9月初め、NTTドコモの電子決済サービス「ドコモ口座」を使った預金の不正な引き出しが明らかになった。9月11日午前0時時点で被害件数は73件、被害総額は約1990万円に上る。被害が確認されているのは七十七銀行や中国銀行、大垣共立銀行など地方銀行を中心とする計12行だ。
(略)
ドコモは再発防止策として、ドコモ口座に銀行口座を登録する際にこれまでのメールアドレスによる認証だけでなく、携帯番号宛に認証に必要な番号をSMS(ショートメッセージサービス)で送信する二要素認証を「可及的速やかに導入する」(ドコモ)。さらに「eKYC(Electronic Know Your Customer)」と呼ばれる、運転免許証など本人確認書類を撮影し提出するシステムを9月末までに導入する予定だ。
スマホ決済業者間の競争が激しくなる中、ドコモは回線契約者以外への決済サービスの拡大を急いだことが裏目に出た。通信会社系では、KDDIの「au PAY」やソフトバンク系の「PayPay」があるが、いずれもアカウント開設時にSMSによる二要素認証を実施している。さらに口座を連携する際に「自社の基準に照らし、(今回被害を出しているような)認証要素の少ない銀行に関しては、当社側の仕組みでeKYCを通さないと入金できないようにしている」(PayPay広報)という。
不正にチャージされたお金を使えないようにするには、スマホ決済業者がセキュリティ強化でせき止めなければならない。ドコモの場合、それが不十分だった。
二要素認証を”省いた”銀行
2つ目の問題は銀行側にある。銀行口座とドコモ口座をつなぐ際に、セキュリティの弱い方法を用いていた。
被害が確認された12の銀行は、「Web口座振替受付サービス(以下Web口振)」というシステムで口座接続をしていた。接続に必要なのは氏名、口座番号、生年月日、4桁の暗証番号。それらの情報を不正に入手すれば、第三者が勝手に口座接続ができる状態だった。
銀行口座と外部サービスを接続する際にセキュリティを高めるうえで、二要素認証は欠かせない。ドコモ口座との接続でも二要素認証を用いる銀行はあった。
現時点で被害の出ていないみずほ銀行は、自社のインターネットバンキングを経由して、ドコモ口座と接続しており、取引ごとに使い捨ての「ワンタイムパスワード」を発行していた。インターネットバンキングを契約していない顧客には認証の条件として物理的な通帳を求めており、通帳に記帳されている最終残高を入力しなければならない方式を取っている。
(略)
つまり、今回の事件はドコモ側、銀行側それぞれのセキュリティに対する甘さが招いたものだ。前出の徳丸氏は「お互いに、相手が(本人確認を)やってくれるだろうという意識が確実にあった」と指摘する。
事件発覚後、両者が危機意識を高めて協力しあう状況にはなっていない。ドコモはWeb口振の利用について「各銀行がそれぞれの事情で決める話」(丸山副社長)としている。銀行側は「われわれは(Web口振の)システムに乗っかっているだけ。セキュリティはある程度(ドコモなどの)決済事業者に依存してしまう」(中堅地銀行員)と言ってのける。
セキュリティ強化を相手に委ねる形でサービスを続けていては、同様の問題が発生しかねない。ひとまずドコモは対応策を示し、ほかの決済事業者の水準に合わせた形だ。今後は地銀を中心とする銀行側の対応姿勢が問われそうだ。
https://news.yahoo.co.jp/articles/aed47980cdccb25bde6b0cbffbee1b61f910d496
ドコモは最近なんか強引な印象を受けてた
ロクに説明をせずにインターネット料金をドコモの支払いと統一しろと言ってきたりな
金融庁は何やってはるの?
取り敢えず悪事の根源のドコモロを業務停止にしなきゃ
被害が広がるばかりじゃ・・
新しいVtuber Motareアイ?
記帳めんどくさかったわ
銀行がなんとかしてればー
アホか
どちらかが対策するべきじゃなくてどちらも対策するべき
しかも殿様商売
本業なのにセキュリティ甘い銀行も同罪
銀行「ドコモがチェックしてくれてるだろうからヨシ!」
企業が人材をダメにしているることが一番わかる事例
銀行口座を管理しているのはどこか?
こんな映画みたいな盗まれ方して、
これからも商売続けようとか図々しいにもほどがある
資格ねえよ
非公表の銀行があるからそうと断定できなくなった。
二段階認証が突破されてたとすると被害者が悪いということになってしまうが
二段階認証は漏洩情報では突破できない
ワンタイムパスワードじゃなくて通帳の残高記入を二段階めにしている銀行があったような。
生年月日なら2段階というのはどうだろう?
生年月日や暗証番号は一要素認証
二段階でもない
通帳の残高0で紐付されて入金されたらチャージされたんじゃないかと思っている。
俺も給料出たら全額おろしているから。
赤信号みんなで渡れば怖くないの精神
想定外とか冗談ではないぞ
NTTの犯罪だろ
今だに知らん顔w
危機管理がない
ドコモ口座だけじゃない!
こんなにある収納代行サービスアプリ!
これら全てが悪用されあなたの銀行口座にこっそり紐づけされ乗っ取られたら最期、
引き落とし被害総額300万円超え!!
もうこんなの解約しよう!!
支払いツールはSUICAやクレカで十分間に合ってます!
ドコモ口座
PayPay
LINE Pay
楽天ペイ
FamiPay
Kyash
PayPal
メルペイ
PayB
pring
ゆめか
支払秘書
17
Suicaも匿名で作れて同じ銀行チャージするくせに
JRのカードでクレジットカード決済だろ?
銀行チャージもできるよ
スイカも銀行チャージできんの?
現金とクレカでしかチャージしたことなかったわ
データ通信用のSIMだと本人確認の義務無いんだってさ
ドコモ後手後手
業務停止にしろ
実はものすごく危ないのか?
それらも手続きに本人確認などなかったような・・・
今回のドコモ口座と何が違うのだ?
ネット通販でアカウントにクレカを登録するのも同じじゃないか?
なんでそっちは危険じゃないの?
他人の水道料金を払わされる危険があるってこと??
来月も記帳継続か・・・
もう当然、ドコモ口座と銀行口座の新規ひも付けは停止されてるのじゃないの?
今大丈夫ならもう大丈夫じゃないのか?
今回はドコモは開きっぱなしだったからな
そこそこ銭ある高齢者は絶対気づかん
被害者の弁護士に「フィッシング詐欺に引っかかったお前の雇い主も悪い」と盗まれた15万のうち10万をドコモと銀行で出す三本一両損解決法をとり公にせず隠してた
だから今回も「また情報抜かれた間抜けが騒いでるんだろ」と軽視してたら被害が予想以上にデカくてお上が動いてしまった
連絡するコストが莫大すぎるな
印鑑をなくすのはいいけど、代わりの多要素認証の認証方式を構築するか銀行は真剣に考えてね
本人確認はまた別の話
引用元: ・https://asahi.5ch.net/test/read.cgi/newsplus/1599978194/
コメントを残す