1 :2020/09/13(日) 15:23:14.36 ID:Jx1lC4sw9.net
9月初め、NTTドコモの電子決済サービス「ドコモ口座」を使った預金の不正な引き出しが明らかになった。9月11日午前0時時点で被害件数は73件、被害総額は約1990万円に上る。被害が確認されているのは七十七銀行や中国銀行、大垣共立銀行など地方銀行を中心とする計12行だ。
(略)
ドコモは再発防止策として、ドコモ口座に銀行口座を登録する際にこれまでのメールアドレスによる認証だけでなく、携帯番号宛に認証に必要な番号をSMS(ショートメッセージサービス)で送信する二要素認証を「可及的速やかに導入する」(ドコモ)。さらに「eKYC(Electronic Know Your Customer)」と呼ばれる、運転免許証など本人確認書類を撮影し提出するシステムを9月末までに導入する予定だ。
スマホ決済業者間の競争が激しくなる中、ドコモは回線契約者以外への決済サービスの拡大を急いだことが裏目に出た。通信会社系では、KDDIの「au PAY」やソフトバンク系の「PayPay」があるが、いずれもアカウント開設時にSMSによる二要素認証を実施している。さらに口座を連携する際に「自社の基準に照らし、(今回被害を出しているような)認証要素の少ない銀行に関しては、当社側の仕組みでeKYCを通さないと入金できないようにしている」(PayPay広報)という。
不正にチャージされたお金を使えないようにするには、スマホ決済業者がセキュリティ強化でせき止めなければならない。ドコモの場合、それが不十分だった。
二要素認証を”省いた”銀行
2つ目の問題は銀行側にある。銀行口座とドコモ口座をつなぐ際に、セキュリティの弱い方法を用いていた。
被害が確認された12の銀行は、「Web口座振替受付サービス(以下Web口振)」というシステムで口座接続をしていた。接続に必要なのは氏名、口座番号、生年月日、4桁の暗証番号。それらの情報を不正に入手すれば、第三者が勝手に口座接続ができる状態だった。
銀行口座と外部サービスを接続する際にセキュリティを高めるうえで、二要素認証は欠かせない。ドコモ口座との接続でも二要素認証を用いる銀行はあった。
現時点で被害の出ていないみずほ銀行は、自社のインターネットバンキングを経由して、ドコモ口座と接続しており、取引ごとに使い捨ての「ワンタイムパスワード」を発行していた。インターネットバンキングを契約していない顧客には認証の条件として物理的な通帳を求めており、通帳に記帳されている最終残高を入力しなければならない方式を取っている。
(略)
つまり、今回の事件はドコモ側、銀行側それぞれのセキュリティに対する甘さが招いたものだ。前出の徳丸氏は「お互いに、相手が(本人確認を)やってくれるだろうという意識が確実にあった」と指摘する。
事件発覚後、両者が危機意識を高めて協力しあう状況にはなっていない。ドコモはWeb口振の利用について「各銀行がそれぞれの事情で決める話」(丸山副社長)としている。銀行側は「われわれは(Web口振の)システムに乗っかっているだけ。セキュリティはある程度(ドコモなどの)決済事業者に依存してしまう」(中堅地銀行員)と言ってのける。
セキュリティ強化を相手に委ねる形でサービスを続けていては、同様の問題が発生しかねない。ひとまずドコモは対応策を示し、ほかの決済事業者の水準に合わせた形だ。今後は地銀を中心とする銀行側の対応姿勢が問われそうだ。
https://news.yahoo.co.jp/articles/aed47980cdccb25bde6b0cbffbee1b61f910d496
2 :2020/09/13(日) 15:23:43.12 ID:F2cSwatc0.net
どっちも悪い
3 :2020/09/13(日) 15:24:19.46 ID:3mWr/LQ20.net
移動決済サービス業て怪しすぎ
4 :2020/09/13(日) 15:24:51.32 ID:fg4jNFUN0.net
役所も人のこと言えないよね
5 :2020/09/13(日) 15:25:05.56 ID:TCkK11QH0.net
ドコモ潰れたらええねん
記帳めんどくさかったわ
6 :2020/09/13(日) 15:25:12.45 ID:27mOcuoX0.net
ドコモがなんとかしてればー
銀行がなんとかしてればー
アホか
どちらかが対策するべきじゃなくてどちらも対策するべき
>>6
全くだ
7 :2020/09/13(日) 15:26:05.53 ID:j7hfjUU90.net
電話屋が金融やりたがるから
しかも殿様商売
>>7
本業なのにセキュリティ甘い銀行も同罪
>>13
政府が指定した方式だぞ?
>>76
やっぱり、安倍一味の仕業かよ?!
>>78
資金移動業をするには資金移動業者の登録が必要
金融庁が管轄
>>76
政府が指定した方式を使ったのはドコモ
銀行側の認証方法については特に指定されてない
>>76
つまり、専門業者としてのノウハウゼロって事だな。
8 :2020/09/13(日) 15:26:28.47 ID:mzxC2HRf0.net
ドコモ「銀行がチェックしてくれてるだろうからヨシ!」
銀行「ドコモがチェックしてくれてるだろうからヨシ!」
9 :2020/09/13(日) 15:26:32.93 ID:GlKgNYW90.net
日本の一番優秀な人材を集めてもこの体たらく
企業が人材をダメにしているることが一番わかる事例
10 :2020/09/13(日) 15:26:46.49 ID:u+ZxNS7x0.net
地銀、責任逃れようとドコモ叩きしてるだろ
11 :2020/09/13(日) 15:26:56.50 ID:TS4taX+/0.net
どっちもどっち詭弁だな。ドコモがまず悪いのに
12 :2020/09/13(日) 15:27:03.01 ID:/7culP/d0.net
>>1
ドコモは最近なんか強引な印象を受けてた
ロクに説明をせずにインターネット料金をドコモの支払いと統一しろと言ってきたりな
>>12
たぶんマイナポイントとかの絡みで国から「やれ!」てごり押しされてたんじゃないかな
あの会見の「俺らを責められても…俺らが悪いんとちゃうし」感を見たら特にそう思う
>>99
ドコモの工作員?
>>12
あれ請求代行するだけでドコモの売り上げとして計上されるの?
14 :2020/09/13(日) 15:27:13.60 ID:BwyoGWRW0.net
盗まれたのは銀行の金という本質
銀行口座を管理しているのはどこか?
>>14
そう盗まれたのは銀行の金。盗んだのはドコモ。通帳に犯行声明が書いてある
15 :2020/09/13(日) 15:27:35.95 ID:t45wvrhP0.net
だから銀行もドコモも免許取り消せって
こんな映画みたいな盗まれ方して、
これからも商売続けようとか図々しいにもほどがある
資格ねえよ
16 :2020/09/13(日) 15:27:56.43 ID:KpjQ3cL60.net
見えないドコモロ座を見ようとして望遠鏡を取り出した
あの頃の僕は全力で少年だった
17 :2020/09/13(日) 15:28:07.30 ID:PGxz+yMP0.net
二段階認証してた銀行は被害受けてないからな
>>17
非公表の銀行があるからそうと断定できなくなった。
>>30
二段階認証が突破されてたとすると被害者が悪いということになってしまうが
>>35
あるいは大規模な同時多発的情報漏洩、大事件だな
>>38
二段階認証は漏洩情報では突破できない
>>40
それを突破されたら大事件だろう
>>48
ワンタイムパスワードじゃなくて通帳の残高記入を二段階めにしている銀行があったような。
>>49
多要素認証は、ゆうちょに被害があれば突破事例があるとみていいんだろうか
>>52
生年月日なら2段階というのはどうだろう?
>>57
生年月日や暗証番号は一要素認証
二段階でもない
>>35
通帳の残高0で紐付されて入金されたらチャージされたんじゃないかと思っている。
俺も給料出たら全額おろしているから。
18 :2020/09/13(日) 15:28:17.37 ID:RAAapsMS0.net
さすが大勢で違反してれば責任がウヤムヤになる国
赤信号みんなで渡れば怖くないの精神
19 :2020/09/13(日) 15:28:17.57 ID:mW+dspfk0.net
システム更新ではボロボロだったみずほだが、汚名挽回したな
20 :2020/09/13(日) 15:28:29.82 ID:o8GAiDEk0.net
被害額も大したことないし、どうせ保険で賄えるしっていうのが本音?
22 :2020/09/13(日) 15:29:05.90 ID:2A5yIKyR0.net
去年コンビニがしくじったことを学んでいない
想定外とか冗談ではないぞ
NTTの犯罪だろ
今だに知らん顔w
危機管理がない
23 :2020/09/13(日) 15:29:34.50 ID:PGxz+yMP0.net
銀行が対策しない限りドコモ以外でも起こる
コメント
ドコモってカーシェアでもやらかしてたよな。外車オーナーがカーシェアに登録したら借りパクされてトラブル発覚したら当人同士で話し合って下さいっていわれたやつw