ドコモ口座の不正利用の説明会開催
- モバイル・ITアプリ/WEB
- docomo
現時点で66件1800万が被害額。金融機関と連携して全額補償予定
被害者は非ドコモ契約者で本人確認が取れていなかった。
今後はeKYCを今月末までに実施。SMS認証も可及的速やかに行う。
現時点というのは金融機関からの通報があったものをまとめたから。
※10日正午段階
25 件のコメント
コメントするには、ログインまたはメンバー登録(無料)が必要です。
現時点で66件1800万が被害額。金融機関と連携して全額補償予定
被害者は非ドコモ契約者で本人確認が取れていなかった。
今後はeKYCを今月末までに実施。SMS認証も可及的速やかに行う。
現時点というのは金融機関からの通報があったものをまとめたから。
※10日正午段階
なんで通信会社が銀行みたいなことをしているのか。少額決済向けに規制緩和をしたのが裏目に出てしまったのか。
被害にあった銀行とあわなかった銀行との違いは?
--
piyolog
ドコモ口座を悪用した不正送金についてまとめてみた
https://piyolog.hatenadiary.jp/entry/2020/09/08/054431
今となってはキャッシュカードの現物を持っているという前提での大胆な簡素化ですので、これを電子データのみの利用にも流用する発想が大胆過ぎるといおうか、怖いもの知らずといおうか・・・
口座番号と名義は公開されて4桁の番号だけ当てれば良い( ゚Д゚)
ワンタイムパスワード・SMS認証も無い
いつの時代やねん(; ・`д・´)
--
「ドコモ口座」不正出金で注目 「リバースブルートフォース攻撃」ってどんなもの?
https://news.yahoo.co.jp/articles/4be25ae1a727820b69432f1442f4d6f9e1397db0
ドコモが取った対策は
「上限を100万円から30万円に減額」。
りそなはそれでドコモ口座への対応取り止め。
銀行側の認証が甘い、と言うのも確かですけど、ドコモ側の無策が過ぎると思います。悪党に犯罪用ツールを提供してた、と言われても仕方がありません。
以前のSBやセブンのやらかしと同じで、セキュリティ意識が無さ過ぎですよ。
[参考記事]
『ドコモ口座、被害1200万円 昨年5月にりそなでも―ドコモが会見へ』
(時事)
https://www.jiji.com/sp/article?k=2020091000315&g=eco
mineo Aシムなら本人確認資料なし現金220円で買えるというのに。
まあ、eKYCを乗り越えるのはちょっときついけど
>ゆうちょ銀行の場合、氏名と生年月日と口座番号とキャッシュカードの暗証番号の四項目があればドコモ口座と口座連携ができる。
う~む、確かに緩いですね。
今回のeKYCも銀行口座と突合しないのが弱いんですよね。本人確認資料を送って、それを金融機関と照合する手を使えば確実ですが時間がかかる……と。
月30万円引き出されるけど、今後行われることはないだろう的な対応に恐ろしさを感じました。
今、不正に使われた口座は、来月も金を抜かれる可能性がありますし、まだ抜かれてない口座も、今月から毎月30万円抜かれる可能性があるということです。
…普通、口座を全部切り離して、eKYC(でも他人の身分証明書、または捏造したもので通る可能性がないともいえない)済みのアカウントで再結合を促すという方法を取るべきなんじゃないかと思います。
まぁ、ドコモ口座でeKYCをやったとしても、それが銀行の身分証明と一致しているかどうかは確認することはしないと言い切っていたので、そこも穴になりかねません。
d払い自体はオンラインでもいいと思いますが、ドコモ口座は店頭でしか手続きできないようにするべきだろうと思うのですが。
解約を店頭でしか手続きできないようにするぐらいなんだから、やってもいいだろって思うんですが。
自分が儲けるためなら、無関係な人を犠牲にしてもいいって発想がもうやばい経営陣だなと思いましたよ。
eKYCで他人の身分証明書を使うのは本人映像も撮るのでちょっと難しい。他人の画像も多分毎回指示を変えて複数回撮るでしょうし。
>ドコモ口座は店頭でしか手続きできないようにするべき
言いたいことはわかりますが、ドコモショップはすべて代理店なので、インセンティブ入れないとダメなんですよ。
まあ、フィンテック万歳とか言っているとこんなことに!といういい例になったのではないかと。
リバースブルートフォース攻撃って検知できそうな気がしますが、そんな簡単じゃないんですかね?
おそらく攻撃を受けるシステム側がリバースブルートフォース攻撃を想定した検知機構を組み込んでいて、攻撃側が単純なリバースブルートフォース攻撃を行った場合には検知が可能かもしれないとは思います。
しかし例えばこれを少し応用して、流出した氏名・口座番号のリストを複数のグループに分割され入力を試みる暗証番号もA、B、D、Eなどにグループ別けされ、攻撃のタイミングもランダムに分散されると、システム上で検知するのはとても難しくなるのでは無いでしょうか。
新ドコモ口座としてリニューアルすれば良い
契約プランなんか数時間で作れるのだから
やろうと思えばすぐでしょう。
FISCのガイドラインは基本的に金融機関向けですが、少なからず決済性サービスに絡む場合は検討しておいて当たり前の前提条件だと思っていたのですが、やってなかったんでしょうね.....。
●金融機関等コンピュータシステムの安全対策基準・解説書(第9版令和2年3月版)【PDF版】(公益財団法人 金融システム情報センター)
https://www.fisc.or.jp/publication/book/004426.php
※有料です。(¥3,000-)
ドコモ口座がこれらの前提を考慮してなかったということは、それ以前にキャリア決済などでも docomoが前述ガイドラインなどを考慮してない、と考えられても仕方がないですね。お粗末。
日本社会って国も企業もそんなんばっかり。