アカウント名:
パスワード:
今回の根本的な原因は、銀行側のシステムが口座情報と暗証番号・生年月日でしか認証していなかったこと
仮に攻撃方法がリバースブルートフォースアタックだったとしても(自分はそうではないと思っているが)、ドコモ口座を使わなくても、電話番号などが不要で口座振替登録の可能なサイトは複数あるので、そういうサイトで登録を試行すればいいむしろ、ドコモ口座を使うよりも、複数のサイトで回すことができてバレにくそうであるその試行が成功したら、ドコモ口座や○○Payみたいな即時に口座振替されるサービスを使って、煮るなり焼くなりすればすぐに金が手に入る
こういう場合だと、SMS認証もたいして役に立たないというかSMS認証は、ログインのための手段、複数アカウントの取得防止のための手段であって、本人確認のための手段にはなりえない銀行口座登録での本人確認が信用できないなら、本人確認書類を出してもらうしかないけど、似たようなものでそういうのをやってるのは自分の知ってる限りpring [pring.jp]しか知らないドコモ口座はそれをやると言ってるけど、他社が追随するとも思えない
自主的なセキュリティと利便性だと、利用者に手間のかかるセキュアなサービスの方が負けて利便性重視のセキュリティーが杜撰なサービスが生き残ってしまうから、銀行以外の送金サービスについても法的に本人確認を義務付けた方がいいと思う。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
にわかな奴ほど語りたがる -- あるハッカー
銀行側のシステムを放置していれば、第二、第三のドコモ口座が現れるだけ (スコア:0)
今回の根本的な原因は、銀行側のシステムが口座情報と暗証番号・生年月日でしか認証していなかったこと
仮に攻撃方法がリバースブルートフォースアタックだったとしても(自分はそうではないと思っているが)、
ドコモ口座を使わなくても、電話番号などが不要で口座振替登録の可能なサイトは複数あるので、そういうサイトで登録を試行すればいい
むしろ、ドコモ口座を使うよりも、複数のサイトで回すことができてバレにくそうである
その試行が成功したら、ドコモ口座や○○Payみたいな即時に口座振替されるサービスを使って、煮るなり焼くなりすればすぐに金が手に入る
こういう場合だと、SMS認証もたいして役に立たない
というかSMS認証は、ログインのための手段、複数アカウントの取得防止のための手段であって、本人確認のための手段にはなりえない
銀行口座登録での本人確認が信用できないなら、本人確認書類を出してもらうしかないけど、似たようなものでそういうのをやってるのは自分の知ってる限りpring [pring.jp]しか知らない
ドコモ口座はそれをやると言ってるけど、他社が追随するとも思えない
Re: (スコア:0)
自主的なセキュリティと利便性だと、利用者に手間のかかるセキュアなサービスの方が負けて利便性重視のセキュリティーが杜撰なサービスが生き残ってしまうから、銀行以外の送金サービスについても法的に本人確認を義務付けた方がいいと思う。