パスワードを忘れた? アカウント作成

七十七銀行でドコモ口座を利用した不正な引き落し被害が相次ぐ」記事へのコメント

  • by tissues (42963) on 2020年09月08日 12時09分 (#3884669)

    http://docomokouza.jp/detail/faq/?category=deposit [docomokouza.jp]
    まず、チャージ用には本人名義の口座しか登録出来ない
    ドコモ口座側は銀行側に遷移してそちらで本人確認が完了したら戻ってきてねって仕様になっている。
    なので、七十七銀行の側の本人確認が口座番号と暗証番号だけになってるからこういうパスワードスプレー攻撃でぶっこ抜かれた

    で、銀行コードはわかるし代理店コードも公開情報だから総当たりで銀行コード+代理店コード+口座番号があれば
    全銀ネットワークの振り込み処理の途中までで名前はわかるので同一名称は事実上セキュリティにならない。

    だから、ハードウェアトークンなり最近だとスマホアプリによる本人確認なんかが必須なんだけどそれがないのか
    登録していない口座でも登録出来てしまったのでこうなってる。

    ドコモ側の落ち度としてはなんか変なBOT動作している奴を検知して弾かなかった事が問題だけど
    まぁ多方面にサービスしてる場合に、IPを変えて何度もアクセスされても気づかないし
    パスワードスプレーだと一回エラーだったら抜けるので「古い口座登録しようとして忘れたのかな?」って考えるので対応しないよね
    後はまぁサービス拡大のためにテンプレート的なセキュリティを銀行に強制しなかったのも問題ではあるんだけど
    銀行側も古いところはやろうともしないのに新しい物に飛びついて利用者拡大とか夢見てるのもあるからなんともいえん・・・あ

    正直古い銀行、ネットバンクの仕様がイケてない所は使うのやめようって話が主かなぁ

    ここに返信
    • by Anonymous Coward on 2020年09月08日 12時23分 (#3884678)

      > 正直古い銀行、ネットバンクの仕様がイケてない所は使うのやめようって話が主かなぁ
       
      なんというか、地銀大整理の流れに沿ったニュースだなぁと...

      • by Anonymous Coward

        ち、地銀最大手の浜銀は頑張ってるから!!!

      • by Anonymous Coward

        都市銀もイケイケすぎるとログインが面倒なので、急を要さない少額の振り込みとか「出勤ついでにATMで振り込むか」ってなる。

        • by Anonymous Coward on 2020年09月08日 13時24分 (#3884727)

          自分、りそなのソフトウェアトークンがスマホでマトモに動かず、振り込みが出来なくなった。
          仕方ないからコンビニATMで対処している。
          アンインストールして再度登録したら1回だけ動いたりはするんだが、数回やって面倒に。
          二段階認証程度ならまだ使えたのだろうけど。

          • by Anonymous Coward

            正直、もうメインはネット専業銀行にしてしまっている。
            ソニー銀行ならセブンATMで月数回出金無料だし
            スマホアプリで認証も送金手続きもやった物が出てくるのでプッシュするだけで楽

            • by Anonymous Coward

              ジャパンネット銀行とかも、ネット銀行の老舗だけあってWebサイト使い易いし不自由ないしいいよ。
              スマホアプリが行けてなくてWebなのと、PayPay銀行に改名予定なことだけがネック。

              同じネット銀行でも、新生銀行は残高見るだけでもパスワードカードとか要求されて糞面倒くさい。
              それセキュリティ意味あるのかと問い詰めたい。っていうかそのうち解約予定。

    • by Anonymous Coward on 2020年09月09日 11時47分 (#3885398)

      2019年末には勝手のドコモ口座が開設されたという報告が多数上がっている。(ドコモ自身も認識している)
      んでここまで放置していたわけなんですが。
      情状酌量の余地は無いように思いますが。

    • by Anonymous Coward

      代理店コードじゃない、支店コードだった

    • by Anonymous Coward

      生年月日はFBから漏れたりで本人確認足り得ない場合があるからなぁ

      • by Anonymous Coward

        むかあああしひろみちゅがポンタ規約だかで燃え上がってましたねw
        誕生日は秘密情報だから人に教えんな!みたいなの

    • by Anonymous Coward

      口座番号の把握は特別給付金の申請情報でもまとめて盗んだのかな。
      思い返せばアレ、うちに来た奴は封筒の透かし見対策とかも無かったし、
      口座番号だけでは入金のみで引き出せないと見て管理がザルな自治体も多かろう。
      通帳表紙のコピーを要求されてバックドア仕掛けられたコピー機使っちゃった奴も居るだろう。

      そろそろ締切だから提出されるだろう口座番号はあらかた出揃ったろうし、
      あんまり寝かしてると他の奴がこの攻撃して穴が塞がれてしまうから、
      同じリーク元にリーチ出来る攻撃者同士でタイミング読み合ってただろうし。

      • by Anonymous Coward

        口座番号の把握なんてそんなリスク取らなくってわかるよ
        桁数わかってるし親コメでもいってるように
        銀行コードと支店コード、口座種別(この場合は全て普通だろう)で
        口座番号総当たりすれば氏名は全銀ネットワーク経由の口座情報取得で手に入る

        • by Anonymous Coward

          振込先の名義人を確認できるサービスはあるから不可能ではないと思うが口座番号総当たりなんかは対策されてんじゃないの。
          可能なら口座番号名簿作って逆引きできるようにしたい。ドコモ口座不正なんかよりはるかにヤバくねーか?

          • by Anonymous Coward

            もちろん対策されてて、オンラインバンキングサービスとかで、振込先口座番号から氏名を表示するのは、
            実際の振り込みをしないで氏名の表示だけやりまくると暫く表示されなくなる。
            でもゆっくりやりまくったり複数の口座から照会するとかをやればやれないこともないよね。

    • by Anonymous Coward

      暗証番号トライに失敗してロックがかかっても、時間がたつと自動解除されてしまうのも問題だよね。
      新生銀行だとロック解除は自動ではなく、コールセンター対応だった。

    • by Anonymous Coward

      古いかどうかはどうでもいいでしょう。都市銀も地銀も統廃合を繰り返しているとはいえ古いとこばっかだし。

    • by Anonymous Coward

      ドコモによれば、ドコモ口座は名義人一人に一口座しか作れないというので、
      自分でドコモ口座を作ってる人には無効な攻撃なのかな。

アレゲはアレゲを呼ぶ -- ある傍観者

処理中...