JavaScriptを有効にしてお使いください
JavaScriptの設定方法はこちらの検索結果を参考にしてください
八尾市議会議員がマイナンバーカードを偽造され携帯電話を機種変更されてPayPayが使われてと被害が拡大と。ネットに生年月日とか公開されている方って著名人には一定数いると思うけどそういう情報から見直さないと行けないのかな?
>> pmaker さん
>> さと さん
>> 5gh さん
>> 1953生まれ さん
>> 谷 勝弘 さん
>> 404@QueSeraゝ さん
>> pd019Ac さん
メンバーがいません。
機種変更したら、PayPayを使えてしまう?
何故だろう?
PayPayのパスワードが、生年月日になっていたのかな?
ソフトバンクカードを勝手に契約されて使われたって、どこの銀行口座引き落としになっていたんだろう?
ソフトバンクカードって、携帯料金引き落としとか出来るんですかね?
ソフトバンクカードは、スマホ料金と合算支払いなのですね。機種変更されたら使われちゃうのか。https://www.softbank.jp/card/about/
PayPayにソフトバンク系列の電話回線認証をしていたら、乗っ取られちゃうんだ。こわー、氏名と携帯番号と生年月日知られてソフトバンクだったら、簡単に乗っ取られちゃうとは。
PayPay
「MNPや同じ携帯電話番号で機種変更をした場合」
https://paypay.ne.jp/help/c0028/
保険証や郵便物の偽造などもっと簡単だから、機種変の確認の適切な厳格化(複雑化)が必要なら議論すればよいかと思います
>PayPayで5万円オートチャージされ
>ソフトバンクカードもぜんぜん使ったことないのですが、オートチャージできるみたい
使ってないのにオートチャージ設定しとくなと!
#もしくはパスワードのお漏らし
>銀座の高級腕時計店で、しかも店頭受け取り
>ふだん使っていないヤフーショッピング
>VISAのクレジットカードもすぐに停止した
これはどういうメカニズムですかね
クレカに言及してるから、クレカ番号やらCVCやらパスワードを今回と関係なく漏らしてんじゃないの?(つまり1段目認証)って思いますね
#あとでのんびりヤフコメでも眺めてみるか
今まで、どこかのサイトの会員登録で生年月日を入れたりしていましたが、今後は重要でないサイトでは、嘘の年月日の方が良いかも?
私はイラスト素材などのダウンロードサイトをよく使うので、あちこちに会員登録をしていますが、どこかに流出していたら怖いですね。
>> pmaker さん
上のコメントにも書きましたが、PayPayは、電話番号を乗っ取られたら、回線認証でログインされて、チャージでも何でも出来てしまうんです。
また、ソフトバンクカードは、アプリをインストールして、ソフトバンク回線を持っていたらすぐ使えるんです。
被害者が悪いわけではないです。
>> さと さん
マジですか!ならば、PayPayの方がザルっぽいですが、PayPayはパスワードなしでインストール/ログイン出来るシステムでしたっけ?
同ソフトバンクカードもパスワード認証いらないのですか!
ちょっと怖いですね
>> pmaker さん
上のコメントに書きましたが、機種変更はソフトバンク回線で認証すればOKみたいです。https://king.mineo.jp/my/3abf38ff978e9267/reports/272949/comments/5191341/reply#comment_section
「MNPや同じ携帯電話番号で機種変更をした場合」
https://paypay.ne.jp/help/c0028/
>> さと さん
後のリンクを見るとログイン時にパスワードを入れるかと思いますなのでパスワードが漏れてなければ大丈夫なのでは?
追加認証が標準で使われるようになりそうです、ドコモ系列のeSIMはこの認証とEIDが必要で他キャリアよりセキュリティは高くなると思います。
https://faq.ahamo.com/faq/show/630?category_id=41&site_domain=default
私の場合はSoftBank本家は高齢の父用のキッズフォン2のみの契約
ですが、キッズフォン・みまもりケータイのプランはまとめて
支払いやソフトバンクカードが使えない仕様で、スマートログイン
も自動バックアップ時に自動生成のyahooIDに紐付けされるので
利用はせずに、別の電話番号で利用中のyahooIDに紐付け変更
してますが気をつけたいと思います。
>> さと さん
Yahooショッピングのクレジットなら分かりますが
ショッピングローンだと
記載事項が多いので
簡単には通らない気がします。
Yahooショッピングの
登録情報だけで通ったとすると
かなり怖いですが
なので,余計入り口を
厳しくしないと、ですが、
最初の機種変更で本人確認を
怠った可能性が大、ですね。
(紛失した、なら警察に紛失届けを
出したのを,確認したのか、
支払いのクレカを,再確認したのか、
とか、とかとか)
免許証だと免許番号でバレるので
腫れ物扱いのマイナンバーにしたのかも?
(本人以外番号見るな、となっているので)
記事はマイナカード下げですが対策はマイナカード推進だろね(^^)
でも、paypayなりの決済システムがお金を預かってるのですから、こちらのsms利用の可否含めたセキュリティの方が本題だと思います
ただ、僅かな時間で複数の決済手段がやられてるのはこの人のパスワード管理やらが甘いんじゃないの?と疑うところでもありますが、、
他山の石としたいのでそのメカニズムには興味あります
>> pmaker さん
回線認証や、Yahoo連携済みの場合、パスワード無しでできるっぽいですよ。リンク先の下方に書いてあります。そうでなくパスワード必須たとしたら、今回の被害者はパスワードを生年月日にしていたか、パスワードがPayPayから漏洩していたか、他社との使いまわしをしていたか、フィッシング詐欺で漏洩していたか、という事になります。
私も後でYahoo連携で試してみます。
>> pmaker さん
今試してみました。ソフトバンク回線を持っていないのでYahoo連携でPayPayにログインを試みたところ、PayPayのパスワード無しでYahooにログインしただけで、PayPayが使えるようになりました。
という事は、ソフトバンクの回線があれば回線認証だけでPayPayのパスワード無しで、PayPayが使えるのだと思いますよ。
>> 5gh さん
何のローンなのか書いていないのでわかりませんが、「回線を止めたのにローンの審査が通ったのが問題だ」と、被害者が言っていると書いてありますね。だとするとソフトバンク系列のサービスでのローンなのか。
単なる消費者金融とかなら、回線関係ないですもんね。
>> pmaker さん
ざっと見る限りは、被害者のパスワード管理の問題では無さそうですよ。ソフトバンク回線さえあれば、PayPayでもプリペイドカードでも何でも出来ちゃうシステムになっています。
ソフトバンク系列は回線を乗っ取られたら終わりですね。
>> 5gh さん
Yahooショッピングのローンと書かれていますね。https://smart-flash.jp/sociopolitics/284675/1/1/
で自宅に配送されるようになっていたと。
うちの旦那もヨドバシドットコムに不正ログインされて高いカメラを注文されたのですが、自宅配送になっていたそうですよ。
自宅前で待ち構えて受け取ろうとしていたんでしょうか、怖過ぎる。(未然にヨドバシドットコムが詐欺を感知して注文キャンセルされて被害はありませんでしたが)
>> さと さん
検証ありがとうございます>パスワード無しでYahooにログイン
ログインにパスワード不要なのでしょうか?
ソフバン回線だとパスワード無しになるって事ですかね
>> さと さん
自宅配送って何で?と思いましたが、
怖いですね😱。
ヨドバシだとクレジットカードでしょうか。
二段階認証は導入されていなかった、
と思いました。
二段階認証でも携帯番号乗っ取られたら
どうしようもありませんが😰
SIMスワップが騒がれる中でSIM紛失じゃなく機種変更でSIMスワップできてる事も店の油断につながってるのかな?と。
■paypayのパスワードについて
paypayのパスワードは実はあまり意味がないです。携帯番号連携が上位の認証方法なので、SIM(電話番号)を乗っ取られたら paypayのログインで「パスワードを忘れた」→SMSに再設定URL 通知 → 再設定→ログインできちゃいます。
なのでSIMスワップされたらPayPayもYahooIDも持って行かれちゃう可能性大です。
PayPayのパスワード再発行はメールアドレス設定してあるとまず最初にメールアドレスの方に再設定URLが来ると思います。メールが受け取れない人はSMSって事になるので、そのPayPayパスワード再設定メールが送られてきた瞬間に気づければ「今誰かが乗っ取ろうとしてる」とわかります。 が、、、そのメールアドレスがスマホのメアドだとそもそもSIM乗っ取られていてるので、スマホがWiFiにつながってる状態じゃないとメールも来ないので気づけません(^_^;
使ってるPayPayアカウントを捨てると同時にpaypayに使ってた電話番号も解約するような場合は、必ずpaypayアカウントを解約する事。
番号は変えるけどpaypayは使い続けるなら新しい電話番号にすぐ変える事。
犯罪ではなく解約した番号が次の人に渡ったらその人がpaypayにログインできちゃうので、個人情報とか利用履歴とか全部見れちゃいます。クレカの設定とかが残ったままになってしまうかは未経験なのでわからないですがログインはできてます。名前や生年月日、設定してるメアドとかも見れます(^_^;
LINEの場合は再利用番号対策でパスワードなしでのログインだと過去の情報は一切出ないようになってましたよね?
>> pmaker さん
Yahooはパスワードの代わりに携帯番号で認証が出来ます。
(パスワードレスにできる)
他にも携帯番号にワンタイムパスワードを
送るサイトも多いので
ので携帯番号を乗っ取られると
相当危険です。
デバイス制限はかけた方が良いです。
(特定のデバイスからしかログイン出来ない)
なので、なおさら本人確認は徹底しないと。
(元の端末無しの機種変更なんて
怪しんで当然)
>> 5gh さん
ヨドバシのクレジットカード購入は確認のメールが即来ますよ、それにカード手続きの完了メールに配送完了のメールと3通のメール確認されますけどね!>> 1953生まれ さん
そうでした😅バーチャルカードにしているので
たまに、利用可能額が足りない、
と言うのがきます😅
クレカも通知の来るものにしてます。
以前通知が無い時代に,
ヨドバシカードで限度額いっぱいまで
不正利用されて、それでも
停止にならなかったので😰
そこが問題かな?
マイナンバーカードの問題てなくて
ICチップや暗証番号で確認する運用を
していない、と言うのを突かれましたね。
登録しているカメラ屋さんは
マイナンバーカードを本人確認に
使ってないです。
何で?と思いましたが、
店が番号を確認出来ないので
目視だけだと偽造出来るから
ですかね。
>> 谷 勝弘 さん
携帯会社は契約時に4桁の暗証番号を設定させています。身分証明があったとしても、その暗証番号を端末などでお客さんに入力してもらうという過程があったのかどうかが気になってます。SIMの再発行や機種変での再発行時にその暗証番号を使わないのであれば、何の為に暗証番号が存在するのか?という話になってきますよね。
>> pmaker さん
>ログインにパスワード不要なのでしょうか?PayPayのパスワードではなく、Yahooのパスワードでログインになります。私はYahooはパスワードレスの登録をしているので、生体認証でログインできるようにしているので、faceIDとSMS認証で通りました。
Yahooに端末のEID登録をしていない場合は、Yahooのパスワードとメール認証になるんじゃないかなと思います。
つまりPayPayのパスワードは無くてもYahoo連携でログインできるという事を言いたいわけです。
それとは別に、「ソフトバンク回線でログイン」を選択したら、たぶんPayPayのパスワードが無くても、回線認証(SMS?)でログインできると思われます。私はソフトバンク回線が無いので試せませんが。
>> 404@QueSeraゝ さん
ここのサイトには、https://news.yahoo.co.jp/articles/ed1aecf74ef80609d6df4484895181770f5d1992
「携帯電話の機種変更には「名前・生年月日・電話番号」と免許証や保険証、マイナンバーカード等の身分証明書が必要だが、議員の場合、生年月日などの個人情報を明らかにしていることも多い。」
と書かれていますねー。4桁番号のことは書かれていません。
ドコモの場合、ネットワーク暗証番号は、「オンラインでの」機種変更に限り必要みたいですが、窓口の機種変更ではいらないのかな?
https://www.docomo.ne.jp/support/password_network/
ソフトバンクの場合は情報が見つからず、わかりません。
>> さと さん
身分証明書の方がたった4桁の暗証番号より信用あると思ってる節はありそうですよね。暗証番号忘れたって言えば身分証明書でOkになりそうですからね。照会先のない券面だけの身分証明書なんて、多重確認書類の内の1つにしかならない気もするのだけど(^_^;
その記事の所に「保険証」って書いてあるのが怖いですね。今もまだ使えるんでしょうかね?
前にも店頭で免許証かなんかでベトナム人が成りすましてSIMスワップしたとかあったと思うので、今回の件は店の確認の決まりごとが甘いんだろうと思える事と、paypayって電話番号の再利用対策を考えてないんだなってのが確認できた感じです。
>> 404@QueSeraゝ さん
>電話番号の再利用対策考えてないんだなというのは、前同じ番号を使っていた人のPayPayに入れちゃう、とかですかねー?
PaPayで「yソフトバンク云々でログイン」ってすると、Wi-Fiを切ってください、自動ログインします、と出るのですが、マイソフトバンクで番号が生きているかチェックするのかな。
前の人が回線を解約した時に、PayPayも解約にならないんですかね。
Yahooショッピングは、回線を止めてもローン審査が下りたそうなので、回線の解約とショッピングは連動していなさそうですね。
>> 5gh さん
なんと!2段階になってないのかあソフバン以外もそうならpaypay の利用を考えて直すレベルですね
>> さと さん
>PayPayのパスワードは無くてもYahoo連携でログインなるほど、私としてはスマホだけで突破されるのか?が関心事だったので連携認証は連携元がしっかりしてれば良いと考えるのでシステム設計としてセーフな案件ですね
>回線認証(SMS?)でログイン
こっちはアウトと考えます
これが事実なら脆弱性が露呈したと考えます
ソフバンだけなら私は良いですが、他社もならpaypayの利用を再考ですね
>> さと さん
入れると思います。ソフトバンクやYahooのログインとかは外部サービス連携だと思うのでちょっと置いといて、一般的な方法だとして。
Aさんが自分のPayPayに設定していた電話番号を何らかの理由で解約してしまったとします。
そのPayPayは使ってないのでそのままアプリ削除。または使ってるけどPayPayの[アカウント]-[詳細]に登録してる電話番号を変えずに放置してた。
この場合、Aさんの解約した番号が再利用されてBさんに渡った場合、BさんがPayPayをインストールして新規ではなく「ログイン」を選んで電話番号を入れ「パスワード忘れ」でSMSを要求すれば再設定URLがSMSに届くのでパスワードを再設定すればその電話番号が登録されているPayPayに入れると思います。
残高無しで放置してるならまだしも、利用中なのに番号変更忘れて放置してたら残高ごと乗っ取られるかも。パスワード忘れて出再ログインした後でもその前のチャージ設定や外部連携がそのまま残るかどうかはわかりません。
さっき1年ほど前にログアウトして放っておいた余りのPayPayアカウントに、当時設定していた電話番号でパスワード忘れ の方法でログインしてみました。
特に問題なくログインできました。この番号(povo)を1年前と同様に私が持ってるか他人に渡ったのかをpaypayが知る由もないですよね?
なので電話番号が自分の手から離れる形になる時、それをPayPayに登録してたら必ず新しい物に変えておく事。
不要になったPayPayを捨てる場合は、できればそこに登録してる電話番号が生きてるうちにPayPayアカウントを解約しておく。解約の時の本人認証がSMSだと思うけどもう手元にない電話番号の場合は何らかの方法があると思います。
が、アカウント解約時に登録してた電話番号は180日間PayPayに登録できなくなるので、手持ちの電話番号などを使う時はそれも踏まえた注意が必要。
なんか説明が下手ですみません(^_^;
>> pmaker さん
Paypayってめっちゃ簡単にチャージできるよね。オートチャージへの変更のタップ3つくらいしか要らないし。
>> pmaker さん
今、Yahooログインを色々試してみましたが、携帯電話番号+SMS認証でもログインできました。電話回線認証の方は、マイソフトバンクのWebサイトで認証されるみたいですね。
「Wi-Fi OFFして自動ログイン」
「携帯電話の回線状態から自動で本人確認を行い かんたんにログインすることができます。」
と書いてあります。SMS認証があるかどうかはわかりませんでした。
>> 404@QueSeraゝ さん
確かに、パスワードリセット・再設定の時に、SMS認証しか無いとすれば、前使用者のPayPayを乗っ取れてしまいますね。SMSと合わせて、メール認証とか、生年月日とか、何か別の個人情報で確認しないと。
と思って調べると、本当にSMS認証しかしていないですね。パスワードリセット。
https://paypay.ne.jp/help/c0016/
これは本当にテキトー過ぎるセキュリティですね。
Yahooのページみると、スマホからはスマートログインをONにするとソフバンの番号だけで認証出来るっぽい(PCには項目がない)。こいつが番号奪うだけでなんでも出来る設定ですかね・・
Yahooのログインとセキュリティのところをみると、SMS認証、メール認証、生体認証、ワンタイムパスワードとか設定があって、
パスワードを有効+メール認証(+ワンタイム?)
パスワードを無効+SMS認証(+ワンタイム?)
って感じかなあ
生体認証は設定済みになってるけど使った覚えがないなあ・・・
あと、パスワード有効にすると、無効にしてSMS認証使いなさい(安全だから)ってメッセージが出ます
https://support.yahoo-net.jp/SccLogin/s/article/H000012671
>> pd019Ac さん
ですよねー生年月日を公開しない
携帯番号は電話用のメイン番号を認証に使わない
(認証専用の電話番号を持つ)
くらいしか回避策が見当たりません。
povoで認証専用回線をもう1つ持とうかなー。
携帯番号は割と多くの人に知られているので、今後認証に使わない方が良いと思いました。
マイナンバーカードを目視確認で本人確認を完了したようですね。
1Cチップ読み取り機械があれば不正が判明出来るようですね。
ウイルスが駆除できたら自公に票を入れる謎思考が解消されるでしょう。
「一般情報の一元管理」と「個人情報(認証、信用、アカウントなどを含む)の一元管理」を混同しちゃってるのがそもそもの間違いであることに気付けないと詐欺の手助けになってしまうだけ。
* 秘密にもできる 生年月日などの個人情報を公開した場合、実質的に単要素認証化してしまう
対策としては、プライバシー重視 とは全く逆行しますが、顔・指紋・静脈 などの生体認証情報を、認証サーバー側にも保存する などが考えられます
(端末内の生体認証情報のリセットは比較的容易だが、認証サーバー上の生体認証情報改ざんは 困難**)
** 運用状況次第
以前はソフトバンク社内協議しますと書かれていましたが。
チャージとは、携帯料金合算のPayPayチャージのことですかね?
PayPay5万とソフトバンクカード13万だったと思うので、その両方じゃないかと思います。
どちらも まとめて支払い でオートチャージにしてたんじゃないのかな?
>> 404@QueSeraゝ さん
よく覚えていますねー。ソフトバンクは、そもそもショップでの機種変更時の本人確認が甘かったと社長が謝罪していたようですね
ネットでかなり叩かれていたっぽいので、補填してくれたのでしょうねー。
このニュースが飛び込んできました。
ソフトバンクショップのチェックがいい加減なだけですね。
ソフトバンク&PAYPAYを利用する人は
SIMスワップ対策を取った上で契約しないと駄目なのかな。
ソフトバンク回線 及び PAYPAYに登録の電話番号は
SMS認証には利用しない回線にするしか対策は無いかな?
ソフトバンクとの直回線は解約して
mineoSプランのシングルとPOVOにした方が対策になるかな?