「ドコモ口座」不正被害に見たもたれ合いの唖然 ドコモと金融機関の両方に責任と甘さ [雷★]
■ このスレッドは過去ログ倉庫に格納されています
登録をしたこともない電子決済サービスに、いつの間にか自分の銀行預金で万単位の金額がチャージされていた――。
9月初め、NTTドコモの電子決済サービス「ドコモ口座」を使った預金の不正な引き出しが明らかになった。9月11日午前0時時点で被害件数は73件、被害総額は約1990万円に上る。被害が確認されているのは七十七銀行や中国銀行、大垣共立銀行など地方銀行を中心とする計12行だ。
(略)
ドコモは再発防止策として、ドコモ口座に銀行口座を登録する際にこれまでのメールアドレスによる認証だけでなく、携帯番号宛に認証に必要な番号をSMS(ショートメッセージサービス)で送信する二要素認証を「可及的速やかに導入する」(ドコモ)。さらに「eKYC(Electronic Know Your Customer)」と呼ばれる、運転免許証など本人確認書類を撮影し提出するシステムを9月末までに導入する予定だ。
スマホ決済業者間の競争が激しくなる中、ドコモは回線契約者以外への決済サービスの拡大を急いだことが裏目に出た。通信会社系では、KDDIの「au PAY」やソフトバンク系の「PayPay」があるが、いずれもアカウント開設時にSMSによる二要素認証を実施している。さらに口座を連携する際に「自社の基準に照らし、(今回被害を出しているような)認証要素の少ない銀行に関しては、当社側の仕組みでeKYCを通さないと入金できないようにしている」(PayPay広報)という。
不正にチャージされたお金を使えないようにするには、スマホ決済業者がセキュリティ強化でせき止めなければならない。ドコモの場合、それが不十分だった。
二要素認証を”省いた”銀行
2つ目の問題は銀行側にある。銀行口座とドコモ口座をつなぐ際に、セキュリティの弱い方法を用いていた。
被害が確認された12の銀行は、「Web口座振替受付サービス(以下Web口振)」というシステムで口座接続をしていた。接続に必要なのは氏名、口座番号、生年月日、4桁の暗証番号。それらの情報を不正に入手すれば、第三者が勝手に口座接続ができる状態だった。
銀行口座と外部サービスを接続する際にセキュリティを高めるうえで、二要素認証は欠かせない。ドコモ口座との接続でも二要素認証を用いる銀行はあった。
現時点で被害の出ていないみずほ銀行は、自社のインターネットバンキングを経由して、ドコモ口座と接続しており、取引ごとに使い捨ての「ワンタイムパスワード」を発行していた。インターネットバンキングを契約していない顧客には認証の条件として物理的な通帳を求めており、通帳に記帳されている最終残高を入力しなければならない方式を取っている。
(略)
つまり、今回の事件はドコモ側、銀行側それぞれのセキュリティに対する甘さが招いたものだ。前出の徳丸氏は「お互いに、相手が(本人確認を)やってくれるだろうという意識が確実にあった」と指摘する。
事件発覚後、両者が危機意識を高めて協力しあう状況にはなっていない。ドコモはWeb口振の利用について「各銀行がそれぞれの事情で決める話」(丸山副社長)としている。銀行側は「われわれは(Web口振の)システムに乗っかっているだけ。セキュリティはある程度(ドコモなどの)決済事業者に依存してしまう」(中堅地銀行員)と言ってのける。
セキュリティ強化を相手に委ねる形でサービスを続けていては、同様の問題が発生しかねない。ひとまずドコモは対応策を示し、ほかの決済事業者の水準に合わせた形だ。今後は地銀を中心とする銀行側の対応姿勢が問われそうだ。
https://news.yahoo.co.jp/articles/aed47980cdccb25bde6b0cbffbee1b61f910d496 ドコモがなんとかしてればー
銀行がなんとかしてればー
アホか
どちらかが対策するべきじゃなくてどちらも対策するべき ドコモ「銀行がチェックしてくれてるだろうからヨシ!」
銀行「ドコモがチェックしてくれてるだろうからヨシ!」 日本の一番優秀な人材を集めてもこの体たらく
企業が人材をダメにしているることが一番わかる事例 >>1
ドコモは最近なんか強引な印象を受けてた
ロクに説明をせずにインターネット料金をドコモの支払いと統一しろと言ってきたりな 盗まれたのは銀行の金という本質
銀行口座を管理しているのはどこか? だから銀行もドコモも免許取り消せって
こんな映画みたいな盗まれ方して、
これからも商売続けようとか図々しいにもほどがある
資格ねえよ 見えないドコモロ座を見ようとして望遠鏡を取り出した
あの頃の僕は全力で少年だった さすが大勢で違反してれば責任がウヤムヤになる国
赤信号みんなで渡れば怖くないの精神 システム更新ではボロボロだったみずほだが、汚名挽回したな 被害額も大したことないし、どうせ保険で賄えるしっていうのが本音? >>14 そう盗まれたのは銀行の金。盗んだのはドコモ。通帳に犯行声明が書いてある 去年コンビニがしくじったことを学んでいない
想定外とか冗談ではないぞ
NTTの犯罪だろ
今だに知らん顔w
危機管理がない
ドコモ口座だけじゃない!
こんなにある収納代行サービスアプリ!
これら全てが悪用されあなたの銀行口座にこっそり紐づけされ乗っ取られたら最期、
引き落とし被害総額300万円超え!!
もうこんなの解約しよう!!
支払いツールはSUICAやクレカで十分間に合ってます!
ドコモ口座
PayPay
LINE Pay
楽天ペイ
FamiPay
Kyash
PayPal
メルペイ
PayB
pring
ゆめか
支払秘書
17 バックドアみたいなのを仕掛けたドコモが全責任取れよ SMS認証も本人確認にはならないらしい
データ通信用のSIMだと本人確認の義務無いんだってさ
ドコモ後手後手
業務停止にしろ 水道料金や電気料金や家賃の引き落としも
実はものすごく危ないのか?
それらも手続きに本人確認などなかったような・・・
今回のドコモ口座と何が違うのだ?
ネット通販でアカウントにクレカを登録するのも同じじゃないか?
なんでそっちは危険じゃないの? >>17
非公表の銀行があるからそうと断定できなくなった。 >>1
金融庁は何やってはるの?
取り敢えず悪事の根源のドコモロを業務停止にしなきゃ
被害が広がるばかりじゃ・・ >>32 記帳ではわかるのは、被害後の痕跡。予防にならない。マスクと似てるな >>30
二段階認証が突破されてたとすると被害者が悪いということになってしまうが 地銀のガバガバも問題だが
今回はドコモは開きっぱなしだったからな >>28
他人の水道料金を払わされる危険があるってこと?? >>35 あるいは大規模な同時多発的情報漏洩、大事件だな >>35
通帳の残高0で紐付されて入金されたらチャージされたんじゃないかと思っている。
俺も給料出たら全額おろしているから。 既に紐付け終わってるから毎月の給料日感覚で薄く長く引き落としていくだけだろ
そこそこ銭ある高齢者は絶対気づかん ドコモは去年同じ事件起きた時、公にして提携銀行に二段階認証徹底するよう呼びかければ良かったのに
被害者の弁護士に「フィッシング詐欺に引っかかったお前の雇い主も悪い」と盗まれた15万のうち10万をドコモと銀行で出す三本一両損解決法をとり公にせず隠してた
だから今回も「また情報抜かれた間抜けが騒いでるんだろ」と軽視してたら被害が予想以上にデカくてお上が動いてしまった 何か対策されてんの?いまだにドコモ回線が使えるんだけど >>24
Suicaも匿名で作れて同じ銀行チャージするくせに >>32
もう当然、ドコモ口座と銀行口座の新規ひも付けは停止されてるのじゃないの?
今大丈夫ならもう大丈夫じゃないのか? 昨年、問題ばれた時にサービス停止して改善してればなあw >>48
ワンタイムパスワードじゃなくて通帳の残高記入を二段階めにしている銀行があったような。 提携銀行がドコモコウザへ送金履歴のある口座の預金者全てに連絡すればいいのに何でしないの? >>45
JRのカードでクレジットカード決済だろ? >>49 多要素認証は、ゆうちょに被害があれば突破事例があるとみていいんだろうか 戦後、アメリカ(GHQ)は在日チョンに特権をあたえた。
それが在日特権のはじまり。
日本人は決してアメ豚を信用してはならない!
↓
GHQ検閲 「朝鮮人に対する直接・間接の一切の批判を禁じる」
http://gofar.skr.jp/obo/archives/8798
アメリカが戦後も続けていた「心理戦」とは 日本には今もその影響が残っている
https://www.dailyshincho.jp/article/2020/07160605/?all=1
>>日本人はなぜ自虐的になったのか(1)
特に悪質なのがハリウッド
反日ハリウッドを日本から追い出そう
↓
【ハリウッド/中国】撮影スタジオに中共高官を入れ検閲させるハリウッド 言論団体が自由の危機に警告 [8/12] [昆虫図鑑★]
ht○tps:/○/newsee-media.com/hate-japan
反日ハリウッドスター26選!日本嫌いの海外セレブを衝撃順にランキング【2020最新版】
【為替スワップ】韓国銀行、米FRBとの為替スワップ契約期間を延長 延長後の期限は2021年3月31日まで [08/04] [新種のホケモン★]
↑
アメ豚は韓国を守り続けるのいい加減に止めろ!
アメリカの格付け機関は韓国の格付けを甘くして韓国を破綻から守ってる
アメリカ政府が2020年三月に韓国にスワップしなかったらとっくに韓国経済は破綻してた
トランプ政権はいままでのアメ豚政権の中ではマシといっても、
依然としてアメ豚が韓国を守り続けているという事実は変わらない
韓国があれだけ日本に対して高圧的に出られるのは、アメリカが韓国を守り続けているという事実があるから
日本で反米感情を極限まで高めてアメ豚をビビらせないと、日本人の韓国に対するストレスは解消しない
本当の敵はアメ豚だと日本人が気づかないと
日本の敵のアメリカの企業を徹底的に苛め抜いて日本から追い出そう!
特にアップルは一番の日本の敵と言っていい企業
反日親韓のアップルを日本から追い出して地獄に叩き落とそう!!
↓
http○s:/○/www.recordchina.co.jp/b638869-s0-c30-d0058.ht○ml
米アップルがiPhone地図から「竹島」を削除、韓国ネットから安堵の声
・
+637982738927+8917897 ドコモの契約者じゃないのにドコモ口座を作れるのを止めればいい わかったからさっさと停めてメンテをやれよ。こんな危ないサービスを放置とか有り得んだろ >>52
生年月日なら2段階というのはどうだろう? >>54 それだとauペイにすら負けるな、商売にならないんだろうな 届出印を押印するのは多要素認証になっているからね
印鑑をなくすのはいいけど、代わりの多要素認証の認証方式を構築するか銀行は真剣に考えてね
本人確認はまた別の話 >>57
生年月日や暗証番号は一要素認証
二段階でもない >>45
スイカも銀行チャージできんの?
現金とクレカでしかチャージしたことなかったわ 銀行は超ザルとはいえ一応暗証番号かけてるけど
ドコモは何かしてたの? >>58
でも今の自己申告だとジジババ絶対気付いてないだろ
特にゆうちょ銀行に預けてるジジババ ドコモのデタラメ口座をどーするか一切ネエ
これから強化すりゃOKなんかじゃネエ >>68 肝心の鉄道で使いにくいけどな。隣の駅がブロック外だとw >>56
セブン銀行のATMで現金チャージじゃなくて?? >>70 「口座」という言葉遣いは誤解を与えるから名称として規制すべきかも >>66
郵貯は預入に制限があるからリッチなジジババはなんてことないよな・・。
お前ら貧民にとっては重大かもしれんが・・。 まずドコモがドコモユーザー以外の口座を各銀行に連絡して
各銀行が預金者に連絡とればいいだけなのにな
まさかドコモユーザーでも他人名義の口座付けられるのか? >>76
政府が指定した方式を使ったのはドコモ
銀行側の認証方法については特に指定されてない 結局ドコモ口座って(チャージ)代金回収サービスなんでしょ
よく知らんけどw
ドコモ口座だけじゃない!
こんなにある収納代行サービスアプリ!
これら全てが悪用されあなたの銀行口座にこっそり紐づけされ乗っ取られたら最期、
引き落とし被害総額300万円超え!!
もうこんなの解約しよう!!
支払いツールはSUICAやクレカで十分間に合ってます!
ドコモ口座
PayPay
LINE Pay
楽天ペイ
FamiPay
Kyash
PayPal
メルペイ
PayB
pring
ゆめか
支払秘書
22 >>76 つまり、専門業者としてのノウハウゼロって事だな。 りそなのマイゲートに入会するとき、
最終残高入力を要求された。
メンド草と思ったけど、
本人認証にはいいみたいね 窓口以外では出金不能にするしか無い
引き落としの場合は金額を確認してから前日に口座に入金する
これ以外に対策は無い >>85
それ
アカウント作成時のドコモとの差を見るとボット対策の有無だけなんだよな
その対策をするだけで今回の被害は防げた >>78
資金移動業をするには資金移動業者の登録が必要
金融庁が管轄 その間はなんか額が小さいか
一気に限度までやらかしてるようだ
1週間おきに大規模が来てる感じ
もうバレたから変えてくるだろうけど次の火曜は怪しい 銀行も、もう暗証番号やめて指紋認証とか顔認証取り入れろよ 金融庁は対応失敗したな
ドコモに許可を出すべきじゃなかった >>85
根本的には、
甘いセキュリティー方針の銀行口座解約だろ。 >>12
たぶんマイナポイントとかの絡みで国から「やれ!」てごり押しされてたんじゃないかな
あの会見の「俺らを責められても…俺らが悪いんとちゃうし」感を見たら特にそう思う >>50
中国銀行は10万円以上のチャージがあった口座の保有者に電話するとのこと ■ このスレッドは過去ログ倉庫に格納されています