銀行の暗証番号をそのままウェブ上の認証に使ったら駄目な事ぐらい、ウェブ開発1年目の新入社員にですら分かる
何も難しい話ではない、当たり前の話 【立憲民主党】福山幹事長、「時間が余ればコロナ対策も」発言を弁明 「軽んじたつもり全くない」 3/12【武漢肺炎】
4日におこなわれた参院予算委員会。立憲民主党・福山哲郎幹事長の発言に批判が集まっている。
「時間が余ればコロナ対策もやります!」
4日の参院予算委員会で、野党議員の発言にネット上で批判の声が高まった。立憲民主党・福山哲郎幹事長が安倍晋三首相へ新型コロナウイルス拡大防止策等をめぐる質疑をしたが、深堀りで質問を重ねることなく『桜を見る会』問題へ質問を変える一幕があったのだ。
『桜を見る会』の質問へ
「総理、嫌でしょうが、『桜を見る会』について質問します。時間が余ればコロナ対策もやります。前夜祭についてうかがいます。
安倍事務所がホテル側とサービスの詳細、契約内容などの詳細を事前にホテルと詰めたということ。それでよろしいですね?」
上記質問の直後も、『桜を見る会』関連を追求し続けていた。
ネット上では「新型コロナウイルス問題を軽視している」といった批判・指摘が本人のツイッターアカウントにまで殺到。では、この発言の意図はどういうものだったのか。
関連
【立憲民主党】 杉尾秀哉議員が花見を満喫! 安倍昭恵夫人の桜を追求するもご自身は関係なし!! まあこれで訳のわからない地銀の整理のきっかけになってくれたらいいな 【立憲民主党】枝野代表「私たちは2月から緊急事態の宣言を求めてきた」 間違を指摘され訂正ツイート 04/08 【国民の敵】
1.現状は、緊急事態宣言の要件を満たす状況ではなく、緊急事態宣言を出さなくてもいいように押さえ込むことが政府の責任である
2020年3月5日
↓
緊急事態宣言について報道が相次いでいます。私たちは2月から緊急事態の宣言を求めてきました。
2020年4月6日
↓
正確には、2月から 「緊急事態の制度も含め、その宣言も視野に新型インフルエンザ等対策特別措置法の適用を求めてきた」と言うべきでした。
2020年4月6日 >>91
>>83が理解できないなら黙っとけってw >>83
全く同じことが銀合側にも言えるよ
だから銀行側が二段階認証やってる所は被害がなかったわけだし
入り口がドコモだから矢面にドコモが立ってるけど、地銀側も大概だよ >>83
何も間違ったことは言ってない
お前がバカで理解できてないだけだろ >>16
肥後銀行、問題理解してないな
ドコモじゃなくて銀行が他人からの申請にOKだしちゃうからドコモで判断できないのに
まあ上の表で◎になってるので窓口行員はアホだけどシステム担当はまともってことか >>83
それすら問題の表層に過ぎない
本質は日本人のITリテラシーの欠如だよ >>83
本質こそ銀行の方だ
銀行がセキュリティを挙げない限り第二第三の不正に晒され続けるだろう キャッシュレスだのペーパーレスだの普通の老人は対応できないだろ
新手のオレオレみたいなもんだなw 本人確認はドコモじゃくて銀行のサイトでやってるんだよ。それがザルだったんだから
悪いのは銀行だよ。 しかし、記帳だけでお金をおろしておかない人が多いのにはびっくり
ドコモは全額とか言ってるけど、被害者が証拠を提出しろ!と言い出さないとも限らないのに
日本は被害者が証拠を出さないと加害者無罪なんだから >>105
ワイドショーで大きく報道されても
「わしのケータイはドコモじゃないから、良かった、良かった」
と言ってそう >>105
その多くに中国が絡んでるから
さらに危険度が増す >>110 誇らしいアル〜♪
∧∧
/ 支\
( `ハ´)y━・~~~
{∪ ).ノ 一番悪いのは犯人
次にドコモと銀行
ドコモと銀行どっちの方が悪いじゃない
どっちも悪い
ザルなシステム作ったドコモも悪いし
そのザルと提携結んだ銀行も悪い
ちゃんとした銀行は、二段階認証してるし
または、提携そのものをしてない >>99
APIって言葉を知らないんだろうけど、
ドコモ⇔銀行間で特定のルールを決めておき、
そのルールに従って命令を与えればその内容が実行される
ウェブ(HTTP)経由で使う場合は特に「ウェブAPI」って呼び方をするからググってみろ
ウェブ開発なんかした事もないド素人が鬱陶しすぎるw >>20
メールアドレスのみでキャッシュカード発行できるようなものか >>107 ドコモがやるのが一番だろ、それを信じて銀行は窓口を開けてるのに。 これからは頻繁に記帳に行かなきゃならないから大変だわ
仮に4行回ったら半日潰れるわ
メガバンは通帳廃止とか促してるし忍者の目つぶしかよw >>119
だからなんでネットバンキングやらないのよ
暇人なの? >>113
二段階認証の要求はドコモ側ではできない
銀行側で設定が必要
APIを用意できるのは地銀のCNS側でドコモだけAPIを作っても意味がない >>117
信じちゃダメなんだよ
だから大手は、二段階認証を独自にいれてる
ゆうちょは大手なのにザルだったみたいだけど >>4
根本を履き違えてる
銀行側がセキュリティの甘い認証方法をずっと改善しないのが問題 ここでは二段階認証を突破できなかったにせよ、
二段階認証まで進んだことで以て口座番号と暗証番号のペアは入手されたりしてるんじゃない? 本人確認なし&二段階認証なし ← AUTO
本人確認なし&二段階認証あり
本人確認あり&二段階認証なし
本人確認あり&二段階認証あり >一方、ドコモ口座と連携している銀行でも、口座を登録する際「2段階認証」を取り入れている大手銀行などではこれまでのところ被害が確認されていません。
大手…ゆうちょ銀行はw
さっきこの件が出てからゆうちょに2度目の記帳行ってきたけど
混んでるかと思ったら
気が抜けるぐらいATMに人がいなかった
田舎では信用されてんのかな >>120
インターネットはエロ動画と5chしか使わない主義なんだろう笑 何回も記帳するくらいなら
対象銀行以外に口座作ってぶっこんだほうがよくない? >>126
まあドコモはドコモで問題としても
今山ほどあるなんとかペイとかこれからの未来に出てくる新しいサービスとかを考えると
銀行側の認証が堅牢にならないとどうしようもないのよね
第二第三のどこもが現れる。今のままだと 銀行の窓口行って通帳と印鑑で金下すんでも免許証とかの本人確認するやろ。
それをネットだからやらないってのは銀行側の怠慢だよ。 ソニー大丈夫なのか
紐付けにはワンタイムパスワード不必要って聞いて焦ってたけどソニーはすぐに何でもメールしてくるから安心してたわ >>3
十六銀行
★現時点で被害は確認されていないがドコモ口座新規登録停止 対応出来ない弱小地銀はいらないとガースー閣下はおしゃっていらっしゃいます。 ┏( .-. ┏ ) ┓
【水源に、エボラコロナウイルス撒き】
*お台場フジテレビと、SF Appleが
昨日、東京都にエボラコロナウイルスを持ち込んだが
「全世界にコロナウイルスが拡がる可能性」
で、喰い止められたと思われた
*今朝と、今日の15時前後に
お台場フジテレビと、ペンタゴンが
静岡県に、水経由エボラコロナウイルスを撒く事に
※日本側は、撒かれないかどうか監視をする予定
目的》
*日本の関東と関西に
水経由エボラコロナウイルスを撒く
アメリカ合衆国から、日本全域にエボラが拡大したとして
【ゾンビとして核処理される可能性大】
yt7
https://mobile.twitter.com/prettypumpkin71/status/1303958236475748363
https://twitter.com/5chan_nel (5ch newer account) dアカウントを二段認証してるんだが一段目の身に覚えないお知らせが来て愕然とした
物凄く複雑なパスワードにしてたのに簡単に割れてしまうとかおかしい
おかげでID、パスワード再設定したが根本的にどこか欠陥がある 今どき二段階認証すらない銀行は潰れてもしょうがないよな メインバンクは地銀だけど二重認証で一安心。
ただ、ゆうちょ銀行にも昔作って放置してある口座があるから心配。 >>136
https://moneykit.net/visitor/payment/
口座登録に必要なもの
・口座番号
・生年月日
・キャッシュカードの暗証番号
・ソニー銀行にご登録のメールアドレスでメールが確認できる環境
・キャッシュカード(カード裏面の製造番号の入力が必要です)
暗証番号だけよりは安全。 >>141
内部犯行ならパスワード自体が横流しされてるのでは? ゆうちょなどの被害実績(w)のある銀行に預金があって
だカウントを作っていない人がやられたんじゃないの
>>141もともとdアカウントを持ってる人もやられんの??
となれば新規止めても意味ないよね >>1
ドコモは過去にクレカでやらかして
NTTファイナンスにクレカ支払い移行したんだが
NTTファイナンスもやらかしたのに
一切発表せず隠蔽している!!!!
ドコモの料金支払いサービス
NTTファイナンスの【Webビリング】も
去年2019年7月3日に何の前触れも無く突然
「セキュリティ改修の為、
当分クレジットカード支払いを停止致します」
とアナウンスして突然の支払い停止から
1年以上も経つのに未だに復旧していない
ドコモはNECと富士通の下請け、孫請、
ひ孫請ばかりのバカの集まり
昨日までの新型ドコモウイルスの感染者は、
七十七銀行、中国銀行だけだったが、
今日新たに東邦銀行、大垣共立銀行の
2行が感染したw
そして現在は17行が感染重症者続出!!!
終わったなドコモwww
いま、メルカリがユーザーにdアカウント作れば
ポイント還元やってるからなあ
docomo使ってなくても誰でも作れますよと
書いて宣伝してるからなあ
こんなのやるのメルカリユーザーだろうなあ >>133
本当そう
有象無象のなんちゃらペイだって実は同様な被害がでてるかも知れない。
今回は大事になったので被害者は救済されるけど、他の事案では気付きもされないかも 自らのセキュリティ意識が低い地銀だから
ドコモのセキュリティの甘さも当然見抜けないで提携しちゃったんだろ 銀行のせいにするのやめろよ
ドコモ口座が百パー悪いのに
ドコモがやってんの?このネット印象操作 ドコモ側責任があるとしたら
対応銀行増やしたい一心で、ザル認証でも是非にって押してきたかどうかだな 報道によると、ドコモ口座側から銀行に紐付け申請された名義人と口座番号が正しければ、
銀行は暗証番号すら確認せずにドコモ口座と銀行口座を紐付けしていたらしいぞ
銀行のセキュリティが甘すぎるだろ >>156
それは流石に無いと思う
最低でも最後にpin確認はあるかと >>39
おでも893円無事だったわさ
怖いのかな? >>158
まあ住所が入ってるだけでも何の情報も持ってない奴からの総当たり攻撃は無効にできるから
それなりに意味はあるんだろうがなー
個人情報抜かれたうえでやられてたら簡単に突破されるねそれだと 三井住友銀行の記帳を今日全部やってきたわ
被害なしだったわ
ワンタイムパスワードなんて当たり前だろうに
ネトゲの課金ですらワンタイムパスワード求めてくるのに、銀行がやってないとか驚いたわ >>156
暗唱番号すらないのは少なくともドコモがリンクしてる銀行の資料にはなかったけど >>9
悪質な経営をするのと、セキュリティが甘いのはまた別だからなw
なりふり構わず金にガメツイからこそ不正融資するんだけど、金に執着してるからセキュリティは厳しい >>161
加えて言えば、ボケたジジババまでスマホでネットをしているこのご時世、
個人情報を「勝手に抜かれた」というよりは
フィッシング詐欺などに騙されて「悪意のある者へ自ら教えた」ケースの方が圧倒的に多い
情報の流出元がフィッシング詐欺だと断言してるわけではないが、
少なくとも総当たりよりは可能性は高い 【経済】LINEの情報が韓国政府に筒抜けという報道。上場を前にLINEが大波乱 2014/06/22 【個人情報】
■LINEの個人情報はどに保管されているのか?
無料通話チャット・アプリLINEの情報が韓国政府に筒抜けになっているという報道が波紋を呼んでいる。LINEの森川社長はすぐに
全面否定のコメントを出したが、騒動はすぐには収まりそうもない。LINEは上場を前に大きな課題を抱えてしまった格好だ。
きっかけは、韓国の国家情報院(旧KCIA)が、LINEを傍受し、収拾したデータを欧州に保管、分析しているという月刊誌FACTAの記事。韓国政府のサイバーセキュリティ関係者が、日本の内閣情報セキュリティセンター(NISC)との協議の場で認めたという。
傍受の方法はシステムに直接侵入するのではなく、通信回線とサーバーの間でワイヤタッピングするというもので、韓国の国内法では
違法にならないという。記事では、LINEの日本人ユーザーの通話データなどが韓国政府に送られているとしている。
LINEの森川社長は、「LINEの通信は、国際基準を満たした最高レベルの暗号技術を使って通信されていますので、記事に書かれている
傍受は実行上不可能です」と反論し、「看過できない記事」であるとしてFACTAに強く抗議している。
元CIA職員 であるスノーデン氏の事件で明らかになったように、各国の情報機関が通信回線からデータを抜き取っていることはもはや常識である。
LINEは韓国企業ネイバーの子会社であり日本資本ではない。同社が韓国政府からの情報収集対象になっていないことの方がむしろ不自然なことである。
ネットでは、森川社長が「傍受は不可能」と言い切ってしまっていることから、逆にそれを不安視する声も上がっているようだ。 【安全保障】ヤフーとLINE統合へ…裏で何が起きていたのか? 鍵は韓国大統領と孫会談にあった 2019/11/14 【個人情報売買】
■統合には両社の台所事情も影響
両社の統合に経済合理性があるというのは、米国や中国のメガプラットフォーマーと対抗するという側面があるとともに、両社の台所事情も影響している。
特にSBGについては、孫氏が創成した10兆円の「ビジョン・ファンド」が投資するシェアオフィス大手・米ウィー・カンパニー(We Workを運営)が
新規株式公開(IPO)を延期したのを境に市場ではビジョンファンドが投資する他のユニコーン企業群についても疑念が持たれはじめている。
直近の7〜9月期決算はビジョン・ファンドの巨額損失で「ぼろぼろ。真っ赤っかの大赤字」(孫社長)に転落した(最終損益は7001億円の赤字)。
一方、LINEも主力の対話アプリの成長が頭打ちとなり、新たな収益源の確保に迫られている。金融事業を含む戦略事業の営業損益は赤字で金融事業のテコ入れは待ったなしである。両社が接近するのは自然の流れと言える。
流れを決定付けたのは孫氏の韓国政府への接近
そして、その流れを決定付けたのが孫氏の韓国政府への接近だった。
経産省関係者は、「孫正義氏は7月上旬にソウルで文在寅大統領と会って握手している。韓国から金を引っ張るつもりだ」と明かしていた。
その席で何が話されたのか。 ビジョン・ファンドへの協力とともに、LINEの親会社である韓国ネイバーへの働きかけがあったのではないか。 【ソフトバンク】ヤフー 大量ビッグデータを外部に販売 「事業の柱にしていきたい」 11/6【個人情報】
■中国に流出か? 日本国民の個人情報流出の危機
ビッグデータの外部提供が広がる
2019年11月6日
IT大手のヤフーは、インターネットで検索されたことばなど、大量のビッグデータを外部に販売する新たなビジネスを始めました。個人は識別できないということで、商品開発などに向けてビッグデータの活用が広がりそうです。
ヤフーが販売を始めたのはネットで検索されたことばや利用者の位置情報など、運営するサービスから得られるビッグデータで、個人を識別できないよう統計データの形で、企業や自治体に有料で提供するということです。
専用のウェブサイトで調べたいキーワードを入力するとそのことばを検索している人の性別や年代ごとの動向や、一緒に検索されたほかのことばなどが分かり、商品開発や価格設定といったさまざまな活用方法があるとしています。
記者会見したヤフーの川邊健太郎社長は「個人情報の保護を第1とし、より使いやすいもの、効果があるものにアップデートを繰り返し、事業の柱にしていきたい」と話していました。 ちなみに、既にドコモ口座と連携可能な銀行口座を持っている人が被害を回避する「一番確実な方法」は
犯罪者よりも先に自分がドコモ口座を作って連携する事
笑えるww Q.何があったの?
A.特定の銀行口座からドコモ口座を通じて他者が預金を引き出せる事が判明しました。
Q.自分はドコモ使ってないしドコモ口座も持ってないから安心だね
A.誰でも被害者になりえます。
Q.口座番号と名義って誰にも教えてないよ?
A.無作為に番号を入力して振り込み直前までいけば誰でも口座番号と名義は入手できます。
Q.ATMの暗証番号なんて分かんないじゃん?間違えたらすぐロック掛かるだろうし…
A.リバースブルートフォースアタックという方法を使います。
暗証番号を試すのではなく、特定の暗証番号に合う口座番号の方を探す手法です。暗証番号は
3回トライしてダメならロックがかかることが多いですが、口座番号なら回数制限なく無制限に試せるからです。
Q.他口座に振り込むにはトークンとか乱数表のカードとかいるでしょ?
A.ドコモ口座と紐付ければ必要なくなります。
Q.ドコモ口座って簡単に作れちゃうの?
A.はい、他人がフリーメールで好きなだけ好きな名義で作れます。
海外送金もできる便利な口座です。
Q.銀行口座とドコモ口座って紐付けるのが大変なんじゃないの?
A.前述の口座番号、名義、暗証番号で紐付けられます。
Q.お金引き出されても僕に落ち度は無いんだから補償されるよね?
A.現在ドコモ側はあくまで補償する『方向』であり「いつ」も含め未定です。
Q.対象の銀行に口座があるんだけどどうすればいいの?
A.直ちに記帳をしてドコモコウザへの出金が無いか確認してください。
身に覚えのない出金があれば銀行、警察へ相談してください。 ドコモの社内でも二段階認証を提言した奴はいると思うぞ。誰がそれをつぶしたか、だ >>139
ガースー関係なく、対応できないような銀行なんか使いたくないだろう。 2段階認証の前にはドコモコウザの物量作戦も通用しなかったか… ローソン社長が2段階認証?え?って顔したとき
こんなのが社長かよとおもったが金融でこれか >>166
前澤便乗詐欺とかも
住所氏名年齢口座番号の収集に使われてるよね
前澤自体悪いわけじゃないけど
あれのせいでガンガン情弱の口座番号欲張りセットが流れてる とりあえず「ロ」と「口」を見分けつきにくいからなんとかしてくれ
日本語不自由すぎるわ 三井住友メインにしてて良かった
ゆうちょ持ってるけどネットバンキングの画面分かりにくいし解約しようかな… >>19
そこで、カネ配りTwitterが絡んでいたら…
当たりましたー
誕生日と送り先銀行をー
これでかなり前に教えた人とかいても不思議でない >>181
スパムメールもたくさん来るしなぁ。
桐崎様より64億円給付とかわけわからんのが多いが。 >>38
ワンタイムパスワードは基本6桁
たまに手続き系でトークン設定をいじって10桁以上なのもあるけど(ハードトークン) >>172
> リバースブルートフォースアタックという方法を使います。
> 暗証番号を試すのではなく、特定の暗証番号に合う口座番号の方を探す手法です。暗証番号は
> 3回トライしてダメならロックがかかることが多いですが、口座番号なら回数制限なく無制限に試せるからです。
誰だよ こんな大嘘を広めてる奴はw
「リバース」だろうがなかろうが、「認証に失敗した」という事実は同じなので、
同一端末からの総当たり攻撃は容易に検出できる
仮にシステム側にその仕組みが実装されていなくとも、普通はWAFなどでも自動検出できる
通常のブルートフォースの場合、システムレベルで3回でロックがかかる仕様になってるってだけ
少なくとも、同じ端末から回数制限なく無制限に試せるなんてのはあり得ない
あり得ない…よね?ww 今回問題あったところからは預金引き払う人多くなるだろうな ドコモが9月にわざわざフリーメールで
口座作れるようにしたのはこれを狙ってたのか? あ、でもこれで振込人名義を変えてやってたら即座に電話が来たってのも納得したかも
イオンオキャクサマカンシャデー ****円
ドコモケッサイ ****円
とかやってたら七十七とか電話来てた ドコモ口座は提携先の銀行の口座なら他人の口座だろうと本人確認なしで紐付けできる メールを確認します(キリッ
メールの送られた先はフリーメールで
誰か分かりませーんww >>188
確認しないと該当する銀行に口座のある誰でも金抜かれている可能性があるんだよな、怖い怖い >>98
ドコモ、損してるよねw
まあドコモドコモと騒いでるのはここくらいかな >>154
ドコモがザルすぎだったのは確かにそのとおり。
でも大前提として「銀行の守り」がしっかりしていれば出なかった被害。
被害にあった人からすればどこに送金されたかなんて関係ない話だし、銀行はちゃんとやってると信頼して金を預けてるわけで。 >>193
ドコモにも銀行にも両方責任がある話だな ドコモ口座は提携先の銀行の口座なら
他人の口座だろうと本人確認なしで紐付けできる
他人の口座だろうと登録に成功したら
本人確認扱いとなるので通帳やカードなしで
引き出せる
ドコモ口座はフリーメールアドレスだけで
本人確認なしで誰でも無限に作れるので
犯人は複数アカウントで無限にチャレンジできた
セキュリティの弱い口座番号と暗証番号4桁で登録できる地銀、イオン銀行、ゆうちょ銀行が狙われた
ドコモ口座1アカウントは月30万円が上限だが
犯人は既にドコモ口座のアカウントを大量に作成済みであろうから被害額も最大で月30万×突破されたアカウント数になる
ドコモ口座の上限30万円を超えて
引き出された場合は
引き出した後にドコモ口座のアカウント解除して別のドコモ口座のアカウントで再度、
同一口座に紐付けて引き出された可能性がある >>83
本質と言うなら明らかに銀行側だが
連携先の仕様によっては、セキュリティが担保されないのに、
その状態のまま、サービス運用してるんだから
そして何故か唐突に出てくるAPIという単語w
この使い方意味をほんとに理解してるのか?
IT土方入社2年目とかで、覚えた専門用語使ってドヤりたくなったボクちゃんか?w 日本人の預金口座を、「フリーメール」で
ガバガバ開け放題
今回のキーワードは「フリーメール」 いくつでも取得できるdアカウントと
いくつでも取得できるフリーメール
(おそらくGメール)
こんなもんで本人装おって
口座引き出し狙い撃ち ネット使用不可の
ATMでしか使えません口座を作って欲しい メールアドレスのみで口座開設できるシステムが問題なんですね
口座主がフリーメールでもOKて事は、
犯罪に使っても本人特定不可能だから
やりたい放題できる
例えば適当な暗証番号1111を
複数の口座(鍵穴)に差し込んでヒットすれば
預金は撮り放題の状況
預金取ってロンダリングすれば証拠隠滅 >>199
これはスマホ決済とかじゃなくてももっともっと古い「自動引き落とし」の問題
もっとアナログな時代でも今回のドコモみたいな個人確認がいい加減な引き落とし業者がいたら
同じことが起こり得た。昭和でも >>195
>他人の口座だろうと本人確認なしで紐付けできる
前提がおかしい。銀行口座の認証が出来た人は本人が利用しているとして「本人確認済み」とする仕組みなだから。
その認証を承認するのは銀行側の管轄。 皆で一斉にUFJ銀行に預けるしかない
そしたら他の銀行も焦って色々対策するだろ 昨日、駆け込みで登録をしてみたけど
口座を複数登録できないから都度設定し直しだし、クローンアプリで複数存在もできないようだから面倒だったな
0円の口座を結びつけておいたわ
(口座マニアだから山ほどある) 中国銀行、マジCMがキモいし触ってなくてよかった。 >>199
それで言うと
PayPay、LINEpay、Kyashこの辺は口座連動できるしな
aupayもなんならじぶん銀行とローソン銀行だが連動もできてしまう
使い方と生活費口座とは別にしてキャッシュレス専用口座にしたらいいだけだと思う
まして貸越つけてる口座の情報が漏れるってことは
セキュリティ云々の前に本人がどこかで書き込むとかしないとわからないぞ? >>203
それって悪意の引き落とし業者自身がなんかやっちゃうって話?
マヌケな引き落とし業者が悪意の誰かに無尽蔵に抜かれるとかありえないんじゃないのか DOCOMOのドコモ口座は
『フリーメールアドレスだけで
本人確認なしで誰でも無限に作れる』ので
犯人は複数アカウントで
無限にチャレンジできた
セキュリティの弱い口座番号と
暗証番号4桁で登録できる
地銀、イオン銀行、ゆうちょ銀行が狙われた 【政治資金未返還】立民と国民民主 合流 108億円の行方 2020/7/22 【国税を食い物にする新党の争い】
立憲民主党と国民民主党の合流をめぐる協議が続く。党名や形式など様々な条件で綱引きをしているが、合流の成否は資金面にも大きな影響を及ぼす。
国民民主は旧民主党から受け継いだ豊富な資金を抱える。総務省が2019年11月に公表した18年の政治資金収支報告書によると、国民民主党の繰越金は108億4642万1258円。
現在は支出により数十億円は減っているもようだが、潤沢な資金に変わりはない。
マネーロンダリング 政治資金 未返還
【政治資金未返還問題】立民と国民“合流協議”で浮かぶ…政治資金127億円「返還問題」 枝野氏と玉木氏の処理に注目 2020.7.20 【政治資金返還逃れ】
「両党解散」を、枝野幸男代表の立憲民主党が、玉木雄一郎代表の国民民主党に提案したのは、2000年の国会法と公職選挙法の改正で、「政党間の移動禁止」ルールが決まったため。
衆参両院の比例代表選出議員は、選挙時にライバルになった他の政党に移籍すると失職するのだ。
ただ、これは深刻な事態を招きかねない
政党助成法によると、政党交付金の交付を受けた政党が解散した場合、総務相は支出しなかった政党交付金や支部基金の返還を命じることができるのだ。
現に15年9月には、前年に解散したみんなの党に8億2600万円の返還を求めている。
昨年11月29日に総務省が公表した18年の政治資金収支報告書によると、立憲民主党は18億4268万2204円、国民民主党は108億4642万1258円の「繰越金」が存在する。
計127億円近くで、これらの原資の多くは政党交付金だ。
■かつて政党を解散する度に億単位の資金を移動した大物議員(注:O氏)もいた。
今回、枝野氏と玉木氏は、どんな「まっとうな政治資金の処理」をするのか。高市早苗総務相の判断とともに注目される。 >>209
とられないようにちゃんと使ってるよ
眠らせない程度に活動させるのが当然
ヘマやらかさんためにちゃんと手帳で管理してるわ 【国民民主党】玉木#代表が一部報道で『マスゴミ』と批判 毒饅頭と言われた小沢一郎と合流 05/24 【小沢一郎合流問題】
国民民主党の玉木雄一郎代表がツイッターで、同党の小沢一郎衆院議員の処遇をめぐる一部報道について「いい加減な憶測記事を書くな。だからマスゴミなんて呼ばれるんだよ」と投稿した。投稿は既に削除されている。
記事は、「『懸案』だった小沢氏の処遇問題が約1カ月で決着した」などと伝えていた。これに対して玉木氏はツイッターで「『ようやく』決まったわけでも、『懸案』でもない。すべて予定どおり」と反論した。
玉木氏は24日、国会内で記者団から投稿の真意や削除の経緯を問われたが、「もう削除したので、特にコメントはない」と答えるにとどめた。
国民民主党と小沢氏が率いた旧自由党は4月26日に合併。5月23日に玉木氏と小沢氏が党本部で会談し、玉木氏が兼務する総合選挙対策本部長の相談役に小沢氏が就くことで合意した。 DOCOMOのドコモ口座は
『フリーメールアドレスだけで
本人確認なしで誰でも無限に作れる』ので
犯人は複数アカウントで
無限にチャレンジできた
セキュリティの弱い口座番号と
暗証番号4桁で登録できる地銀、イオン銀行、ゆうちょ銀行が狙われた >>216
CityBANKは残高100万以下からは取る ・口座番号
・名義
・生年月日
・住所
これらって全部他人に伝えることがある情報だし、別に教えても問題ではない情報だよね。
これらを認証の一部として利用してるのがそもそもおかしい。
だから甘い銀行の場合、最後の砦は「4桁暗証番号」しか無い。
それプラス何か1つでも追加で認証方法があれば違っただろうに >>214
マイゲート結構いじってたからねぇ…
今回とは別としてカウントしてんじゃない? >>219
残念、昔のシティのネット支店だからSMBC信託に切り替わっても取られてないんだわ
おまけに言えば
マネーフォワードも黎明期から使ってるから課金しなくても無制限登録なんだわ >>4
MUFGは2年前に北へマネーロンダリングした疑惑でアメリカに怒られたからね
塞翁が馬だなw 二段階認証を採用しなかったのは、銀行って事?
だとしたら、賠償責任があるのは、ドコモじゃなくて銀行じゃん 2重3重に引き落とされる場合もあるってことだな
こわ >>196
お前みたいな馬鹿にでも分かるように説明するw
例えば、ドコモ口座開設時に電話番号を入力する際
「地銀に登録している電話番号」と「ドコモ口座に入力した電話番号」とをAPIで簡単に突き合わせる処理を用意しておけば
(2要素認証をしてなくても)今回の問題は防げたことになる
もちろん理想は「地銀に登録している電話番号」に対してSMS認証をかける事だが
確かに2要素認証をしない地銀側にも問題があるが
普通はドコモ側がそういう仕組みを事前に用意し
「この仕組はAPI経由で簡単に使えるからこれ使って連携してね」ってやる
こういうのは上流の工程に携わっていれば当たり前に理解できる
IT土方入社2年目なんて「自己紹介」はしなくてよろしいw >>226
本人が気付かなかったら、永久に盗られるんでしょ。 >>8
いやいや、俺もSMBCだがまだわからんので記帳に行ってくる >>34
そういうのは銀行に届け出ている電話番号に送信するはず。
その届け出の登録や変更は窓口でお願いしますねって感じ(Webで変更できちゃうと意味が無いので) ゆうちょの生年月日必要だったのかどうかは、はっきりさせてほしいな
生年月日必要だったら、大部分の人は安心して暮らせるなw PayPayとかもこの取られた人たちはしてなかったのだろうか?
あれも口座連携なら同じことをする
メアドはともかく口座振替の画面に行けばあれこそ勝手に生年月日入ってくるところもあるし
そうでないところもある
取られた人の共通点を出して告知する方が銀行やらドコモを叩くより啓発になると思うんだけど
むやみやたらにカネ配りに参加しない
他人に口座番号知られるのはリスク
暗証番号は定期的に変更する
口座の使い分けをする >>233
試したけど、必要だった
でも安心できないでしょそれだけじゃ >>225
各金融機関によってシステムっていろいろだからね
基幹システムが同じところなのかと思ってもそうでないところも被害にあっている
(メガバンクはみんな違う)
TSUBASAアライアンス系か?と思っても
東邦とちゅうぎんとかだし
こればっかりは法則ではなく
各金融機関が採用してる方式となってしまうんよ
過去にエクセルファイルで
デビットカードの発行情報とか
対応しているアプリ決済サービスとか
基幹システムとか
銀行サービス諸々を情報まとめたことあるけど共通点がまさかの認証方式とは… >>232
届け出ている電話番号にSMSなのでもれなく携帯が最優先で、その次に来るなら電話で音声認証かな…
でも登録電話番号が一致してるかは金融機関はわからないぞ
実際ガジェヲタだから操作してる端末と受信する端末が一致してないのは当然だし
050でも連絡先として登録できる金融機関もあるから根底からひっくり返って大騒ぎなんじゃない? >>33
> ウェブ開発1年目の新入社員にですら分かる、小学生レベルの常識なので、
> ドコモが「問題点を把握してなかった」なんて事は絶対にないんだよなぁ…
> 「把握はしていたが放置していた」って事になる
ご名答
「ドコモ口座」不正引き出し、昨年5月にも りそな銀で同じ手口
https://mainichi.jp/articles/20200909/k00/00m/040/258000c
ドコモは”知ってたのに放置してた”事になるがTVで放送されるのかね...
ドコモなんか大スポンサー様だからなあ >>236
必要なのね
あくまで大部分ね
一応、無差別の暗証番号からの総当たりからは連携できないんだよね >>233
例えば、前澤さんがお金バラ撒きをしてるが、あれに便乗して
口座番号・口座名義・本名・電話番号・誕生日などの情報の搾取を狙う「フィッシング詐欺」が横行し、
それに騙される人もたくさん出たわけでしてw
頭のボケたジジババまでスマホでネットをしているこのご時世
単純なAmazonのフィッシング詐欺メールすら見抜けないような馬鹿ばっかだぞw >>240
>>184にも書いたが、さすがに単純な総当りでは、認証なんか突破できるわけがない
銀行のシステムなら、システムにリクエストが到達する前のファイアウォールレベルでも自動検出できるのが普通
どこで聞いたか「リバースブルートフォース」なんて言葉を嬉しそうに使ってる輩をやたらと見るがw 本来なら顧客からの問い合わせがなくても
銀行側がドコモ口座と紐づけされた口座を持ってる顧客に通知送らないといけない事例だよ >>146
さんがつ
良かった
引き落としもメール連絡あるから紐付けられても連絡来ると思う安心だ >>239
やっぱそうかw
ドコモ様ともあろうものが「知らなかった」わけがないんだよww >>241
まあ、ドコモ口座は即刻停止すべきだとは思っているけどね >>246
電話番号届けずに口座開設できるところなんてあんの? >>193
守りも何も金融機関からの依頼だぞ?
本来なら暗証番号すら無しでやり取りしてる内容だ >>242
そうなんだ
じゃあ、暗証番号は(騙されて?)被害者が漏らしたのか? >>184
同じ端末(同じIPアドレス)じゃなかったら?
ここでもIPがかぶることがあるよなあ。 >>252
>金融機関からの依頼
ごめん意味が分からない、どういうこと?
ここの金融機関ってのは何を指してる >>214
去年被害にあって提携をやめたんだろうな >>254
素人ながら、毎回IP変えながら試すとか、時間をランダムで空けて試すとか色々考えられるよね >>253
まだ何も分かってない
俺は「単純な」総当りなんか容易に検出できる
という事実を述べてるだけ
例えば不正に乗っ取ったルータなどを経由させ、総当り攻撃元の時間や情報を「分散」させれば、検出できない事もある
こういうのはイタチごっこなんだが、少なくとも「口座番号なら回数制限なく無制限に試せる」なんて事はないww >>258
口座情報、名義等のリストがどっかから漏れてて攻撃者がそれを持ってるとする。
PINを固定して、ドコモ口座側から口座番号を変えてトライする。
ドコモ口座側は試行回数に制限なさそうだからリストが多ければそんな難しく無いのでは?
そこらの基本的な「分散」はやってるとして ゆうちょは2段階認証あるし
イオンはワンタイムパスあるし
みちのくは要乱数表カードだけど全部突破されてるよ
なぜならドコモと紐付けした時点でそういった手間が要らなくなるから
これはドコモと銀行の取り決めの問題だよ >>260
昨日、試したけどゆうちょは2段階認証は必要なかった。
これは別にドコモだから必要ないわけではなくて、このWEB振替の仕組みを使うサービスは全部同じ。 >>258
お前はどういう立ち位置なんだよw
やっぱり暗証番号が漏れてなくても
無差別に口座が開設できるってことなの? >>261
ゆうちょはIBログインする段階で2段階認証あるでしょ
紐付けられるとそれ部分を手続きを飛ばせるだけ >>113
API用意するのは銀行だよ
銀行がアプリケーション連携するときに本人確認するスキームを用意してなかったことが問題
ドコモでいくら対策しようが、口座番号、名義、暗証番号が揃ったら他人の口座でも登録できてしまうことに変わりはない >>254
例えば「パスワードスプレー」といって、乗っ取った端末で形成したボットネットを経由させ
認証処理を「複数の端末から分散処理」することで、検知を回避する方法もある
こういうのはイタチごっこなので
ただ、その方法はかなり規模が大きくなるので、(現時点での)被害額の少なさから見ると
総当り攻撃の線は(現時点では)ちょっと考えにくい
加えて、去年の5月から既に被害が出ていたという情報もあるので、
情報の流出元はやはりフィッシング詐欺系ではないかと考えるのが(現時点では)自然ではある
以下はおまけだが
IPアドレスってのは端末と1:1に紐付いてる情報じゃない
例えば、自宅Wi-Fiから家族4人がそれぞれ違う端末4台から接続しても
サーバ側から見たIP(グローバルIP)は4台とも同じになる
「同じ端末かどうか」を判定するには色んな方法があるんだが、
例えば「行動ターゲティング広告」なんかで使われる手法は、ヨーロッパの方ではかなり前から散々問題になってるわな
日本人は呆けすぎw >>220
誰にでも教える情報じゃないよ。
商売やってる場合は、口座は分けるし。 地銀はまあ地銀だからと嘲笑されるだけで済むかも知れんが、ゆうちょは大打撃だな 三井住友もUFJも2段階認証やわ
都市銀で助かった >>264
そうだけど、それは「ドコモだけの特別仕様」なわけじゃない。
共通の仕組みを使ってるから他の事業者でも同じ
>>267
誰にでもホイホイ教えるって言ってるわけじゃ無いよ。
ただ教えたとしても問題がある情報ではないはずなのに、ってこと。 >>265
もう素人は黙っとけよ…w
銀行側がAPIをそれぞれ用意してたら
それを利用して連携するドコモ口座側は、APIの仕様毎に処理を作る必要があるだろw
APIってのはそもそも「楽にミスなく処理できるよう」用意するもんだ >>3
結局ここでやられてるシステムの銀行はドコモに限らず同じことやられる危険性あるからな
早く二段階認証採用しろ >>257
家庭用ルーターなんかは、脆弱性を放置したままのものも多いんだが
そういうルーターを不正に経由させて攻撃元のIPアドレスを分散させるのは、
基本中の基本ではある
総当たり(ブルートフォース)以外にも、例えば「DDoS」攻撃でも用いられる 銀行口座を登録するときの認証じゃなくて、
実際にお金を動かすときの認証はどうなってたの?
そこが最後の関所だと思うけど。 >>274
銀行の本人認証の入る登録よりも高いセキュリティなわけないだろ
アカウントに犯人が登録してる情報以上のものが要るわけない >>271
いやAPIのインターフェースが揃ってればドコモのアプリは一つのインターフェイスに対応するだけで済むぞ 武富士より100倍も怖い
ドコモの自動サラ金
金がないなら肝臓売るニダ! >>270
そんなゆるゆるなの?
口座番号や生年月日なんて絶対知られたくないわ。 >>270
他と言えば例に出したみちのくは
通常IBログインの段階と送金時と各々乱数要求されるんだが
ドコモ紐付けの場合はすっ飛ばしていいという取り決めになってる
各銀行の二段階認証の有無なんて関係なく被害出てるよ >>274
そんなのないよ
口座振替で毎回そんな事やってる訳ないだろ >>279
サラリーマンなら勤め先はその情報全て知ってるだろ
それらは認証要素としては無いよりはマシレベル >>279
そうかな?
ネットショッピングだったりオークションだったり、これら全部入力する事すらあるんじゃない?
今は大分違うかも知れないけど、少し前なら不思議じゃない気がする。
そういうところからリストが流出してたりするんじゃないのなって。
繰り返すけど、別にそこらの人に理由なく伝える情報だと言ってるわけじゃ無い。 >>260
勘違いしてる人多いけど
ネットバンキングの取引と
web振替の手続きって別物なの
イオンは口座番号と暗証番号だけでweb振替登録できるしメールも来ない 実際既に紐付けされている口座を考えたら一度サービス廃止するしかない状態
その後本人確認を厳格にして再出発すればいいだけ
日本人は損切り出来な過ぎなんだよ
マズい状況を放置して被害をどんどん拡大させる >>270
微妙に違うな。仕組みは共通だけど2段階認証を入れたりはできる
現実に入れてるところはあるだろ
イオンやゆうちょは入れなかったわけだ 北洋銀行使ってるんだけど
窓口で紐付けの確認してもらえない
個別にweb口振のサービスとめてくれないものか >>280
web振に二段階認証採用してるところでは被害が出てない>>3 >>285
だから結局は二段階認証の有無とか関係ないという話だわな クレジットカードみたいに保険が無いのは致命的
これからも狙われそう こんな単純な仕組みで被害出した銀行なんか信用できないわな >>285
今回の事件で1番ヤバいのは総当たりにより暗証番号が特定できてしまう点
口座番号と暗証番号が漏れたら口座にアクセス出来てしまうような脆弱仕様なら口座の金を丸ごと奪えるんだよ >>285
web振替の手続きにも二段階認証が必要なのに、イオンやゆうちょは入れてなかったわけだ >>290
違います
web振替に二段階認証を使ってるところは安全
君はインターネットバンキングの二段階認証とweb振替の二段階認証も混同してる >>280
なんか勘違いしてる気がする。IBログインとWEB口振とは窓口が別。
IBログインで2段階認証しててもWEB口振は要らないって場合がある
ここに載ってる企業は全部同じ仕組みで認証してるはず
https://www.michinokubank.co.jp/tsukau/web/web.html
>>280
銀行ごとに微妙に違うのは確かにそう。
ただ同じ銀行のWEB口振サービスは全部同じ仕様じゃないの?って事で ドコモ口座作る時に2段階認証があれば不正に作られた口座は減る
それだけでも大きいよ > 口座を登録する際「2段階認証」を取り入れている大手銀行などではこれまでのところ被害が確認されていません。
みずほはどうなん?
一応、第二暗証番号とかあるけど、これがドコモ口座のチャージには骨抜きになっていたとかないの? >>296
だからみちのくは認証要求されるんだって >>297
二段階認証設定してない人は使わないでログインできる時代もあったし
そういう地銀が残ってても驚かん >>126
その認証が甘い銀行へ提携を持ち掛けたドコモが一番の悪だろ 金融庁に訴えて、
具体的には口座を置く銀行がドコモ口座なるセキュリティホールを放置していると銀行を訴えればいいよ
金融庁は銀行を指導せざるを得なくなる
指導を受けた銀行はドコモ口座との提携を停止せざるを得なくなる ん?おれが間違ってんのかな?
そうだとしたらすまんね そのうち承認方法が複雑になりすぎて非常に使いにくいものになるだろう。
現金万歳。 >>277
そも統一ルールを作り用意するのはドコモ側の仕事だろって言ってるんだよw
日本語すら通じないのか ドコモをトリガーにしてセキュリティ意識の低い銀行があぶり出された訳だ。
銀行は斜陽業界だから一気に淘汰が進みそうだな。 >>304
金融庁はもうすでに報告命令を出してる。 ゆうちょだよなあ
他はまあ置いといて
ゆうちょがドコモ切るだけでいいのに >>303
甘い銀行と付き合うのが甘いと
まあそうとも言えるかもw >>309
ドコモに対してでしょ?
俺が言ってるのは自分の口座を置いてる銀行を訴えろって事
銀行のユーザはドコモと無関係だからな >>301
とりあえずweb振替とインターネットバンキングのシステムが別ってことは理解できた?
ゆうちょもイオンもweb振替にはワンタイムパスワードを使わないって話なんだけど そりゃそうだろう、現状は。量子で破られてしまう危険もあるが
結局は二段階すら導入してない怠慢だった 今回まずかった銀行はweb振替を停止したほうがいいともおもうんだよね >>314
web振替ってネットで自分の口座から他の口座に送金する機能ちゃうの? >>307
ドコモのためだけにシステム追加するわけじゃないんだから用意するのは銀行側だよ
提携を呼びかけるときにドコモ側のインターフェイスに合わせて作ってねってのはあるだろうが
実装をするのは銀行側で、そこで本人確認を入れてないのは銀行側の落ち度だよ >>289
それは「ドコモ口座との連携」の際に2要素認証を採用していているシステムは、被害に遭ってないって話(当たり前w)
1., ドコモ口座はフリーメアドなどを用いて自由にいくらでも作れた
2. 1に対し「口座番号」「口座名義」「暗証番号」だけ(2要素認証がない=本人確認ない)で連携できた
だから被害が出る
2の際に、例えば「連携する銀行に登録している電話番号へSMS認証をかける」ようにしていれば、被害は出ない
わかる? そもそもweb振替にみちのくが二段階認証使ってるってソースある?
乱数表はインターネットバンキングでしょ? >>285
これ理解してない人多すぎw
ある程度ネットに詳しいお前らでもこのザマなんだから
そこらのジジババなんか全く何も理解できてないぞw
猿に九九を教えるレベルの話だがどうすんだこれw >>318
もういいw
お前がウェブ開発やったことのないド素人だってのはよく分かった
もし開発者だってのなら、言語はなんでも良いからウェブAPIのやり取り例を書いてみろ
PHPやPython当たりのスクリプト言語なら3行もあればサンプルコードは書けるだろ >>325
それも問題だけど振替が暗証番号だけでできるのも問題
他の振替でも今回被害にあった銀行は危ない 振替と振込みの違い知りませんでした
間違ってましたどうもすみません 三峡ダムオペレーションと銀行業務は同一。
被害者のお金、
他人のお金のフローを管理してる側は永続する。 >>1
だから銀行とユーザーのせいとでも言うのか?w >>290
ぜんぜん違うw
285は「すべての処理で2要素認証が必須なわけではない」って事を説明してる
>>319を読め
読んでも理解できないなら諦めろ
猿に九九を教えるのと同じだわww >>333
もともとアホは多かった
IT技術の進歩のスピードのせいで、知識格差がどんどん広がってるだけ 同じチャネルで2段階にしても効果薄いぞ。
どうせやるなら別の経路で認証する二要素認証な。
金がかかるかもしれんけど、口座から抜かれ放題じゃ預けてる意味ねーからさ。 >>333
ID:MfQfhO2s0
あたりは丁寧に説明してるけど、俺だったらキレるw
たぶん今日から問い合わせが殺到するだろうが、問い合わせ側がよく理解してないのは当然として、
サポート側もきちんと理解してるのか?って話
どうすんだこれww >>341
そそ
だから分かってる人は「2段階認証」ではなく「2要素認証」って書いてる >>318
ちょっと地方銀行を庇うと
ドコモが口座=本人 を厳守していないからな
そもそも口座=本人を厳守していれば、こんな問題起きていない りそなは提携先に無いから優秀と思ってたら
すでにやらかしてたんだな
記帳忘れてるからもう分からないわ
銀行のサイトの認証は前から結構面倒なのに口座振替の手続きザルだったってことか >>337
これって例えばクレカの引き落とし口座を登録するのも同じ手続だよね?違うのか?
◎の銀行なかったけど >>345
そう言う人も居るけど違う気がする。
口座=本人 を確かめるために銀行使ってるわけ。
メルペイとかpaypayも確かに同じでしょ。
あとドコモ口座って言う名前だけど、これは銀行口座でもなんでもなくてただの決済サービスの名称なので。 >>341
2要素も浸透してきたけどノートPC必要になって購入した時に
サイトIDログイン後の買い物でVISAデビ使うのにもワンタイムの二段階要求されたな、無いところもあるけど
関門複数設けるだけでも効果あるだろな >>345
ドコモ口座を携帯回線契約者以外に開放した情報はどういう風に連絡されて各行のセキュリティ担当が確認したかが重要だよね
web口座振替受付サービスって身元のハッキリした企業の請求を処理するための仕組みでまともな契約確認もせずに作られたドコモ口座は想定外のはず あと、支払いとか引き落としはネットバンクかな
手数料実質かかんないし むしろ二段階認証を導入していない銀行が存在していることにビビる >>348
いやいや、銀行と連携するときは
ドコモ側で本人確認が必要でしょ >>350
ただの二段階じゃ全然意味ないよ
犯罪者はどうせツールで自動化してるんだから
ワンタイムは、トークンという所有物とパスワードという知識の二要素を使ってるからメリットあるんだ 最近はもうインターネットオークションやってないが
15年以上昔にやっていた頃は、落札したら出品者から
どこどこ銀行のなになに支店 口座番号ちょめちょめ
口座名義だれだれ に代金振り込んでねメールきて
振り込んだら宅配便で落札品が送られてきて
送り状に出品者の郵便番号、住所、氏名、電話番号
記載されてて、こんだけ個人情報だだ漏れしていたのだけど
最近のオクはどうなん?同じなのけ 2要素認証と本人確認は違うんだけどな。
そういう事が分かっていないから、セキュリティ・ホールのあるタコなシステムを作ってしまう。 みずほとかログイン端末変えただけで連絡が来る
楽天なんてログインするたびに、ATM使うたびにウザいくらいメールが来る ドコモ口座と口座連携する際の認証作業は銀行側がやっている
ってことなんすね。 >>362
だからといってドコモ口座の紐づけで連絡来るとは限らない
電気代の引き落とし口座設定が完了しました!とか来る? ドコモにドコモ口座を開設した携帯のデータはあるんじゃないの?犯人のも? これでもサービスやめないってのが凄いわ
口座の金を無断で盗んむのをdocomoが手を貸してロンダリングまでやるわけだろ 犯人が使った他人の口座のデータがあるなら、それを利用した携帯のデータはわからないのかな? まあ今後は使用用途の分かりきった電気代等の口座振替登録もワンタイムパスワード発行を義務にすればいいだけだわ、もしくはweb登録自体廃止かな
自行オンラインバンクへの加入とその中での手続きに縛るのが一番スムーズかな >>357
トークンのワンタイムあるところはまあ大丈夫だろ
パスを総当たりであててもトークンのワンタイム要求されると底の解析に時間が
ブロックチェーンも量子、なんて話以前にトークンのワンタイムは有効だから導入すればいい >>368
被害額が大した事ないから、「それくらい払っても良い」という考え方なんだろうが、
セキュリティについて、そういう考え方をする会社は信頼できないよな。 >>370
クレカにした方がマシ
何かあっても不正利用の疑いがあるので止めてくれと電話すりゃとりあえず止められる ゆうちょみたいな巨大銀行はどうして2段階認証取り入れてなかったの >>375
切れたら送ってもらえばw期限切れで勝手に送られるが >>3
千葉銀行の発行番号って?
ワンタイムパスワードかな >>235
よこからだか、俺も銀行は一切ネットに紐付けてない。
クレカなら限度額300万でとまるし、その前にアラートでるだろうけと、銀行は全財産イカれるからな。 >>374
公共料金引き落としのシステムだから
悪意を持った人の入る余地がなかった >>54
TOTPかもしれないがSMS認証じゃなくて電話認証だね とりあえずあのみずほでさえも被害ゼロなんだから地銀側にもそれなりの過失があるって思った方がいい >>49
トークンの電池が切れたら何もできなくなるのが難点 ドコモ口座を開設してそこに自分の口座を連携してたら、その連携した口座は被害に遭うことはない
つまり、被害に遭うのは「ドコモ口座を開設してない人」なんだが、そんな事すら理解してない人が大量にいるんだなw
馬鹿ばっか
どうすんだこれww >>386
全部で数千万円なら、docomoにしたらはした金。 >>380
そこにドコモが悪人を引き入れたのはどうしようもないな
ドコモの信用で取引させたんでしょう
商人が荷物に隠れた盗人を大名の蔵に引き入れたようなもんじゃん 地銀は貧乏すぎてセキュリティに回す金が無いんだろう
さっさとSBIの子分にならないとフィンテック時代を生き抜けないな >>30
りそなはワンタイムパスワードよ
なぜ去年ドコモ口座で被害が出てるのか不思議… >>127
だよな。データベース化して次を狙われそう。 二階「オレ様に献金したら認証してやるぞ これが二階認証だ」 >>156
「ドコモが本人確認してるからヨシ!」
「銀行が本人確認するからヨシ!」 >>33
それは、ドコモのシステムではなく、銀行のシステム。
webでも、4桁の暗証番号があっていたら本人確認できたとみなすとしている銀行の問題。
ドコモだけにその方式を提供したわけではない。
他の連携先にも同様の方法で同じサービスを提供していた。
ドコモ以外にも金を流出させている地銀が見つかるかもね。
そうなると、その銀行が取り付け騒ぎが起きてもおかしくない。
ドコモがどこの銀行から入金されたかを発表しないのは、それは銀行側の問題だから。
勝手にドコモが銀行の名前を公表できない。
多くの金が流出した銀行は、雑な本人確認で預金を流出させて、自行では気が付かない。
資金管理ができないかなり危険な銀行だよ。 >>385
>つまり、被害に遭うのは「ドコモ口座を開設してない人」なんだが、
ドコモ口座を開設している人も被害に遭う可能性があるだろ。
ドコモ口座に紐付けていない口座を持っていれば被害に遭う可能性があるんだからよ。 >>156
それ、すでにドコモの電話代の口振登録済みの人の話でないの? >>3
ゆうちょ銀行って2段階認証のための端末あるのに
ウェブ振替には利用してなかったのか。
アホだな。 ワンタイムパスワードは大手でも任意なので持ってない人も多いのかね? >>3
ちょっとまて イオン銀行って最近できた銀行だからネット銀行と変わらず
二段階認証位してるもんだと勝手に思ってたんだがやってなかったんかよwww
流石イオン ドケチで安っぽいなあw >>117
ドコモが後付けで2段階認証しても意味ないんだよ
犯人の持ってる端末に2段階認証のパスコードを送ることになるから。
銀行側の2段階認証が必須。 UFJはバンキング登録番号(≠口座番号)とパスワード、
振込にワンタイムパス(電話にかかってくる)必要 >>227
そんな実用性皆無の仕組み考えるやつが上流かw >>127
多分口座番号からのブルートフォースアタック(総当たり攻撃)だろうからないわな それは >>379
地方銀行の認証がザルだから、勝手に他人がドコモ口座に紐づけして金をそっちに
もってくって話だぞ
ドコモ口座の紐づけは一対一だから、ドコモ口座に紐づけしてない人が被害に会う
理解してる? 口座持ってるだけでリスクある時代
ザル銀行は解約しなきゃ駄目だ(´・ω・`) >>19
違うよ
口座番号と暗証4桁の数字が一致した口座からだよ みずほは大丈夫か
少なくとも数日前にみたけど大丈夫だった >>406
それ以前の話として、第三者がドコモ口座の開設や紐付けやれるのが問題では。 >>356
いや違う。
繰り返すけどその「本人確認」を銀行と紐付けすることで代替としてるんだよ。
これはドコモがおかしいわけじゃなくて他の決済サービスでも一般的。
クレジットカードの申し込みとかでも採用されてるしね。 >>402
難しくて脱落紙の通帳に変更してもらった情けなかった >>410
ドコモ口座って言うのは銀行口座でもなんでもなくて、ただの決済サービスの名前。
ラインペイとかpaypayとかと同じ。 肥後銀行はネットバンク申し込み者しか登録できなかったのか
それともドコモ口座ヒモつけ時にメアド登録義務化してたのか >>413
ドコモ口座のサイトによると海外へ送金できたり、他の銀行口座へ送金できるんだよ。 >>416
うん、それもドコモ口座のサービス内容の一部だからね。
銀行口座じゃなくて、単なる一業者のアカウントだよって事。 >>308
ガースー
ほら僕の言ったとおり、再編した方がいいでしょ?wはぁと >>417
そうなんだけど、一般的な電子マネーよりも無駄にサービスが多い。 >>404
総当たりをやってる最中に二段階認証まで進んだら、そのペアは正しいペアだということが分かるだろ。
今回は二段階認証を突破できなかったとしても、その正しいペアをデータベース化して次の何かに利用されるということだよ。 >>69
生IPじゃないとほぼ書き込めない5chよりザルだった 紙の通帳なくしていきたいみたいだけどそうなったらやられ放題だよね確認する事もできない年寄りとか >>424
スマホない年寄りはWeb明細と同じで紙だろう >>390
フィッシング詐欺で騙してワンタイムパスワード自体まで入力させれば
あとは自動処理して悪用するシステム(Muraenaとか)なんてわりと昔からあるので…
急増するフィッシング被害 二要素認証突破の手口と対策
https://www.ssk-kan.co.jp/topics/topics_cat05/?p=10604
念の為書いておくが、2要素認証に脆弱性があって突破されたのではなく、
いくら認証方法が進化しても、それを使う人が馬鹿ならどうしようもないって話ねw >>390
りそなはその後、ドコモのセキュリティが改善されないから、りそなが接続拒否してるらしい
と昨日のドコモの会見で言ってた >>356
>>411
要するに「口座所有者へドコモ口座と紐付けてOK?と確認する処理」がザルだったってこと
例えばドコモ口座に紐付ける銀行口座情報を入力する際、電話番号も一緒に入力するが、
その電話番号にSMS認証をしても何の意味もないわなw
しかし、例えば「紐付ける銀行に登録している電話番号」と「ドコモ口座に入力した電話番号」とが一致してるかというチェック処理を1つ入れるだけでも、
今回の被害の大半は防げたでしょw
もちろん、「紐付ける銀行に登録している電話番号」へ電話認証やSMS認証をかけても良いし
そんだけの話
技術的にもなーんにも難しくない 【経済】LINEの情報が韓国政府に筒抜けという報道。上場を前にLINEが大波乱 2014/06/22 【個人情報】
■LINEの個人情報はどに保管されているのか?
無料通話チャット・アプリLINEの情報が韓国政府に筒抜けになっているという報道が波紋を呼んでいる。LINEの森川社長はすぐに
全面否定のコメントを出したが、騒動はすぐには収まりそうもない。LINEは上場を前に大きな課題を抱えてしまった格好だ。
きっかけは、韓国の国家情報院(旧KCIA)が、LINEを傍受し、収拾したデータを欧州に保管、分析しているという月刊誌FACTAの記事。韓国政府のサイバーセキュリティ関係者が、日本の内閣情報セキュリティセンター(NISC)との協議の場で認めたという。
傍受の方法はシステムに直接侵入するのではなく、通信回線とサーバーの間でワイヤタッピングするというもので、韓国の国内法では
違法にならないという。記事では、LINEの日本人ユーザーの通話データなどが韓国政府に送られているとしている。
LINEの森川社長は、「LINEの通信は、国際基準を満たした最高レベルの暗号技術を使って通信されていますので、記事に書かれている
傍受は実行上不可能です」と反論し、「看過できない記事」であるとしてFACTAに強く抗議している。
元CIA職員 であるスノーデン氏の事件で明らかになったように、各国の情報機関が通信回線からデータを抜き取っていることはもはや常識である。
LINEは韓国企業ネイバーの子会社であり日本資本ではない。同社が韓国政府からの情報収集対象になっていないことの方がむしろ不自然なことである。
ネットでは、森川社長が「傍受は不可能」と言い切ってしまっていることから、逆にそれを不安視する声も上がっているようだ。 【安全保障】ヤフーとLINE統合へ…裏で何が起きていたのか? 鍵は韓国大統領と孫会談にあった 2019/11/14 【個人情報売買】
■統合には両社の台所事情も影響
両社の統合に経済合理性があるというのは、米国や中国のメガプラットフォーマーと対抗するという側面があるとともに、両社の台所事情も影響している。
特にSBGについては、孫氏が創成した10兆円の「ビジョン・ファンド」が投資するシェアオフィス大手・米ウィー・カンパニー(We Workを運営)が
新規株式公開(IPO)を延期したのを境に市場ではビジョンファンドが投資する他のユニコーン企業群についても疑念が持たれはじめている。
直近の7〜9月期決算はビジョン・ファンドの巨額損失で「ぼろぼろ。真っ赤っかの大赤字」(孫社長)に転落した(最終損益は7001億円の赤字)。
一方、LINEも主力の対話アプリの成長が頭打ちとなり、新たな収益源の確保に迫られている。金融事業を含む戦略事業の営業損益は赤字で金融事業のテコ入れは待ったなしである。両社が接近するのは自然の流れと言える。
流れを決定付けたのは孫氏の韓国政府への接近
そして、その流れを決定付けたのが孫氏の韓国政府への接近だった。
経産省関係者は、「孫正義氏は7月上旬にソウルで文在寅大統領と会って 握手している。韓国から金を引っ張るつもりだ」と明かしていた。
その席で何が話されたのか。ビジョン・ファンドへの協力とともに、LINEの親会社である韓国ネイバーへの働きかけがあったのではないか。 【ソフトバンク】ヤフー 大量ビッグデータを外部に販売 「事業の柱にしていきたい」 11/6【個人情報】
■中国に流出か? 日本国民の個人情報流出の危機
ビッグデータの外部提供が広がる
2019年11月6日
IT大手のヤフーは、インターネットで検索されたことばなど、大量のビッグデータを外部に販売する 新たなビジネスを始めました。個人は識別できないということで、商品開発などに向けてビッグデータの活用が広がりそうです。
ヤフーが販売を始めたのはネットで検索されたことばや利用者の位置情報など、運営するサービスから得られるビッグデータで、個人を識別できないよう統計データの形で、企業や自治体に有料で提供するということです。
専用のウェブサイトで調べたいキーワードを入力するとそのことばを検索している人の性別や年代ごとの動向や、一緒に検索されたほかのことばなどが分かり、商品開発や価格設定といったさまざまな活用方法があるとしています。
記者会見したヤフーの川邊健太郎社長は「個人情報の保護を第1とし、より使いやすいもの、効果があるものにアップデートを繰り返し、事業の柱にしていきたい」と話していました。 口座の金を動かせるのに認証ケチるってどんな根性してんだよ。 だから、菅さんも言ってるだろ。
痴呆症の地方銀行は淘汰しないとダメだってw
あらためて、図らずも地銀のゴミぶりが明らかになったな。 みずほも4桁の番号だけじゃアクセスできないだろ
第二暗唱とか求められる >>428
他人のドコモ口座への送金はどうするの? 口座番号と暗証番号を特定できれば、本人になりすまして
別の口座に送金することは比較的容易だろ
やらないのは足がつきやすいから
暗証番号だけでなくそれも含めてセキュリティなわけで
送金先がドコモ口座に集中しているってことは、銀行に比べて
ドコモ口座は犯罪者にとって都合がいい仕組みなんだろ しかもそのドコモ口座から海外へ送金できるという駄目押しっぷり。
全ての国外に対応してるってことなのかねえ。
ほら、悪さして隠れる為に好都合な国とかあるじゃん。 ■中国と自滅するソフトバンク
■中国産アプリ TikTokの危険性
TikTok(ティックトック、中国語名:抖音短視頻)は、中国のメディア企業Bytedanceが提供する短編動画共有アプリケーション・SNS。
日本国内では若者を中心にユーザー数が増加しており、中国国内では最大のユーザー数を誇るアプリである。創設者は張一鳴。2016年9月にサービスが開始された。
■2018年10月1日 - ソフトバンク、米投資ファンドKKR、同じく米国のジェネラル・アトランティックなどの企業が、Bytedanceへの出資を表明
▼ネット上のコメント
・Payとやらはセキュリティコード登録なしにクレジット使えるってこと?ガバガバじゃんね ?
・PayPayはソフトバンク・ビジョン・ファンドが投資するPaytmと提携しており、ソフトバンクが出資する中国のアリババグループがPaytmへ技術協力を行っている
つまり、PayPayのバックグラウンドにあるのは、アリババの電子決済サービス「支付宝(アリペイ)」って記事もこわい
・テレビで言わない事ですね‥報道してるのをまだ見たことない 【衝撃】 中国で「パスワード法・暗号法」が成立 中国製アプリのパスワードが中国共産党にダダ漏れに?芸能人が宣伝してるTikTok も 01/06
2020/01/01(水)
明日から、中国で「パスワード法」が施行されます。平たくいうとネットの個人のパスワードは中国政府が管理し自由に閲覧可という恐ろしい法律です。本文には書いてませんが、
中国製アプリにも適用される可能性があります、いや、すると見なして良いかと。
これのもっと恐ろしいのは、こんな法律が出来ても人民は誰一人抗議の声をあげることができず(その手段すらない)、勇気を出して抗議しようものならある日「行方不明」となり、
最後は「そんな人はこの世に存在しなかった」とこの世から登録抹消。これが中国社会。
HIKAKINさん、きゃりーぱみゅぱみゅさんや日本の多くの芸能人、テレビ局が宣伝してるきっかけで、一気に日本全土の十代の若者に浸透してるTikTokも、明日2020年1月1日から、そのパスワードを中国共産党が管轄することになります
◆こちらが暗号法(パスワード法)です。
中国、暗号法を正式に施行 ブロックチェーンやデジタル人民元で法的基盤 2020/1/2
デジタル人民元にも法的基盤を提供
中国政府が、2020年1月1日より暗号法を施行した。
主に、ブロックチェーンテクノロジーの成長発展や、中国の中央政府発行仮想通貨(CBDC)デジタル人民元の発行計画にも
法的基盤を提供するものと考えられる法案で、中国は2020年以降のブロックチェーン活用に新たな一歩を踏み出す。
この法律上で「暗号」は、「情報に対して特定の変換を加えることで、暗号化して保護され、安全が認証された技術、商品、サービスを指す」と定義された。
デジタル人民元にも法的基盤を提供
中国政府が、2020年1月1日より暗号法を施行した。 >>436
だからそれを>>428で説明してるw
理解できないなら他の人に任せる 昨日システム止められる前に、自分の名前わざと間違えた口座名にしたドコモ口座で、自分の郵貯とヒモ付けしてみれば良かったな
なにを聞いてきて、なにが違ってても引き落とし始まってしまうのか
自分で確認しておくべきだった >>442
ドコモロでは知らんが
ゆうちょ口座と楽天銀行口座の紐付けはめんどくさいよ
紐付けるとゆうちょから楽天への送金が手数料無料になるが
webでチョチョイと入力してokにはならいので紐付けやめてatmで纏まった金額を入金して済ませることにした セキュリティへの認識が緩いとこを送金元にするからこうなる
法的に可能かどうかは知らんが、docomoはこれに懲りたら財務体質が弱い銀行を買収するか資本提携するかして
金の取り扱いは金の専門家に任せた方が良い >>428
やるとしても、それは銀行側の仕事だよね。
技術的になんも難しくなくてもずっと放置してるわけ。
金融のシステムって簡単に変えられないのは分かるけどさ。 >>443
それは銀行間の送金(振込)だろ、楽天銀はれっきとしたネット銀行だから
ドコモ口座は銀行業務ではなく、ただのプリペイド
送金ではなくチャージ >>427
それが本当ならりそなは大丈夫なのかね???
自分のところが防御が甘かったせいで抜き取られてるというのに。 と思ったがりそなはワンタイムパスワード必要だったの?
それならなんで被害にあったのか謎だね >>83
>ドコモ口座との連携時に、連携口座の持ち主へSMS認証をかけるなどして「本人確認をする」
事を必須にしていなかった、ドコモの仕様上の致命的欠陥にある
全然違うじゃん。sms認証をかけなきゃいけないのは銀行側。
だって口座の持ち主本人かどうかは銀行にしか分からないのだから。 >>445
銀行だけに押し付けるのはちょっと違う
A. ドコモ口座のシステム
B. Aに紐付けられる銀行口座のシステム
として
1. ユーザーがAへログインし、Bの情報を入力
2. AからBへ「紐付ける命令があったよ?」と確認用の情報(話を分かりやすくするために便宜上「電話番号」とする)を投げる
3. Bは電話番号がBに登録されている情報と一致しているか確認 → 一致してなければAへエラーを返す
4. 3でエラーがなければ、電話番号へSMSで認証をかける(これはAでもBでも良い。大事なのは「口座の持ち主の電番」へ認証を書けることなので)
5. ユーザーが4の認証を通せば連携完了
こんな流れにしておけば、今回の被害は起こらない
※ただし、AとBとで異なる電話番号を使えないというデメリットはある
文章にすると難しそうだが、技術的には大した話じゃない
ただ、各銀行とかが好き勝手に処理を実装すると間違いが起こるので、
ドコモ口座のようなサービスを提供する側が互いに協力して「簡単・確実に上記のような事ができる仕様を策定」
するのが、理想ではある
まぁ日本みたいなIT後進国にはまず無理だw
簡単なQRコード決済ですらろくな統一規格ができず、各社が好き勝手やってきたのだからw
QRコード決済の規格を統一、連携にはほころびも
https://www.itmedia.co.jp/news/articles/2006/24/news043.html >>449も>>450を読んだ方が良いな
SMS認証をかけるのは、ドコモ口座側でやった方が間違いがなくて楽に実装できる >>452
楽かどうかは関係ないと思うが
ドコモが消えてもまた第二第三のドコモが出てきて
また同じことに繰り返しになるなら
銀行がちゃんと認証すべきでは? >>450
銀行口座開設時に申込記入する電話番号は、たいてい家の固定電話だが・・・?
ってか、一昔前までは銀行口座にせよクレカにせよ携帯電話番号では開設できなかった
(固定電話=電話加入権の有無が信用情報の一部として扱われた)
それでSMSと言われてもね >>450
あぁなるほど、そういう方法があるのは理解できた。
でも結局銀行側がその為の実装をしなきゃいけないことは変わらないわけでドコモ口座に対してだけの問題じゃないよね。
それなら登録しているメールアドレスとか電話番号に認証番号を送るとかの仕組みの導入を銀行がやるのが間違いない。 >>454
スルガ銀行で試してみたけど、銀行に届けて出てる番号に電話がかかってきて認証キーを読み上げるしくみだった。
これなら安全だとは思ったが他の銀行らが同じような対策を導入するのは難しいかもな、とも思った。 四宮教授は、時効は完成と援用という二段階効果説を唱えています
鈴木教授は、譲渡担保につき、所有権が一旦権利者に移り、設定者留保権が設定者に戻る二段階物権変動論を唱えています 各銀行のドコモ口座紐付け時の認証画面比較
秋田と七十七ザルすぎ
https://i.imgur.com/40iMHK6.jpg >>458
>支店名
>口座番号
こんなのは基本的に人に知られたとしても問題となる情報じゃないわけだからね。
結局砦は4桁の暗証番号だけ。 >>459
少なくとも通帳の1ページ目のコピー画像を送らせられるとかの現物確認をしないと、暗証番号の意味ないよな
操作画面上でもわざわざ「キャッシュカードの暗証番号」って書いてあるのに、
現物のキャッシュカードがなくて何の暗証番号なのやら
ドコモ口座の開設だって、免許証など本人確認書類のコピー画像を遅らせるとかしないと
taspoすら免許証画像が求められたのに つーかさ、docomoは回線契約するとき口座番号と暗証番号で本人確認okにしてたか?
何でドコモロになると自分達もザルなら銀行に回線契約と同じレベルの本人確認を求めないザルで済ませてた? 被害確認されず? 全ての人が確認したの?
デマだろ。
【NTTドコモ】ドコモ口座、1日におよそ100の不正な口座開設される。同じIPアドレスから複数回の不審なアクセスも★2
https://asahi.5ch.net/test/read.cgi/newsplus/1599802322/
こんなに、お手軽簡単に、不正ドコモ口座が作れるのに、
どういうこと? >>462
お手軽に複数のアカウントが作れることは別に問題の本質では無いけどね あれソニーは?って思ったけど、そういえば送られてきたメール指定のカード裏の番号入れさせられたから2段階認証有りだった ・PCから複数の口座が作れるドコモ口座
・二段階認証なし、暗証番号だけで振替できる銀行
・たぶんフィッシングサイトで口座番号と生年月日とかが漏れた
奇跡の三重奏。どれか一個でも欠けたら生まれなかった >>455
別にドコモがやっていいというかやればいい話 セキュリティの差が被害の差になってるから銀行にも責任あるよねぇ
ドコモと銀行の責任の割合はどうなるんだろ >>467
そりゃもちろんドコモがやることに反対はないよ。
ただ今回のはドコモが間抜けだったからここまで大事になったけど、根源は銀行側にあるのだから
銀行がちゃんと構築しなきゃ今後同じようなケースは普通に出てくる。 ドコモは
知ったことか
銀行が悪い
で押し通せるなら銀行が悪いでok
でも矢面に立ったのはドコモで不正な預金引き出しの標的になった銀行名をドコモ自身は公表できなかった
ドコモも銀行も双方が商売の拡大を目論みセキュリティを蔑ろにしたのだからそりゃ銀行を指弾したら泥仕合いになる
ナアナアで済ますしかないね >>454
SMS認証ができないなら電話認証という方法もある
手軽な実装例としてSMS認証を挙げただけ
>>455
ゼロからその仕組を作る
のと
予め統一された規格がありそれを簡単に使う仕み(API)が用意されてるのとでは
全然意味が変わってくる
例えば昔、ガラケーに「ケイタイ絵文字」ってあっただろ?
docomo,au,softbankの3社間ですら絵文字の仕様がバラバラだったから
俺みたいな開発者は、わざわざその変換処理を作ってたんだわ
それがどれだけ無駄な事かってわかる?w
今はもう世界中で絵文字が使わてるけど、統一規格を作ったのはどこか知ってる?
日本じゃなくてGoogleだ 笑えるよなw
Googleなんかは昔から率先して、例えば「パスワードを利用しない新しい認証方式の統一規格」を色々と考えて策定したりしてる
それを使えば個人レベルでも簡単に同じ仕組みを実装できるんだわ
日本の業界も協力してそういうものを作れよと俺は言ってる
まぁ無理だろうがw だって敵と共通の規格にして顧客が逃げやすくなったら困るじゃん←日本の発想 >>1
スレタイが、二階認証に見えた。しばらく目を休めます。 >>471
それが出来たら縦割り行政もとっくに改善してるんだろうなー チャージを止めたけど
二段階認証じゃない銀行と
二段階認証だけど
チャージを止めてない銀行
どっちに移した方が安全かな? >>480
それじゃ甘い
提携してたが被害0の所が最も安全 >>481
世の中なにが起こるかわからないから
二段階認証が突破される可能性だってなくもない(?)けど
セキュリティ自体が甘いと、ドコモ口座以外でも、犯行が出てきそう
むしろ後者の方が可能性高そうな気がする
という解釈です >>479
完全に後者
二段階やってない銀行はいつ勝手に紐付けされるか分からないよ、冗談抜きに ゆうちょ、二段階認証採用が10月になるらしいけど、果たして本当なのかな… ■ このスレッドは過去ログ倉庫に格納されています