パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

七十七銀行でドコモ口座を利用した不正な引き落し被害が相次ぐ」記事へのコメント

  • by simon (1336) on 2020年09月08日 12時08分 (#3884668)

    『「ドコモ口座」から不正に引き出し 中国銀行で被害発生』
    https://www.asahi.com/articles/ASN983RPWN98PPZB006.html [asahi.com]

    七十七銀行に固有の問題じゃなくて、地銀ならどこでも起きるんじゃないかコレ

    • by Anonymous Coward on 2020年09月08日 12時15分 (#3884674)

      リンク先のドコモからのお知らせには
      ■対象金融機関
       ・七十七銀行
       ・中国銀行
       ・大垣共立銀行
      となってるね。

      親コメント
    • by Anonymous Coward

      地銀に限らないような…

      • by Anonymous Coward on 2020年09月08日 13時52分 (#3884742)

        多くの地銀が導入してるこれが共通点

        Web口振受付サービス
        https://www.chigin-cns.co.jp/services/web_service/index.php [chigin-cns.co.jp]

        親コメント
        • by Anonymous Coward

          ああ中小向けのシェアが高い製品に穴があったと。ありがちな話ですな。

        • by Anonymous Coward

          いつのまにこんなこと勝手にできるようにしたんや
          停止手続きしてこな

        • by Anonymous Coward

          ドコモ口座で振込できる銀行一覧がドコモのサイトにあるけど、
          実はWeb口振受付サービスを提供してる銀行全部やばくね?
          リストにない銀行でも収納機関に「株式会社NTTドコモ(dカード)」とか出てくるんですけど
          大丈夫なん?

      • by Anonymous Coward on 2020年09月08日 13時13分 (#3884714)

        都市銀行(ゆうちょ銀行もかな?)は多要素認証を強制してるんで無理だったんでしょう

        どこでも起きるという話なら、なんとかペイとかバーチャルプリペイドカードも同じように口座連携機能があるのに、どうしてドコモ口座が使われたのかってのは興味あるな。ドコモ口座だけ何か落ち度があったのか、それとも単に出金しやすいから使われただけで原理上は他のサービスでも可能なのか、とか。

        親コメント
        • 今回問題になってる紐付け方法は「Web口振受付サービス」 [chigin-cns.co.jp]というもので、
          従来、紙で申請していた口座振替(銀行引き落とし)の申し込みをネットで行えるようにしたもの。
          なので、インターネットバンキングの登録は必須ではありません。それぞれ独自で結構簡易な認証を採用してるみたいです。
          ドコモ口座の対応金融機関 [docomokouza.jp]からちょっと見たところ、

          みずほ: 暗証番号+通帳に記帳した最終残高(≠最新の残高)
                          or インターネットバンキングログイン どちらか選択
          三井住友: 詳細不明 小さいキャプチャ画像を見るかぎり、簡易認証 or インターネットバンキング どちらか選択っぽい
          ゆうちょ: 暗証番号+生年月日、インターネットバンキングログイン認証不可

          みたいな感じ。
          かなり緩い方式ですけど、生年月日とか残高とかを入力させれば、スプレー攻撃は防げそうです。

          あと、銀行側のWeb口振の情報を見ると「入力する情報は収納機関によって異なります」って記述している銀行がいくつかありました。
          また、「口座情報等を当行所定の回数相違した場合: 当日中のご利用はできませんが、翌日自動的にご利用が再開されます」と記述してる銀行もあったので、おそらくスプレー攻撃対策でIPアドレスか何かによるBANもやってる所もなるのでしょう。

          銀行によっても収納機関によっても入力する情報が変わるので、
          七十七などの銀行と、ドコモ口座との組み合わせが一番ザルだった、ってことなんでしょうか…

          親コメント
          • by Anonymous Coward on 2020年09月09日 14時47分 (#3885552)

            そもそもWeb口座振替受付サービスの仕組みは料金の収納業務(銀行=>収納機関)に使用するのが前提で、ドコモ口座の様に「銀行=>収納機関=>誰かのプリペイド口座」のような使い方は当初は想定外だったと思うんですよね。
            前者であれば信頼のおける事業者にのみサービスを提供(収納機関が攻撃者にならないことを担保)することでネットバンキングレベルのセキュリティーはいらなかったわけです。
            ところが後者は悪意のある誰かが攻撃者になりえます。

            なのでLINE PayやPayPayなどの同種事業者はアカウントに電話番号の登録(+SMS認証もしくは通話認証)を必須にして最低限の騙りへの耐性を担保しているところ、ドコモ口座は何の対策もせずアカウント作り放題だったため攻撃者の踏み台として大いに利用されてしまった、と。
            ドコモ口座も昔はドコモ回線の契約が必要だったのに途中からその制限を外したという話も聞きますので、そうだとすれば自ら大穴を開けてしまったわけでつくづくセキュリティーの難しさを思い知らされます。

            金融機関としてもWeb口座振替受付サービスの利用目的の変化に伴いセキュリティー対策の向上が求められていたところ、都銀と比較して地銀は乗り遅れているところが多そうですので結果として、

            七十七などの銀行と、ドコモ口座との組み合わせが一番ザルだった、ってことなんでしょうか…

            で合っていると思います。

            親コメント
          • by Anonymous Coward

            三井住友はインターネットバンキングの契約があれば、キャッシュカード暗証番号でのログインは不可のようでした。

            よくあるご質問 > スマホ決済アプリで銀行口座を連携するには?
            https://qa.smbc.co.jp/faq/show/3319 [smbc.co.jp]

          • by Anonymous Coward

            Web口座振替受付サービスは、マルチペイメント(マルペイ)のおまけ機能として、15年以上前に設計されたものです。
            15年間、朴訥なセキュリティの仕組みで問題なく運用できて来ていたのは、公共料金の収納というマルペイの範囲を超えなかったからです。

            しかし、この1~2年の間に出てきたQRコード決済に安易に拡大してしまった馬鹿がいた、しかも、日本マルチペイメントネットワーク推進協議会を構成するQRコード会社も銀行も政府・自治体も気が付かず、みんな馬鹿だったということです。

            au PayでWeb口座振替受付サービスを使わなかったKDDIなど、一部は気が付いていたようですが、全体的な動きにはなりませんでした。

        • by Anonymous Coward on 2020年09月09日 16時53分 (#3885682)

          ドコモ口座がターゲットになった理由は、厳密な本人確認なしでアカウントが作成できて、現金化も簡単であるからだろう。
          例えばLINE Payは現在、アカウントに本人確認書類の撮影データが必須であり、架空アカウントは基本作成できない仕様。
          みずほ銀行などと提携している関係もあり、法的義務はないが厳重に管理しているのでは。

          これは、セブンペイで問題になった前例のあるリスク(PayPayでもあったか)そのもの。それにも関わらず、対策なしでサービスを提供していた大企業ドコモ。想定できなかったで済む話ではない、不正出金を許した。ITリテラシーが低いで済む問題ではない。こういったリスクも考慮せず、ドコモと提携した金融機関にも責任がある。

          ちなみに他にもあるぞ。
          「Bank Pay」で検索してみて。デビットカード推進協議会が母体のQRコード決済。
          本人確認なしでアカウント作成できる。しかも加盟金融機関ももっと多い。
          殆ど利用されていないサービスだろうがそれが不味い。紐付けされていない口座が狙い撃ちされそう。

          コロナでも浮き彫りになったが、日本は本当にIT後進国だよ。

          親コメント
        • by Anonymous Coward
        • by Anonymous Coward

          ドコモ口座が狙われたのは、厳密な本人確認なしでアカウントを作成でき、かつ現金化も容易だからだろう。例えばLINE Payなんかは現在、アカウント利用のためには本人確認書類が必要となっているので(スマホカメラで撮影)、架空アカウントなどは基本作成できない。セブンペイと同じ原因。セブンペイであれだけ問題になったのに、大企業ドコモが知らなかった、想定していなかったでは済まない。ただ銀行側もそういうリスクも考慮せずにドコモと契約した責任はある。地方銀行の経営者の多くが、ITには疎いだろうと思われる。

      • by Anonymous Coward

        ドコモのリンク先 [docomokouza.jp]には地方銀行の名前しかないんですがそれは…

        • by Anonymous Coward

          最終的に原因等が分かって結果が出た後ならまだしも、対象となる銀行が3つだけの今の時点で「しか」って言われても…犯人像も見えてないのに

          • by Anonymous Coward

            絞って発表&受付停止ってことは、手口を把握してるってことかもよ。
            本当に何もわかってないのなら銀行口座連携全部を止める必要がある。

            • by Anonymous Coward

              ゆうちょも被害出たしどうやら場当たり的に被害報告のあった銀行を止めていただけだったみたいですね。

            • by Anonymous Coward

              結局全部止まります。

              不正利用相次ぐ「ドコモ口座」、利用可能な全35行で新規登録停止へ
              https://www.yomiuri.co.jp/economy/20200909-OYT1T50244/ [yomiuri.co.jp]

              とりあえずは新規登録停止だけど、近いうちに全取引停止になるのでは?

海軍に入るくらいなら海賊になった方がいい -- Steven Paul Jobs

処理中...