アカウント名:
パスワード:
http://docomokouza.jp/detail/faq/?category=deposit [docomokouza.jp]まず、チャージ用には本人名義の口座しか登録出来ないドコモ口座側は銀行側に遷移してそちらで本人確認が完了したら戻ってきてねって仕様になっている。なので、七十七銀行の側の本人確認が口座番号と暗証番号だけになってるからこういうパスワードスプレー攻撃でぶっこ抜かれた
で、銀行コードはわかるし代理店コードも公開情報だから総当たりで銀行コード+代理店コード+口座番号があれば全銀ネットワークの振り込み処理の途中までで名前はわかるので同一名称は事実上セキュリティにならない。
だから、ハードウェアトークンなり最近だとスマホアプリによる本人確認なんかが必須なんだけどそれがないのか登録していない口座でも登録出来てしまったのでこうなってる。
ドコモ側の落ち度としてはなんか変なBOT動作している奴を検知して弾かなかった事が問題だけどまぁ多方面にサービスしてる場合に、IPを変えて何度もアクセスされても気づかないしパスワードスプレーだと一回エラーだったら抜けるので「古い口座登録しようとして忘れたのかな?」って考えるので対応しないよね後はまぁサービス拡大のためにテンプレート的なセキュリティを銀行に強制しなかったのも問題ではあるんだけど銀行側も古いところはやろうともしないのに新しい物に飛びついて利用者拡大とか夢見てるのもあるからなんともいえん・・・あ
正直古い銀行、ネットバンクの仕様がイケてない所は使うのやめようって話が主かなぁ
> 正直古い銀行、ネットバンクの仕様がイケてない所は使うのやめようって話が主かなぁ なんというか、地銀大整理の流れに沿ったニュースだなぁと...
ち、地銀最大手の浜銀は頑張ってるから!!!
横浜銀行は都銀気取りだから、千葉銀が実質地銀一位。
……だったのも今は昔。
メガバン3社体制が固まった今、実質地銀首位はりそな。
七十七銀行と浜銀は勘定系システムを共同利用しているわけですが……
https://www.nttdata.com/jp/ja/news/services_info/2019/051700/ [nttdata.com]
都市銀もイケイケすぎるとログインが面倒なので、急を要さない少額の振り込みとか「出勤ついでにATMで振り込むか」ってなる。
自分、りそなのソフトウェアトークンがスマホでマトモに動かず、振り込みが出来なくなった。仕方ないからコンビニATMで対処している。アンインストールして再度登録したら1回だけ動いたりはするんだが、数回やって面倒に。二段階認証程度ならまだ使えたのだろうけど。
正直、もうメインはネット専業銀行にしてしまっている。ソニー銀行ならセブンATMで月数回出金無料だしスマホアプリで認証も送金手続きもやった物が出てくるのでプッシュするだけで楽
ジャパンネット銀行とかも、ネット銀行の老舗だけあってWebサイト使い易いし不自由ないしいいよ。スマホアプリが行けてなくてWebなのと、PayPay銀行に改名予定なことだけがネック。
同じネット銀行でも、新生銀行は残高見るだけでもパスワードカードとか要求されて糞面倒くさい。それセキュリティ意味あるのかと問い詰めたい。っていうかそのうち解約予定。
2019年末には勝手のドコモ口座が開設されたという報告が多数上がっている。(ドコモ自身も認識している)んでここまで放置していたわけなんですが。情状酌量の余地は無いように思いますが。
代理店コードじゃない、支店コードだった
生年月日はFBから漏れたりで本人確認足り得ない場合があるからなぁ
むかあああしひろみちゅがポンタ規約だかで燃え上がってましたねw誕生日は秘密情報だから人に教えんな!みたいなの
昔の話ですね
口座番号の把握は特別給付金の申請情報でもまとめて盗んだのかな。思い返せばアレ、うちに来た奴は封筒の透かし見対策とかも無かったし、口座番号だけでは入金のみで引き出せないと見て管理がザルな自治体も多かろう。通帳表紙のコピーを要求されてバックドア仕掛けられたコピー機使っちゃった奴も居るだろう。
そろそろ締切だから提出されるだろう口座番号はあらかた出揃ったろうし、あんまり寝かしてると他の奴がこの攻撃して穴が塞がれてしまうから、同じリーク元にリーチ出来る攻撃者同士でタイミング読み合ってただろうし。
口座番号の把握なんてそんなリスク取らなくってわかるよ桁数わかってるし親コメでもいってるように銀行コードと支店コード、口座種別(この場合は全て普通だろう)で口座番号総当たりすれば氏名は全銀ネットワーク経由の口座情報取得で手に入る
振込先の名義人を確認できるサービスはあるから不可能ではないと思うが口座番号総当たりなんかは対策されてんじゃないの。可能なら口座番号名簿作って逆引きできるようにしたい。ドコモ口座不正なんかよりはるかにヤバくねーか?
もちろん対策されてて、オンラインバンキングサービスとかで、振込先口座番号から氏名を表示するのは、実際の振り込みをしないで氏名の表示だけやりまくると暫く表示されなくなる。でもゆっくりやりまくったり複数の口座から照会するとかをやればやれないこともないよね。
暗証番号トライに失敗してロックがかかっても、時間がたつと自動解除されてしまうのも問題だよね。新生銀行だとロック解除は自動ではなく、コールセンター対応だった。
古いかどうかはどうでもいいでしょう。都市銀も地銀も統廃合を繰り返しているとはいえ古いとこばっかだし。
ドコモによれば、ドコモ口座は名義人一人に一口座しか作れないというので、自分でドコモ口座を作ってる人には無効な攻撃なのかな。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
人生unstable -- あるハッカー
えーっと・・・ (スコア:5, 興味深い)
http://docomokouza.jp/detail/faq/?category=deposit [docomokouza.jp]
まず、チャージ用には本人名義の口座しか登録出来ない
ドコモ口座側は銀行側に遷移してそちらで本人確認が完了したら戻ってきてねって仕様になっている。
なので、七十七銀行の側の本人確認が口座番号と暗証番号だけになってるからこういうパスワードスプレー攻撃でぶっこ抜かれた
で、銀行コードはわかるし代理店コードも公開情報だから総当たりで銀行コード+代理店コード+口座番号があれば
全銀ネットワークの振り込み処理の途中までで名前はわかるので同一名称は事実上セキュリティにならない。
だから、ハードウェアトークンなり最近だとスマホアプリによる本人確認なんかが必須なんだけどそれがないのか
登録していない口座でも登録出来てしまったのでこうなってる。
ドコモ側の落ち度としてはなんか変なBOT動作している奴を検知して弾かなかった事が問題だけど
まぁ多方面にサービスしてる場合に、IPを変えて何度もアクセスされても気づかないし
パスワードスプレーだと一回エラーだったら抜けるので「古い口座登録しようとして忘れたのかな?」って考えるので対応しないよね
後はまぁサービス拡大のためにテンプレート的なセキュリティを銀行に強制しなかったのも問題ではあるんだけど
銀行側も古いところはやろうともしないのに新しい物に飛びついて利用者拡大とか夢見てるのもあるからなんともいえん・・・あ
正直古い銀行、ネットバンクの仕様がイケてない所は使うのやめようって話が主かなぁ
Re:えーっと・・・ (スコア:1)
> 正直古い銀行、ネットバンクの仕様がイケてない所は使うのやめようって話が主かなぁ
なんというか、地銀大整理の流れに沿ったニュースだなぁと...
Re: (スコア:0)
ち、地銀最大手の浜銀は頑張ってるから!!!
Re:えーっと・・・ (スコア:1)
横浜銀行は都銀気取りだから、千葉銀が実質地銀一位。
……だったのも今は昔。
メガバン3社体制が固まった今、実質地銀首位はりそな。
Re: (スコア:0)
七十七銀行と浜銀は勘定系システムを共同利用しているわけですが……
https://www.nttdata.com/jp/ja/news/services_info/2019/051700/ [nttdata.com]
Re: (スコア:0)
都市銀もイケイケすぎるとログインが面倒なので、急を要さない少額の振り込みとか「出勤ついでにATMで振り込むか」ってなる。
Re:えーっと・・・ (スコア:2, 興味深い)
自分、りそなのソフトウェアトークンがスマホでマトモに動かず、振り込みが出来なくなった。
仕方ないからコンビニATMで対処している。
アンインストールして再度登録したら1回だけ動いたりはするんだが、数回やって面倒に。
二段階認証程度ならまだ使えたのだろうけど。
Re: (スコア:0)
正直、もうメインはネット専業銀行にしてしまっている。
ソニー銀行ならセブンATMで月数回出金無料だし
スマホアプリで認証も送金手続きもやった物が出てくるのでプッシュするだけで楽
Re: (スコア:0)
ジャパンネット銀行とかも、ネット銀行の老舗だけあってWebサイト使い易いし不自由ないしいいよ。
スマホアプリが行けてなくてWebなのと、PayPay銀行に改名予定なことだけがネック。
同じネット銀行でも、新生銀行は残高見るだけでもパスワードカードとか要求されて糞面倒くさい。
それセキュリティ意味あるのかと問い詰めたい。っていうかそのうち解約予定。
Re:えーっと・・・ (スコア:1)
2019年末には勝手のドコモ口座が開設されたという報告が多数上がっている。(ドコモ自身も認識している)
んでここまで放置していたわけなんですが。
情状酌量の余地は無いように思いますが。
Re: (スコア:0)
代理店コードじゃない、支店コードだった
Re: (スコア:0)
生年月日はFBから漏れたりで本人確認足り得ない場合があるからなぁ
Re: (スコア:0)
むかあああしひろみちゅがポンタ規約だかで燃え上がってましたねw
誕生日は秘密情報だから人に教えんな!みたいなの
Re: (スコア:0)
昔の話ですね
Re: (スコア:0)
口座番号の把握は特別給付金の申請情報でもまとめて盗んだのかな。
思い返せばアレ、うちに来た奴は封筒の透かし見対策とかも無かったし、
口座番号だけでは入金のみで引き出せないと見て管理がザルな自治体も多かろう。
通帳表紙のコピーを要求されてバックドア仕掛けられたコピー機使っちゃった奴も居るだろう。
そろそろ締切だから提出されるだろう口座番号はあらかた出揃ったろうし、
あんまり寝かしてると他の奴がこの攻撃して穴が塞がれてしまうから、
同じリーク元にリーチ出来る攻撃者同士でタイミング読み合ってただろうし。
Re: (スコア:0)
口座番号の把握なんてそんなリスク取らなくってわかるよ
桁数わかってるし親コメでもいってるように
銀行コードと支店コード、口座種別(この場合は全て普通だろう)で
口座番号総当たりすれば氏名は全銀ネットワーク経由の口座情報取得で手に入る
Re: (スコア:0)
振込先の名義人を確認できるサービスはあるから不可能ではないと思うが口座番号総当たりなんかは対策されてんじゃないの。
可能なら口座番号名簿作って逆引きできるようにしたい。ドコモ口座不正なんかよりはるかにヤバくねーか?
Re: (スコア:0)
もちろん対策されてて、オンラインバンキングサービスとかで、振込先口座番号から氏名を表示するのは、
実際の振り込みをしないで氏名の表示だけやりまくると暫く表示されなくなる。
でもゆっくりやりまくったり複数の口座から照会するとかをやればやれないこともないよね。
Re: (スコア:0)
暗証番号トライに失敗してロックがかかっても、時間がたつと自動解除されてしまうのも問題だよね。
新生銀行だとロック解除は自動ではなく、コールセンター対応だった。
Re: (スコア:0)
古いかどうかはどうでもいいでしょう。都市銀も地銀も統廃合を繰り返しているとはいえ古いとこばっかだし。
Re: (スコア:0)
ドコモによれば、ドコモ口座は名義人一人に一口座しか作れないというので、
自分でドコモ口座を作ってる人には無効な攻撃なのかな。