パスワードを忘れた? アカウント作成

日本電子決済推進機構の「Bank Pay」、ドコモ口座問題と同じリスクがあるとして新規受け付けを停止」記事へのコメント

  • by Anonymous Coward

    利用者は取引履歴確認を

    ドコモ口座での問題は、被害を被るのはドコモ口座を利用していない人だということが分かってます。Bank Payでも同様と思われるので、この部門名では不適当では?

    • >ドコモ口座での問題は、被害を被るのはドコモ口座を利用していない人だということが分かってます。

      これってホントなのだろうか?(被害を受ける確率は下がるとは思うけど)
      ドコモの電話契約している人は大丈夫という話も聞いたし・・・

      ドコモ口座問題の場合には、

      ・ドコモの電話番号を使ってのなりすまし登録はできない
      ・ドコモに紐づいている銀行口座は大丈夫

      だと思っているのだけれども?

      もしかして、ドコモ口座に一つでも銀行口座登録すると、所有口座が全てドコモ口座に名寄せされる?
      • by Anonymous Coward

        ドコモ口座(プリペイド)では個人ユーザが対象のため、
        複数アカウントでの同一銀行口座番号の使い回しは不可能な仕様だそうです。

        そのため自アカウントでドコモ口座と銀行口座番号を紐づけしていた、出来た場合は
        犯人に奪われることがないためドコモ口座経由では安全となります。

        ただし利用者と口座契約者が同一人物かの確認は(被害が出ている銀行では)不要なため
        暗証番号などが漏洩していた場合は、ドコモ口座に関係なく「Bank Pay」など類似サービスで被害にあう可能性はあります。

        ちなみにドコモの発表によると、犯人は暗証番号等を試行せず一発で入力成功させていた(パスワードスプレー等の形跡なし)とのことで、
        事前に名義や口座番号、暗証番号が把握されていた可能性が高いとの事です。

        • 他でもちょっと書いたんだけど

          > 「Bank Pay」もメールアドレスだけで新規アカウント作成が可能で、一部金融機関の口座と紐付けで本人確認が不十分

          BankPayもドコモ口座も確実とは言えないんだけど
          https://www.resonabank.co.jp/hojin/service/eb/urikakekin/webkouza/ [resonabank.co.jp]
          とかにもあるが Web口座振替 って 本人確認情報提供 的なのがあるので(常にかはわからないが)

          アカウントが自由に作れること : 条件つきで問題ない(と思う)
          本人確認が不十分 : 銀行に認証を回し、本人である旨の証明をしてもらってそれを受ける(なにせ 「(犯罪収益移転防止法に基づく)取引時確認を行う必要がある場合、お客さまの本人確認(氏名、住所、生年月日)資料の確認の省略等が可能です。」 だそうで)

          ということで本来的には問題は(あまり)ないはずとは思うのだが...
          ここで銀行側がアウトだとそりゃな...という気持ち。

          >> (被害が出ている銀行では)不要なため

          これは不要じゃなくて、銀行の正規の保証サービスをもって保証だと思う。
          なので、最初にプリペイドを本人情報を元に取引可能レベルに昇格するが、そこがすでに銀行側が弱いためアウトということじゃないかなと。

          (こうである保証はないが)

          --
          M-FalconSky (暑いか寒い)
          • by Anonymous Coward

            本人確認が不十分 : 銀行に認証を回し、本人である旨の証明をしてもらってそれを受ける
            (なにせ 「(犯罪収益移転防止法に基づく)取引時確認を行う必要がある場合、お客さまの本人確認(氏名、住所、生年月日)資料の確認の省略等が可能です。」 だそうで)

            今回まさにコレで、一部の銀行側では「名義人」「口座番号」と「暗証番号」(一部の報道では生年月日も)で決済証明完了としてしまった。

            銀行側の主張としては『本来、暗証番号は利用者本人しか知り得ない情報』なので問題なしだったのだろうが、上記の組み合わせが何処からか事前に漏洩していた。

            • by taka2 (14791) on 2020年09月15日 16時45分 (#3889472) ホームページ 日記

              私は池田泉州銀行(七十七/中国銀行/大垣共立の次に登録停止した14行の一つ)を使っていて、
              ちょっと前に LINE PAY のために Web口振 を申し込んだのですが、
              口座番号などと共に「通帳に記帳されている最終残高」を入力する必要がありました。
              こんなの、通帳ごと盗まれでもしないかぎり、詐称登録は無理だと思います。
              でも、ドコモ口座は比較的早々に新規登録停止に。

              で、あとは推測なのですが、地銀のWeb口振のページを見てると、
              「入力する情報は収納機関によって異なります」って書いてる銀行がいくつかありました。
              もしかしたら、同じ銀行のWeb口振でも、収納機関によって申請内容が違っていて、
              ドコモ口座の場合は、口座番号・暗証番号だけでいけたのかな、とか。
              そういう、収納機関側の本人確認のザルいところが危ない、と。

日々是ハック也 -- あるハードコアバイナリアン

処理中...