登録をしたこともない電子決済サービスに、いつの間にか自分の銀行預金で万単位の金額がチャージされていた――。
9月初め、NTTドコモの電子決済サービス「ドコモ口座」を使った預金の不正な引き出しが明らかになった。9月11日午前0時時点で被害件数は73件、被害総額は約1990万円に上る。被害が確認されているのは七十七銀行や中国銀行、大垣共立銀行など地方銀行を中心とする計12行だ。
(略)
ドコモは再発防止策として、ドコモ口座に銀行口座を登録する際にこれまでのメールアドレスによる認証だけでなく、携帯番号宛に認証に必要な番号をSMS(ショートメッセージサービス)で送信する二要素認証を「可及的速やかに導入する」(ドコモ)。さらに「eKYC(Electronic Know Your Customer)」と呼ばれる、運転免許証など本人確認書類を撮影し提出するシステムを9月末までに導入する予定だ。
スマホ決済業者間の競争が激しくなる中、ドコモは回線契約者以外への決済サービスの拡大を急いだことが裏目に出た。通信会社系では、KDDIの「au PAY」やソフトバンク系の「PayPay」があるが、いずれもアカウント開設時にSMSによる二要素認証を実施している。さらに口座を連携する際に「自社の基準に照らし、(今回被害を出しているような)認証要素の少ない銀行に関しては、当社側の仕組みでeKYCを通さないと入金できないようにしている」(PayPay広報)という。
不正にチャージされたお金を使えないようにするには、スマホ決済業者がセキュリティ強化でせき止めなければならない。ドコモの場合、それが不十分だった。
二要素認証を”省いた”銀行
2つ目の問題は銀行側にある。銀行口座とドコモ口座をつなぐ際に、セキュリティの弱い方法を用いていた。被害が確認された12の銀行は、「Web口座振替受付サービス(以下Web口振)」というシステムで口座接続をしていた。接続に必要なのは氏名、口座番号、生年月日、4桁の暗証番号。それらの情報を不正に入手すれば、第三者が勝手に口座接続ができる状態だった。
銀行口座と外部サービスを接続する際にセキュリティを高めるうえで、二要素認証は欠かせない。ドコモ口座との接続でも二要素認証を用いる銀行はあった。
現時点で被害の出ていないみずほ銀行は、自社のインターネットバンキングを経由して、ドコモ口座と接続しており、取引ごとに使い捨ての「ワンタイムパスワード」を発行していた。インターネットバンキングを契約していない顧客には認証の条件として物理的な通帳を求めており、通帳に記帳されている最終残高を入力しなければならない方式を取っている。
(略)
つまり、今回の事件はドコモ側、銀行側それぞれのセキュリティに対する甘さが招いたものだ。前出の徳丸氏は「お互いに、相手が(本人確認を)やってくれるだろうという意識が確実にあった」と指摘する。
事件発覚後、両者が危機意識を高めて協力しあう状況にはなっていない。ドコモはWeb口振の利用について「各銀行がそれぞれの事情で決める話」(丸山副社長)としている。銀行側は「われわれは(Web口振の)システムに乗っかっているだけ。セキュリティはある程度(ドコモなどの)決済事業者に依存してしまう」(中堅地銀行員)と言ってのける。セキュリティ強化を相手に委ねる形でサービスを続けていては、同様の問題が発生しかねない。ひとまずドコモは対応策を示し、ほかの決済事業者の水準に合わせた形だ。今後は地銀を中心とする銀行側の対応姿勢が問われそうだ。
https://news.yahoo.co.jp/articles/aed47980cdccb25bde6b0cbffbee1b61f910d496- どっちも悪い
- 移動決済サービス業て怪しすぎ
- 役所も人のこと言えないよね
- ドコモ潰れたらええねん
記帳めんどくさかったわ - ドコモがなんとかしてればー
銀行がなんとかしてればーアホか
どちらかが対策するべきじゃなくてどちらも対策するべき - 電話屋が金融やりたがるから
しかも殿様商売
- >>7
本業なのにセキュリティ甘い銀行も同罪 - >>13
政府が指定した方式だぞ? - >>76
やっぱり、安倍一味の仕業かよ?! - >>78
資金移動業をするには資金移動業者の登録が必要
金融庁が管轄 - >>76
政府が指定した方式を使ったのはドコモ
銀行側の認証方法については特に指定されてない - >>76 つまり、専門業者としてのノウハウゼロって事だな。
- ドコモ「銀行がチェックしてくれてるだろうからヨシ!」
銀行「ドコモがチェックしてくれてるだろうからヨシ!」 - 日本の一番優秀な人材を集めてもこの体たらく
企業が人材をダメにしているることが一番わかる事例 - 地銀、責任逃れようとドコモ叩きしてるだろ
- どっちもどっち詭弁だな。ドコモがまず悪いのに
- >>1
ドコモは最近なんか強引な印象を受けてた
ロクに説明をせずにインターネット料金をドコモの支払いと統一しろと言ってきたりな - 盗まれたのは銀行の金という本質
銀行口座を管理しているのはどこか? - >>14 そう盗まれたのは銀行の金。盗んだのはドコモ。通帳に犯行声明が書いてある
- だから銀行もドコモも免許取り消せって
こんな映画みたいな盗まれ方して、
これからも商売続けようとか図々しいにもほどがある
資格ねえよ - 見えないドコモロ座を見ようとして望遠鏡を取り出した
あの頃の僕は全力で少年だった - 二段階認証してた銀行は被害受けてないからな
- >>17
非公表の銀行があるからそうと断定できなくなった。 - >>30
二段階認証が突破されてたとすると被害者が悪いということになってしまうが - >>35 あるいは大規模な同時多発的情報漏洩、大事件だな
- >>38
二段階認証は漏洩情報では突破できない - >>40 それを突破されたら大事件だろう
- >>48
ワンタイムパスワードじゃなくて通帳の残高記入を二段階めにしている銀行があったような。 - >>49 多要素認証は、ゆうちょに被害があれば突破事例があるとみていいんだろうか
- >>52
生年月日なら2段階というのはどうだろう? - >>57
生年月日や暗証番号は一要素認証
二段階でもない - >>35
通帳の残高0で紐付されて入金されたらチャージされたんじゃないかと思っている。
俺も給料出たら全額おろしているから。 - さすが大勢で違反してれば責任がウヤムヤになる国
赤信号みんなで渡れば怖くないの精神 - システム更新ではボロボロだったみずほだが、汚名挽回したな
- 被害額も大したことないし、どうせ保険で賄えるしっていうのが本音?
- 去年コンビニがしくじったことを学んでいない
想定外とか冗談ではないぞ
NTTの犯罪だろ
今だに知らん顔w
危機管理がない - 銀行が対策しない限りドコモ以外でも起こる
- バックドアみたいなのを仕掛けたドコモが全責任取れよ
- SMS認証も本人確認にはならないらしい
データ通信用のSIMだと本人確認の義務無いんだってさ
ドコモ後手後手
業務停止にしろ - 欲を出したんだな。
- >>1
金融庁は何やってはるの?
取り敢えず悪事の根源のドコモロを業務停止にしなきゃ
被害が広がるばかりじゃ・・ - 先週記帳をして来たが
来月も記帳継続か・・・ - >>32 記帳ではわかるのは、被害後の痕跡。予防にならない。マスクと似てるな
- >>32
もう当然、ドコモ口座と銀行口座の新規ひも付けは停止されてるのじゃないの?
今大丈夫ならもう大丈夫じゃないのか? - JAって意外としっかりしてんだな
- 地銀のガバガバも問題だが
今回はドコモは開きっぱなしだったからな - 既に紐付け終わってるから毎月の給料日感覚で薄く長く引き落としていくだけだろ
そこそこ銭ある高齢者は絶対気づかん - ドコモは去年同じ事件起きた時、公にして提携銀行に二段階認証徹底するよう呼びかければ良かったのに
被害者の弁護士に「フィッシング詐欺に引っかかったお前の雇い主も悪い」と盗まれた15万のうち10万をドコモと銀行で出す三本一両損解決法をとり公にせず隠してた
だから今回も「また情報抜かれた間抜けが騒いでるんだろ」と軽視してたら被害が予想以上にデカくてお上が動いてしまった - 何か対策されてんの?いまだにドコモ回線が使えるんだけど
- >>1
新しいVtuber Motareアイ? - 昨年、問題ばれた時にサービス停止して改善してればなあw
- 提携銀行がドコモコウザへ送金履歴のある口座の預金者全てに連絡すればいいのに何でしないの?
- >>50
連絡するコストが莫大すぎるな - >>58
でも今の自己申告だとジジババ絶対気付いてないだろ
特にゆうちょ銀行に預けてるジジババ - >>66
郵貯は預入に制限があるからリッチなジジババはなんてことないよな・・。
お前ら貧民にとっては重大かもしれんが・・。 - >>77
保険にしているよな。 - ドコモの契約者じゃないのにドコモ口座を作れるのを止めればいい
- >>54 それだとauペイにすら負けるな、商売にならないんだろうな
- わかったからさっさと停めてメンテをやれよ。こんな危ないサービスを放置とか有り得んだろ
- どれだけ批判されてもサービス停止しないドコモw
- 届出印を押印するのは多要素認証になっているからね
印鑑をなくすのはいいけど、代わりの多要素認証の認証方式を構築するか銀行は真剣に考えてね本人確認はまた別の話
- 銀行は超ザルとはいえ一応暗証番号かけてるけど
ドコモは何かしてたの? - 何の間の言ってスイカが優れていることがわかった
- >>68 肝心の鉄道で使いにくいけどな。隣の駅がブロック外だとw
- ドコモロ座というストリップ劇場・・。
- >>69
ストリップ劇場って絶滅寸前じゃないのか - ドコモのデタラメ口座をどーするか一切ネエ
これから強化すりゃOKなんかじゃネエ - >>70 「口座」という言葉遣いは誤解を与えるから名称として規制すべきかも
- まずドコモがドコモユーザー以外の口座を各銀行に連絡して
各銀行が預金者に連絡とればいいだけなのになまさかドコモユーザーでも他人名義の口座付けられるのか?
- 抜き方を見てると次は15日辺りに気をつけな
- 結局ドコモ口座って(チャージ)代金回収サービスなんでしょ
よく知らんけどw - りそなのマイゲートに入会するとき、
最終残高入力を要求された。
メンド草と思ったけど、
本人認証にはいいみたいね - 窓口以外では出金不能にするしか無い
引き落としの場合は金額を確認してから前日に口座に入金する
これ以外に対策は無い - その間はなんか額が小さいか
一気に限度までやらかしてるようだ1週間おきに大規模が来てる感じ
もうバレたから変えてくるだろうけど次の火曜は怪しい
- 銀行も、もう暗証番号やめて指紋認証とか顔認証取り入れろよ
- 金融庁は対応失敗したな
ドコモに許可を出すべきじゃなかった - ドコモロ丼を盗み食った奴は誰?
- 責任取らない気まんまん
「ドコモ口座」不正被害に見たもたれ合いの唖然 ドコモと金融機関の両方に責任と甘さ
ニュー速+
コメント