「ドコモ口座」不正被害に見たもたれ合いの唖然 ドコモと金融機関の両方に責任と甘さ

1: 2020/09/13(日) 15:23:14.36
登録をしたこともない電子決済サービスに、いつの間にか自分の銀行預金で万単位の金額がチャージされていた――。

9月初め、NTTドコモの電子決済サービス「ドコモ口座」を使った預金の不正な引き出しが明らかになった。9月11日午前0時時点で被害件数は73件、被害総額は約1990万円に上る。被害が確認されているのは七十七銀行や中国銀行、大垣共立銀行など地方銀行を中心とする計12行だ。

(略)

ドコモは再発防止策として、ドコモ口座に銀行口座を登録する際にこれまでのメールアドレスによる認証だけでなく、携帯番号宛に認証に必要な番号をSMS(ショートメッセージサービス)で送信する二要素認証を「可及的速やかに導入する」(ドコモ)。さらに「eKYC(Electronic Know Your Customer)」と呼ばれる、運転免許証など本人確認書類を撮影し提出するシステムを9月末までに導入する予定だ。

スマホ決済業者間の競争が激しくなる中、ドコモは回線契約者以外への決済サービスの拡大を急いだことが裏目に出た。通信会社系では、KDDIの「au PAY」やソフトバンク系の「PayPay」があるが、いずれもアカウント開設時にSMSによる二要素認証を実施している。さらに口座を連携する際に「自社の基準に照らし、(今回被害を出しているような)認証要素の少ない銀行に関しては、当社側の仕組みでeKYCを通さないと入金できないようにしている」(PayPay広報)という。

不正にチャージされたお金を使えないようにするには、スマホ決済業者がセキュリティ強化でせき止めなければならない。ドコモの場合、それが不十分だった。

二要素認証を”省いた”銀行
2つ目の問題は銀行側にある。銀行口座とドコモ口座をつなぐ際に、セキュリティの弱い方法を用いていた。

被害が確認された12の銀行は、「Web口座振替受付サービス(以下Web口振)」というシステムで口座接続をしていた。接続に必要なのは氏名、口座番号、生年月日、4桁の暗証番号。それらの情報を不正に入手すれば、第三者が勝手に口座接続ができる状態だった。

銀行口座と外部サービスを接続する際にセキュリティを高めるうえで、二要素認証は欠かせない。ドコモ口座との接続でも二要素認証を用いる銀行はあった。

現時点で被害の出ていないみずほ銀行は、自社のインターネットバンキングを経由して、ドコモ口座と接続しており、取引ごとに使い捨ての「ワンタイムパスワード」を発行していた。インターネットバンキングを契約していない顧客には認証の条件として物理的な通帳を求めており、通帳に記帳されている最終残高を入力しなければならない方式を取っている。

(略)

 つまり、今回の事件はドコモ側、銀行側それぞれのセキュリティに対する甘さが招いたものだ。前出の徳丸氏は「お互いに、相手が(本人確認を)やってくれるだろうという意識が確実にあった」と指摘する。
 事件発覚後、両者が危機意識を高めて協力しあう状況にはなっていない。ドコモはWeb口振の利用について「各銀行がそれぞれの事情で決める話」(丸山副社長)としている。銀行側は「われわれは(Web口振の)システムに乗っかっているだけ。セキュリティはある程度(ドコモなどの)決済事業者に依存してしまう」(中堅地銀行員)と言ってのける。

 セキュリティ強化を相手に委ねる形でサービスを続けていては、同様の問題が発生しかねない。ひとまずドコモは対応策を示し、ほかの決済事業者の水準に合わせた形だ。今後は地銀を中心とする銀行側の対応姿勢が問われそうだ。
https://news.yahoo.co.jp/articles/aed47980cdccb25bde6b0cbffbee1b61f910d496

12: 2020/09/13(日) 15:27:03.01
>>1
ドコモは最近なんか強引な印象を受けてた
ロクに説明をせずにインターネット料金をドコモの支払いと統一しろと言ってきたりな

31: 2020/09/13(日) 15:31:40.08
>>1
金融庁は何やってはるの?
取り敢えず悪事の根源のドコモロを業務停止にしなきゃ
被害が広がるばかりじゃ・・

44: 2020/09/13(日) 15:36:40.22
>>1
新しいVtuber Motareアイ?

2: 2020/09/13(日) 15:23:43.12
どっちも悪い

3: 2020/09/13(日) 15:24:19.46
移動決済サービス業て怪しすぎ

4: 2020/09/13(日) 15:24:51.32
役所も人のこと言えないよね

5: 2020/09/13(日) 15:25:05.56
ドコモ潰れたらええねん
記帳めんどくさかったわ

6: 2020/09/13(日) 15:25:12.45
ドコモがなんとかしてればー
銀行がなんとかしてればー

アホか
どちらかが対策するべきじゃなくてどちらも対策するべき

7: 2020/09/13(日) 15:26:05.53
電話屋が金融やりたがるから

しかも殿様商売

13: 2020/09/13(日) 15:27:05.56
>>7
本業なのにセキュリティ甘い銀行も同罪

8: 2020/09/13(日) 15:26:28.47
ドコモ「銀行がチェックしてくれてるだろうからヨシ!」
銀行「ドコモがチェックしてくれてるだろうからヨシ!」

9: 2020/09/13(日) 15:26:32.93
日本の一番優秀な人材を集めてもこの体たらく
企業が人材をダメにしているることが一番わかる事例

10: 2020/09/13(日) 15:26:46.49
地銀、責任逃れようとドコモ叩きしてるだろ

11: 2020/09/13(日) 15:26:56.50
どっちもどっち詭弁だな。ドコモがまず悪いのに

14: 2020/09/13(日) 15:27:13.60
盗まれたのは銀行の金という本質
銀行口座を管理しているのはどこか?

21: 2020/09/13(日) 15:28:42.26
>>14 そう盗まれたのは銀行の金。盗んだのはドコモ。通帳に犯行声明が書いてある

15: 2020/09/13(日) 15:27:35.95
だから銀行もドコモも免許取り消せって
こんな映画みたいな盗まれ方して、
これからも商売続けようとか図々しいにもほどがある
資格ねえよ

17: 2020/09/13(日) 15:28:07.30
二段階認証してた銀行は被害受けてないからな

30: 2020/09/13(日) 15:31:28.70
>>17
非公表の銀行があるからそうと断定できなくなった。

35: 2020/09/13(日) 15:33:11.85
>>30
二段階認証が突破されてたとすると被害者が悪いということになってしまうが

38: 2020/09/13(日) 15:34:04.66
>>35 あるいは大規模な同時多発的情報漏洩、大事件だな

40: 2020/09/13(日) 15:35:17.36
>>38
二段階認証は漏洩情報では突破できない

48: 2020/09/13(日) 15:37:13.16
>>40 それを突破されたら大事件だろう

49: 2020/09/13(日) 15:39:18.02
>>48
ワンタイムパスワードじゃなくて通帳の残高記入を二段階めにしている銀行があったような。

52: 2020/09/13(日) 15:40:36.13
>>49 多要素認証は、ゆうちょに被害があれば突破事例があるとみていいんだろうか

57: 2020/09/13(日) 15:41:36.47
>>52
生年月日なら2段階というのはどうだろう?

62: 2020/09/13(日) 15:42:17.66
>>57
生年月日や暗証番号は一要素認証
二段階でもない

39: 2020/09/13(日) 15:35:10.78
>>35
通帳の残高0で紐付されて入金されたらチャージされたんじゃないかと思っている。
俺も給料出たら全額おろしているから。

18: 2020/09/13(日) 15:28:17.37
さすが大勢で違反してれば責任がウヤムヤになる国
赤信号みんなで渡れば怖くないの精神

19: 2020/09/13(日) 15:28:17.57
システム更新ではボロボロだったみずほだが、汚名挽回したな

20: 2020/09/13(日) 15:28:29.82
被害額も大したことないし、どうせ保険で賄えるしっていうのが本音?

22: 2020/09/13(日) 15:29:05.90
去年コンビニがしくじったことを学んでいない
想定外とか冗談ではないぞ
NTTの犯罪だろ
今だに知らん顔w
危機管理がない

23: 2020/09/13(日) 15:29:34.50
銀行が対策しない限りドコモ以外でも起こる

24: 2020/09/13(日) 15:29:35.08
 

ドコモ口座だけじゃない!
こんなにある収納代行サービスアプリ!
これら全てが悪用されあなたの銀行口座にこっそり紐づけされ乗っ取られたら最期、
引き落とし被害総額300万円超え!!

もうこんなの解約しよう!!
支払いツールはSUICAやクレカで十分間に合ってます!

ドコモ口座
PayPay
LINE Pay
楽天ペイ
FamiPay
Kyash
PayPal
メルペイ
PayB
pring
ゆめか
支払秘書
 
17

45: 2020/09/13(日) 15:36:45.56
>>24
Suicaも匿名で作れて同じ銀行チャージするくせに

51: 2020/09/13(日) 15:40:33.28
>>45
JRのカードでクレジットカード決済だろ?

56: 2020/09/13(日) 15:41:36.50
>>51
銀行チャージもできるよ

63: 2020/09/13(日) 15:42:37.61
>>45
スイカも銀行チャージできんの?
現金とクレカでしかチャージしたことなかったわ

25: 2020/09/13(日) 15:29:40.42
バックドアみたいなのを仕掛けたドコモが全責任取れよ

26: 2020/09/13(日) 15:29:57.75
SMS認証も本人確認にはならないらしい
データ通信用のSIMだと本人確認の義務無いんだってさ
ドコモ後手後手
業務停止にしろ

27: 2020/09/13(日) 15:30:08.39
欲を出したんだな。

28: 2020/09/13(日) 15:30:21.03
水道料金や電気料金や家賃の引き落としも
実はものすごく危ないのか?
それらも手続きに本人確認などなかったような・・・
今回のドコモ口座と何が違うのだ?

ネット通販でアカウントにクレカを登録するのも同じじゃないか?
なんでそっちは危険じゃないの?

29: 2020/09/13(日) 15:31:21.86
>>28 本人確認してないから

37: 2020/09/13(日) 15:33:32.48
>>28
他人の水道料金を払わされる危険があるってこと??

32: 2020/09/13(日) 15:31:41.13
先週記帳をして来たが
来月も記帳継続か・・・

34: 2020/09/13(日) 15:32:50.04
>>32 記帳ではわかるのは、被害後の痕跡。予防にならない。マスクと似てるな

46: 2020/09/13(日) 15:36:48.95
>>32
もう当然、ドコモ口座と銀行口座の新規ひも付けは停止されてるのじゃないの?
今大丈夫ならもう大丈夫じゃないのか?

33: 2020/09/13(日) 15:32:20.64
JAって意外としっかりしてんだな

36: 2020/09/13(日) 15:33:17.73
地銀のガバガバも問題だが
今回はドコモは開きっぱなしだったからな

41: 2020/09/13(日) 15:35:40.13
既に紐付け終わってるから毎月の給料日感覚で薄く長く引き落としていくだけだろ
そこそこ銭ある高齢者は絶対気づかん

42: 2020/09/13(日) 15:36:01.41
ドコモは去年同じ事件起きた時、公にして提携銀行に二段階認証徹底するよう呼びかければ良かったのに
被害者の弁護士に「フィッシング詐欺に引っかかったお前の雇い主も悪い」と盗まれた15万のうち10万をドコモと銀行で出す三本一両損解決法をとり公にせず隠してた
だから今回も「また情報抜かれた間抜けが騒いでるんだろ」と軽視してたら被害が予想以上にデカくてお上が動いてしまった

43: 2020/09/13(日) 15:36:04.41
何か対策されてんの?いまだにドコモ回線が使えるんだけど

47: 2020/09/13(日) 15:37:02.13
昨年、問題ばれた時にサービス停止して改善してればなあw

50: 2020/09/13(日) 15:40:20.98
提携銀行がドコモコウザへ送金履歴のある口座の預金者全てに連絡すればいいのに何でしないの?

58: 2020/09/13(日) 15:41:40.43
>>50
連絡するコストが莫大すぎるな

54: 2020/09/13(日) 15:40:49.90
ドコモの契約者じゃないのにドコモ口座を作れるのを止めればいい

60: 2020/09/13(日) 15:41:51.41
>>54 それだとauペイにすら負けるな、商売にならないんだろうな

55: 2020/09/13(日) 15:41:00.52
わかったからさっさと停めてメンテをやれよ。こんな危ないサービスを放置とか有り得んだろ

59: 2020/09/13(日) 15:41:49.34
どれだけ批判されてもサービス停止しないドコモw

61: 2020/09/13(日) 15:42:04.59
届出印を押印するのは多要素認証になっているからね
印鑑をなくすのはいいけど、代わりの多要素認証の認証方式を構築するか銀行は真剣に考えてね

本人確認はまた別の話

引用元: ・https://asahi.5ch.net/test/read.cgi/newsplus/1599978194/





コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です