パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

偽造免許証でスマホをMNPして二段階認証を突破、一千万円が引き出される被害」記事へのコメント

  • by Anonymous Coward on 2022年10月19日 14時49分 (#4346547)

    > フィッシングなどで入手したとみられるパスワードでインターネットバンキングにアクセス

    フィッシングに引っかかった利用者側の落ち度にされそうな気もするのですが、銀行によって判断が違ったりするんですかね?

    • by Anonymous Coward on 2022年10月19日 15時32分 (#4346606)

      仮にフィッシングが事実であっても、偽造免許証で携帯電話のMNPをさせたのは完全に携帯電話会社の落ち度で、そこが突破されてなければ銀行の二段階認証が機能して引き出せていないので、今回の件では本人の落ち度があったとしてもそっちが原因とは言い難いでしょう。
      二段階認証を使えば安全ですと謳って携帯電話を使った二段階認証システムを提供したのも銀行なので。

      っていうか、この事例で補填されなかったら怖すぎて銀行にお金預けられないですよ。
      パスワードが盗まれる可能性は想定してても、携帯電話が知らないところで勝手に解約されたなんてどうしようもなさすぎる。

      親コメント
      • by Anonymous Coward

        でもキャリアやスマホメーカーにしてみれば、やらかしたと言えスマホを使った認証で事故が起こっても知らんがなと言いたいだろうな。

        ちなみになんも考えずに機種変して詰みかけたことあるんだけど、
        認証にGoogle Authenticatorとか使ってるサービスなら、MNPでスマホ乗っ取られたぐらいじゃ突破は無理じゃね?

        • by Anonymous Coward

          二段階認証のトークン紛失は起き得る事態なので、リカバリーとして電話番号による認証で突破可能だと残念な事に。
          Googleアカウントの場合 [google.com]

        • by Anonymous Coward

          「スマホを使った認証で事故が起こった」ではなく「送信したメッセージが(本来の)受信者の許可無く別の宛先に転送された」ですよ。「知らんがな」ではすまない。

          • by Anonymous Coward

            >「送信したメッセージが(本来の)受信者の許可無く別の宛先に転送された」

            とは違うんじゃないかな。
            宛先は正しい。ただ持ち主が違うだけ。

          • by Anonymous Coward

            そもそも大金を扱う仕組みにスマホを使用するなんて、サービス側と利用者が勝手にやってること。
            重過失でもなきゃスマホが犯罪に使われても責任を問えないのといっしょ。

    • by Anonymous Coward

      それは只の推測であって、なんら証拠が無い。
      証拠があればそれでいいかもですが、証拠の捜索の為にもっとやばい物が見つかる可能性もあるので、協力する気は無いんでしょ。
      万が一、バグや情報漏洩だったりしたら、洒落にならないですからね。

    • by Anonymous Coward

      相当の情報をぶっこぬかれてないとここまでスムーズにはいかんやろなw
      でも自分が引っかかった時のことを考えると全額補塡されてよかったね。

    • by Anonymous Coward

      パスワード忘れたら登録したメールアドレスにワンタイムパスワード送って来る仕様とか?

      メールアカウント奪えたら、電話番号に紐づいたLINEのアカウントも奪える。
      https://guide.line.me/ja/migration/migration_c/ [guide.line.me]

    • by Anonymous Coward

      インターネットバンキングの取引認証って電話番号までじゃ成立しないイメージなんだけど、取引まで行ける銀行もあるのかな。
      携帯電話を物理的に盗難・拝借されるケースは想定されるから、強固な認証でない事はある程度認知されてると思うんだよな。

      電話番号が関与しないなら番号取られるまでもなく乗っ取られてるわけで、少し話が変わってくるし。

      • by Anonymous Coward

        フィッシングでネットバンクのID、パスワード、暗証番号まで知られてたらアウト。
        スマホでトークン発行するアプリあるけど、あれも電話番号と上の3つがあれば別端末に導入できるはずだから、そこまでクリアしちゃえば振込までいける。
        というかそこまで知られてたら、あとは住所宛に郵送か印影(届け出ない場合もある)ぐらいしか本人と第三者を区別する方法がない。
        でも多分フィッシングで口座残高知られて狙われただろうから、郵送でも多分盗られてダメだったろうな。

        最後の砦、暗証番号が知られた時点でいつ金が抜かれてもおかしくはなかったと思うよ。

      • by Anonymous Coward

        そうならないようにスマホとSIMカードにロックを掛けておくわけで

    • by Anonymous Coward

      フィッシングで入手したパスワードかどうかは犯人にしかわからないので、犯人がそう言っているのでなければ可能性として挙げているだけです。

      そもそも今どきの多要素認証なんてものは「パスワードなんて漏れるもの」という前提で作られているものです。
      一千万円なんていう多額の預金を動かすのに本人確認を徹底しなかった銀行の落ち度は大きいでしょう。

      これで補償しなかったら預金を引き上げちゃう資産家が多いと思います。

私は悩みをリストアップし始めたが、そのあまりの長さにいやけがさし、何も考えないことにした。-- Robert C. Pike

処理中...