【ドコモ口座】昨年末に大量の銀行偽サイトを発見。個人情報入手に悪用された可能性 [記憶たどり。★]
■ このスレッドは過去ログ倉庫に格納されています
https://news.yahoo.co.jp/articles/c764d0785f1f05dd8b2e2973982c40101caddc14
NTTドコモの電子マネー決済サービス「ドコモ口座」をめぐる預金の不正引き出しに絡み、昨年、
口座番号や暗証番号を盗み取る全国の銀行の偽サイト(フィッシング詐欺サイト)が大量に見つかっていたことが12日、分かった。
今回の不正では、預金者の口座番号といった個人情報を入手した何者かが、その情報を元に、勝手にドコモ口座を開設して
銀行から金を移し替えていた。
偽サイトが個人情報の入手に用いられた可能性があるとみられるといい、全国の警察が被害状況の確認を急いでいる。
関係者によると、銀行の偽サイトは昨年末ごろを中心に大量に見つかった。今回被害が確認された、
イオン銀行やゆうちょ銀行のほか、ドコモとの新たな口座の連携が停止された京都銀行や但馬銀行のものも確認されている。
いずれも不特定多数の預金者に「システムセキュリティーのアップグレード」などの内容のメールが送信され、
記載された偽サイトに誘導。生年月日や氏名、電話番号に加え、暗証番号や口座番号といった情報を抜き取る
フィッシング詐欺の手口だったという。
今回の問題では、生年月日と氏名、暗証番号、口座番号の4つの情報を入手した何者かが、預金者になりすまして口座を開設。
ドコモ口座と勝手に連携させた銀行口座から金を移す手口だった。
ドコモ口座は開設にあたってメールで本人確認をするだけで、「2段階認証」などを行っておらず、セキュリティーの甘さが指摘されている。
関係者は「セキュリティー対策が強化されている大手を避けるため、中小の銀行を狙い、情報を入手した可能性がある」と指摘している。
情報セキュリティー会社「トレンドマイクロ」(東京)の調査では、複数のセキュリティーチェックを突破する詐欺の手口も急増。
そうした手口の地銀やネット銀行絡みのフィッシング詐欺サイトは、昨年1〜9月に3件だったが、10〜12月には29件確認された。
また、フィッシング対策協議会によると、被害者らからのフィッシング詐欺の報告件数は、昨年は1年間で5万5787件だったが、
今年はすでに10万4236件に達している(8月末現在)という。報告の大半はネット通販絡みだが、カード会社や金融機関をかたるものも目立つ。
フィッシング詐欺サイトでは《警告》や《アカウントロック》などと情報入力をせかすような文面が送られていることもあり、
協議会の担当者は「メールを受け取った際は、そこに記載されている連絡先からではなく、正規のホームページなどを探してサービスに入り、
情報を確認してほしい」と話している。
ドコモ口座を使った不正引き出しの手口
https://news-pctr.c.yimg.jp/uUzvQ3lML_bkIqyakc1vFs-Knw39CLTsfp6KpenqJJBdMEd4pbquQa6Uwhuoh7uLCS0b89aMBuJtaaKhXH08rUbx8Jf0khJ38hi_d3i5ibFg7EvYsA01z3P4YCU_4sPTR3qFZEiwTBrH0121b8xzVA== 匿名で大量の口座を開設できるドコモと組み合わせたら
最恐のタッグやね。 >>73
じゃあ、なんで口座番号と4桁の暗証番号だけで連携出来る金融機関に被害が集中してたの? 12日わかったってこれ、水曜にはwebの記事で読んだがw ガチでフィッシングで盗られたやつだけなら安心だわ
分かり易すぎてそんなのに引っかからんからな いや実際にフィッシングしか考えられないだろ
口座情報流出は 楽天の迷惑メール来たんだけど、フリガナが凄かったわ
[送付先] 山本 直男 (シャンベン ジーナン) 様
こういうのに引っかかる連中って頭どうなってんのw >>102
そもそもそんな金融機関は存在しないw
氏名
生年月日
口座番号
暗証番号
これら4点方式が最低ライン 偽サイトに引っかかった人が被害にあったのなら
インターネットなんて使わないじいさんばあさんは大丈夫そうで良かった あの手のフィッシングメールって日本語が不自然すぎなんだけど、
日本人にやらせればもっと騙せそうなのになw ドコモメールも何度かきたがURLが違ってたから削減したよ
数回きてしつこいから報告したが ウチの会社のバカ社長から呼び出し喰らったとき、メールに書かれてるURLをクリックしながら「これ、何回押しても開かないんだよ」でなんとか汁、
って言われたんで見たら、ESETがブロックしてたことがあったわ。
アホなヤツはメールに書かれてるURLを簡単にクリックして入力しちゃうからな。 >>20
そう、フィッシングサイトを作られていた場合は偽物への警告が不十分だった、または警告していなかった地銀側にも過失が降りかかる フィッシングならこれ以上被害は広がらないな
地銀にも責任ないし、再開してもいいな >>99
何でそんな仕様にしたんだろな
セブンペイといいシステム屋に悪い人居るのでは?と疑うレベルなんだけど まあひっかかったらダメやけど、たかがそれくらいの情報が漏れた程度で
金抜き取られるようなシステムにしたらあかんわな 【IT】米学生がTikTokを提訴 「個人情報を中国に転送」 12/03 【個人情報収集】
中国系動画投稿アプリ「TikTok」(ティックトック)が個人情報を中国のサーバーに転送しているとして、米カリフォルニア州の大学生が集団訴訟を起こした。
TikTok側は中国にデータを転送している事実はないと主張している。
TikTokを運営する北京字節跳動科技(バイトダンス・テクノロジー)を巡っては、米動画アプリ「Musical.ly」(ミュージカリー)の買収について、
対米外国投資委員会(CFIUS)が国家安全保障上の脅威がないか調査を進めている。[nL3N27H3XU]
訴訟は先月27日にカリフォルニア州北部地区連邦地裁に起こされたもので、米ニュースサイト「デイリー・ビースト」が最初に報じた。
原告はTikTokが密かに「個人が特定できる大量のユーザー情報を吸い上げ、中国のサーバーに転送している」と主張。
TikTok側は現時点で訴訟に関するコメントを控えているが、米国のユーザー情報はすべて米国内に保存しており、データのバックアップはシンガポールにあると説明している。
原告の学生は昨年3月か4月にTikTokをダウンロード。
アカウントは作らなかったが、数カ月後にTikTokが学生に無断でアカウントを作り、学生が作成したが投稿しなかった動画から生体情報などを読み取り、
個人情報のファイルを作っていたという。
訴状によると、TikTokはユーザー情報を今年4月に中国の2つのサーバー(bugly.qq.com と umeng.com)に転送。
転送された情報には、ユーザーが利用している端末や閲覧したウェブサイトの情報が含まれていたという。
buglyは中国のインターネット大手テンセントが、umengは中国の電子商取引大手アリババ・グループの傘下企業が保有している。 【衝撃】 中国で「パスワード法・暗号法」が成立 中国製アプリのパスワードが中国共産党にダダ漏れに?芸能人が宣伝してるTikTok も 01/06
2020/01/01(水)
明日から、中国で「パスワード法」が施行されます。平たくいうとネットの個人のパスワードは中国政府が管理し自由に閲覧可という恐ろしい法律です。本文には書いてませんが、
中国製アプリにも適用される可能性があります、いや、すると見なして良いかと。
これのもっと恐ろしいのは、こんな法律が出来ても人民は誰一人抗議の声をあげることができず(その手段すらない)、勇気を出して抗議しようものならある日「行方不明」となり、
最後は「そんな人はこの世に存在しなかった」とこの世から登録抹消。これが中国社会。
HIKAKINさん、きゃりーぱみゅぱみゅさんや日本の多くの芸能人、テレビ局が宣伝してるきっかけで、一気に日本全土の十代の若者に浸透してるTikTokも、明日2020年1月1日から、そのパスワードを中国共産党が管轄することになります
◆こちらが暗号法(パスワード法)です。
中国、暗号法を正式に施行 ブロックチェーンやデジタル人民元で法的基盤 2020/1/2
デジタル人民元にも法的基盤を提供
中国政府が、2020年1月1日より暗号法を施行した。
主にブロックチェーンテクノロジーの成長発展や、中国の中央政府発行仮想通貨(CBDC)デジタル人民元の発行計画にも
法的基盤を提供するものと考えられる法案で、中国は2020年以降のブロックチェーン活用に新たな一歩を踏み出す。
この法律上で「暗号」は、「情報に対して特定の変換を加えることで、暗号化して保護され、安全が認証された技術、商品、サービスを指す」と定義された。
デジタル人民元にも法的基盤を提供
中国政府が、2020年1月1日より暗号法を施行した。 ネット銀行を一切使ってない人が詐欺られてる説明にならないのでは?
やはり給付金関連が怪しい って言っておかないとやばいからなw
暗証番号固定で口座番号総当りでやられたなんてなったら誰も銀行に口座作らなくなるw まあ最近、中国人犯罪者からの国際電話や、
荷物預かってます誘導ショートメールを多いよな
ほぼ内線用の会社携帯にも来たわ
とはいえ、1フェイルでセキュリティが突破されるザルシステムを作った
ドコモロの責任は別 幕引き感パネェーw
フリーメールで新口座開設&送金出来てしまう
ドコモシステムが100%悪いだろー >>108
この事件に乗っかって暗証番号変更しますって電話あるらしいぞ >>109
最近はフィッシングメールの内容色々工夫して変えてきてるよな
この間SMSでフィッシングメール来た後にその番号から「スマホ乗っ取られて不特定多数の人に送ってしまいましたすみません」みたいなの来たわ
これ被害に遭った一般人装って返信や電話かけるの狙ってるよな よくようつべで詐欺サイトに電話してみたとかやってるけどさ、あのレベルなら
トラップ仕掛けて芋づる式に検挙できるだろ。罪を重くして懲役30年とかにすれば
滅亡する気がするんだが、温くないかね。外人がやってるなら戦争でも仕掛ければ
真っ青になって終わる気もするし。泣き寝入りは良くないですよ。
俺が馬鹿だった相手が怖いしとか泣いてるのは間抜けですね。 いや普通に
フィッシングされても大丈夫な
セキュリティーにしてない
ドコモと銀行の責任だろ
お金扱うんだからセキュリティー考えろよ >>109
コロナで食い詰めた日本人を引き入れれば楽勝。
仕事が終わった裏切り日本人がもらえるのは報酬じゃなくて鉛弾かも知れないけどw 日本国民全員が納税の偽サイトに引っかかってるんだよなー
消費税は福祉のためって言われて払ったら、法人税の穴埋めに使われてたことがあるわ そんなバカなサイトには引っかかってないし、そもそもメインバンクではないしネットで使いもしていないゆうちょ口座に、勝手にドコモが紐付けされてたぞ。 >>100
何一つ大丈夫な点がねぇよ・・・
念の為に聞くがブラウザ関係で更新できないとかないよな? まっ犯人は引き出しやすいツールを探してたわけだからドコモのアドレスだけで作れるのはヤバいよ
しかし偽銀行HPってパッとみわからないからね
フィッシング詐欺を知らない人は信じて入力するんだよね 火消し感ハンパねーな
実際の被害との関係性が証明出来てから記事にしろよ >>127
その程度の連中はまともに漢字読めるか怪しいぞ 事実はどうあれこれで幕引きにされちまう可能性はあるなあ…
それだと怖いんだが >>130のような人もいると言う事は
関係者犯行が濃厚?w 朝鮮の工作員が動いています。
資金は刈り上げ豚に上納されています。 >>69
踏み台というより普通にdocomoのアカウント作ってそこからリバースブルートフォース攻撃したんじゃないの? >>77
ゆうちょから迷惑なメールがしょっちゅう届く。内容は詐欺に注意しましょうみたいな不要メール
金融機関からのメールは振り分けてスマホに転送して優先的に確認するから、すごく邪魔
他の銀行はお知らせメールとか宣伝メールとかはFromアドレスを変えて識別できるようになってるから、ゆうちょ銀行のセキュリティ意識の低さが際立つ まぁこれがドコモ口座の件とリンクすることはないな
普通はインターネットバンキングの画面を乗っ取るし、その情報を入手できてるのにわざわざドコモ口座を経由する必要がない
もっと偏りが出るし固まってやられるし 偽サイトみつけたら、各プロバイダに依頼してアクセスできないようしろよ >>129
使ってない人が大半だろう
地銀ならなおさら 新規口座開設はセキュリティーの以前の問題だからね!
誤魔化されるとこだったw >>130
オンラインで給付金申請していないか?
あれも偽物あったと聞く
偽物とはいっても情報を抜いた後に本物の申請ページに飛ばすのでちゃんと振り込みされる >>63
そんな裏付けのある記事が出ていたなら教えてくれ
ブルートフォースとも、リバースブルートフォースとも、フィッシングとも、どの手口も確定していないはずだがね
全て外野の推測かドコモの願望だけだ >>107
七十七銀行はやってないだろ
勝手に存在しない事にするなよwww >>148
以前はATMでできたけど最近のはできないのかな? >>143
それなら不正引き落としが確認された時点で全部バレる
銀行の対応が割れていて
ドコモも引き落としをクライアントが確認しないと動けないと言ってる時点で
攻撃者は口座情報を揃えてから引落としていると見るのが順当 ネットを一切やってない爺ちゃん婆ちゃんの被害者はゼロなのか? ネット銀行も利用してない、スマホすら使わない。アマゾンの買い物もプリペイドの
ローテクの俺には関係ないな。ちなみにヤフオクもやったことない。PCのプロファイル登録も
うっかり誤字が入ってたりする。それでも何も困ったことがない。 >>148
ネットバンキングでもできるよ、おじいちゃん >>141
複数の手口があるんでない?
フィッシングでやられたグループ。
総当たりでやられたグループ、
漏洩グループ、とかさ。
で、幕引きしたいから、フィッシングだけを強調してるとか。 >>114
口座数が欲しかったんだろうね
今時SMS認証を必要としないこの手のサービスを知らないけど
作り放題にしておけば導入難易度がかなり下がって数への貢献にダイレクトに繋がる
セキュリティより見かけ上の数を取った
dアカウントも
「dアカウントの登録数は約7,000万を突破、現在も増え続けています。」
と意味のない水増し数を誇ってるし
数こそ正義!みたいなそういう企業文化なんだろう >>156
できるよ、土日もオーケー、今日やってきた 三井住友は、ドコモ口座の紐づけに、ダイレクトパスワードとワンタイムパスワードが必要だから大丈夫だった >>8
懐かしいな
10年経ってないのか
昔のように感じる >>157
名寄せは攻撃の直前か何ヶ月も前だろ、ふつう >>163
フィッシングだったら被害者側の落ち度に出来る
総当たりだったらそれが出来ちゃうシステムを作った側の責任
給付金の漏洩は自治体を疑うことになる
そりゃフィッシングのせいにしたいだろうね 週明けトンデモ被害になっていそうだなー
フィッシングメールも来てない人がドコモ口座に紐づけされていた実例あるようだし
ドコモ委託内部犯
給付金委託電通下請け犯か
銀行の責任では無いのは確か >>160
その場合銀行の紐付けスキームの違いに関わらず
不正対応ができない事が説明できない
現状すべてを説明するためにはフィッシングURLの配布とリモートデスクトップに近い事を可能にする環境を攻撃者が持っているという線 >>164
それで盛大に信用失ってるんだからアホにも程があるわな >>163
フィッシングでの情報窃取、マルウエアでの情報窃取、リバースブルートフォースの3つに分けて分析しないと、誤った結論にたどり着くよね >>73
「不正に入手」という方法が何だったのかが問題だろうな
それにはブルートフォース等も含まれているが、docomoはそういった攻撃がなかったと言及していないだろ 偽サイトと今回の情報漏洩を必死に紐づけしたいのかね
なんの根拠があるのか フィッシングサイトなのか? フィッシングニュースなのか?
もう、わけがわらん。
フィッシングサイトだったとして、なんでドコモ口座だけなの?
ほかにもよく似たサービスがあるのに。 その話が本当ならツイッターで報告する奴がいてもおかしくないのにそういう話は聴かないけど
そういうフィッシングなら真っ先にネットバンクで被害出てないとおかしくね? 計画的だけどスピーディーだね
うっかり感心してしまう これが原因だったらドコモが全額補償なんて表明しないよ
理由はどこかで不正に入手された情報といってるけどあれは確信犯 4点に加えて口座残高の記入が必要とか
一工夫あるとこも被害にあってないね
まぁこれを機に4点方式は絶滅するようだし
セキュリティ的に脆かったことは変わらんね 振り込み画面で口座番号と名義は得られる、総当たりで暗証番号もいつか誰かの口座で突破できる
他人が口座と同じ名前でウォレットを開設すれば紐付けして資金を引き出せる
ここまで出てきた情報でセキュリティの甘い地銀とゆうちょの信用が完全に崩れたから楽観とかできるわけない 被害者の6割は岡山県だったら偽サイトも総当たり攻撃も関係ないわな
タイミング的に「給付金」の資料が横流しされたとしか考えられない 結局バカが自分から情報渡してたのか。
安心したわ。 ドコモや銀行、監督省庁としては「愚かにも個人情報を流出させた利用者が悪い、自己責任」
という方向性に何としても持っていきたいだろうな >>178
ドコモに不正アクセスする必要は全然ないんだから、ドコモが攻撃を検知できるはずはない >>181
偽サイト説自体が陳腐化と遅延工作である可能性
順を追って出てきた情報を繋ぎ合わせようという工程をレッテルで上書きしようという思考はマスメディアのやり口なんだよね 順番にこうして弱いところが狙われて全体としてセキュリティの強度が上がっていくならいいんだけど、
7payとか、特に今回のドコモ口座とか破壊力のある低脳が続発するからなかなかそうならない いやいやもしこれが理由なら、岡山に被害多い理由にならなくないか? リストを利用し、ドコモ口座に新規で登録
リストの旧口座を塗り替えてなりすましで金を引き出すのか? ■ このスレッドは過去ログ倉庫に格納されています