金融庁、不正預金引き出し問題で本人確認が不十分ならサービスを停止するよう要請 45
ストーリー by nagazou
回りくどいけど 部門より
回りくどいけど 部門より
金融庁は15日、相次ぐ不正預金引き出しを受けて、すべての銀行や資金移動業者に対し、本人確認が不十分なサービスに関しては、サービスを停止するよう要請したそうだ(金融庁、朝日新聞、ケータイ Watch)。
金融庁のリリースはわかりにくいが、
金融庁のリリースはわかりにくいが、
- 資金移動業者のアカウントと銀行口座を連携し、口座振替を行うプロセスに脆弱性がないかを確認すること
- 問題や脆弱性が見出だされた場合は認証強化を行うこと
- 認証強化を行うまでは、新規連携や銀行口座からの資金のチャージを一時停止すること
- また被害が発生した場合は、真摯に対応すること
などが要点となっており、本人確認が不十分な場合はいったんサービス止めろということらしい。
また各金融機関に対し、14日に発表された全国銀行協会による「資金移動業者の決済サービス等での不正出金への対応について」も参考にするよう求めている。
チャージ停止 (スコア:1)
ドコモ:「1日13000件の利用があり止められない」
金融庁:「とっとと止めろ」
ドコモはバカだ。
Re: (スコア:0)
ドコモが止める必要はない。銀行がドコモに対して止めればいいだけ。
Re: (スコア:0)
金融庁は資金移動業者に対しても止めろと言ってる
Re: (スコア:0)
そりゃあねぇ、実際に金もってるところがあんだけガバガバなら入口側も止めないと話にならないですし
Re: (スコア:0)
不正送金の温床になっているから本人確認が出来ているドコモユーザー以外のアカウントは
本人確認が済むまでポイント確認以外は凍結にした方がいい。
ドコモ以外の他サービスも同様
つまりドコモ口座は停止ですね (スコア:0)
無関係な人に記帳させてないで早くサービス停止してください。
三菱UFJなのでAC。
Re:つまりドコモ口座は停止ですね (スコア:1)
UFJも以前は登録出来た [yahoo.co.jp]んだよな。
当時紐づけてあれば、PayPayに移管した現在でも使える。
Re:つまりドコモ口座は停止ですね (スコア:1)
三菱UFJだけ連携できないんですよね。
理由はなんなのだろう。
米国にグループ会社がり米国の何らかの法律(マネロン関係?)に合致していないから、とかかな。
Re:つまりドコモ口座は停止ですね (スコア:2, 参考になる)
三菱UFJ銀行は外為専門であった東京銀行の流れを引く銀行で、
アメリカに法人を持っているのでマネロン規制が強いという話ですが、
他の大手銀行も当然アメリカに法人を持っています
三菱UFJは2年前に北朝鮮へのマネロンに絡んでアメリカ当局から怒られたので [nikkei.com]、
他より内規が厳しくなった、とも言われています
Re: (スコア:0)
>他の大手銀行も当然アメリカに法人を持っています
りそな「アメリカ?(謎の頭痛)」
Re: (スコア:0)
そう書いてある。
https://news.livedoor.com/article/detail/16008718/ [livedoor.com]
というかこれ読んで言ってる?
Re: (スコア:0)
ドコモ口座って、要するにpaypal.com のパクリでしょ?
こういうサービスを、ドコモが初めて開始したみたいな話になっている。
https://www.paypal.com/jp/webapps/mpp/support/set-up-bank [paypal.com]
真摯な対応をしていない (スコア:0)
> •また被害が発生した場合は、真摯に対応すること
こんな要請を出す(出さなきゃいけない)ってのが、情けない。
Re:真摯な対応をしていない (スコア:1)
「真摯」ってなんだろう?
https://k-tai.watch.impress.co.jp/docs/news/1276286.html [impress.co.jp]
によると、「不正チャージかどうかを判断できるのは、銀行かユーザーだけで、ドコモ側では把握できない」という。だがこれは銀行側も同じなのではないか?
「真摯に対応したが、不正かどうかは確認できなかったので保証はしません」
ということでよろしいという金融庁のお墨付きなのだろうか?
Re:真摯な対応をしていない (スコア:1)
そもそも本人確認できなければ連携するななんて、金融庁に言われることが銀行や資金移動業者にとって大恥でしょう(恥と感じることができるなら)。
Re: (スコア:0)
従来だと「暗証番号の管理は利用者の責任、当行による漏洩でなければ補償なし」だったからね。
Re:真摯な対応をしていない (スコア:1)
https://www.bk.mufg.jp/info/security/fusei_hikidashi/index.html [bk.mufg.jp]
この手の不正支払は、法的には金融機関が補償するんじゃないのかな。その先ドコモ等に請求するにしても。
Re: (スコア:0)
本人確認して承認したのは銀行なんだし請求出来ないと思うんだけど
Re: (スコア:0)
Re: (スコア:0)
実は地味にキツい縛りに読める
Re: (スコア:0)
お、お願いします
地銀さえ信用しなければ・・・ (スコア:0)
https://www.chigin-cns.co.jp/services/web_service/summary.php [chigin-cns.co.jp]
地方銀行より本人確認情報が取得できます。
Re: (スコア:0)
むしろ取得した本人確認情報と連携元の個人情報を照合すべきだったんじゃないの?
Re: (スコア:0)
そうすると、子供の携帯費用を親の口座から引き落とすとか、旦那の口座から奥さんが振り込む、みたいなサービスが禁止されてしまう。
Re: (スコア:0)
そーゆーケースでは互いが同意してるかどうかの認証をもう一段追加みたいな感じでやればいいんじゃね?
Re: (スコア:0)
正当な手順を踏めばできます。まあ携帯屋とか大学からもらったペラい紙に記入するだけで済むので本人確認が取れているかというと微妙。
Re: (スコア:0)
今回も「正当な手順」だったのでは?
Re: (スコア:0)
って書かれているし、これを素直に解釈すると収納企業(ドコモ等)は登録された口座はきちんと本人確認されてるよっていうことがわかるだけで、
きちんと突き合わせることが出来るだけの情報が取得できるわけではないのでは?
つまりドコモ口座は序章に過ぎなかったんだ! (スコア:0)
信頼している会社経由からの引出なので手続きがザルだったわけで、本人確認は会社が行うものだったという当たり前の話ですね。
施行規則六条一項トに準拠しているのが金融機関としても望ましいんじゃないのかなぁ?
※多分時間かかるけど
Re: (スコア:0)
>信頼している会社経由からの引出なので手続きがザルだったわけで、本人確認は会社が行うものだったという当たり前の話ですね。
こういうストーリーにしないと銀行燃えるからねぇwww
Re: (スコア:0)
「収納機関に期待して、決済機関としての義務をサボってました」としか聞こえんが。
Re: (スコア:0)
だったら、今現在信頼出来なくなって会社に対して引き出しを継続しているのは何故かって話ですよ
Re: (スコア:0)
後ろ盾ないと止められんよ。
タイミング (スコア:0)
HUAWEIのスマホ撤退ニュースとかぶるようにこの件、次々判明してますね。
決済時期を見極めて大量にブルートハックを仕掛け、速攻撤退しているあたり、組織だった犯行ではないかとも言われてます。
どこの組織なんでしょうね。国レベルなのかなと。
Re:タイミング (スコア:1)
すごいのきた!
SBI証券 顧客の6つの口座から計9864万円が流出と発表
https://www3.nhk.or.jp/news/html/20200916/k10012621171000.html [nhk.or.jp]
手口は全く違うのだが金額がデカい。
Re: (スコア:0)
ログインパスワードと取引パスワードを破って、偽造で作った銀行口座へ出金という。
プロフェッショナルな仕事だ・・
Re: (スコア:0)
安全圏にいたと思われてた三菱UFJも不正口座作られてる案件
Re: (スコア:0)
内部犯行を先に疑った方がいい
Re: (スコア:0)
いや、ブルートハックが初期の推測で、少なくともドコモでは発生していなかったことは確認済みですよね。
また不正出金の時期も昨年8月から数件づつお極めて小規模であることも判明しています。
多くのサービスのなかでドコモが今気が付いたのも偶々で、そちらの方面からの陰謀論は難しいのではないでしょうか…
# 日本の個人情報や金融機関が、組織犯罪により日々危険に曝されている!なら理解できますが
Re: (スコア:0)
新潟県だかからの不正なリクエスト云々って話はどうなったんじゃろ?
Re: (スコア:0)
どうやって確認したのだろう?発生して「いる」証明は例を一つ出せば終わりだが、「いない」証明は悪魔の証明になってしまうはず。調査方法はどうやったのかドコモは明らかにしているのだろうか?
リバースブルートフォースが、「暗証番号固定」で「口座番号を次々に変える」ものと言われているようなのだが、暗証番号は通常1万通りしかないわけで、別に固定しなくてもいい。毎回別の番号にしても1万回繰り返せば一人くらいは当たる。連続で試すと引っかかるならば、乗っ取ったアカウントを複数用意して時間を置いてばらばらに試す分散攻撃の可能性もある。効率は悪いだろうが「ない」と言い切れるだろうか?根拠はどこにあるのだろう?
Re: (スコア:0)
個々の口座について、認証失敗の回数をカウントすればいいだけ。
Re: (スコア:0)
口座を変えながら、暗証番号はランダムに毎回選べば、よく使われる番号でない分効率は落ちるが、口座ごとに1/10000の確率であたりを引くことができる。口座番号は毎回変わるので、各口座の失敗回数は1回。暗証番号も毎回違うので各番号の失敗回数もほぼ1回。(正しくは、10000回の試行で1回も試されない暗証番号が約3700、ちょうど1回試すものも約3700、2回以上試されるものが2600ほど)
エラーが増えるために攻撃を受けていることはわかるが、どの番号が狙われているか、どの口座が狙われているのかはわからない。あとは攻撃を行っているIPアドレスを特定できるかどうかだが、これも分散されてしまうと厳しくなるだろう。
Re: (スコア:0)
暗証番号を何回か間違えたらロックされるだろ
だから口座番号の方なんだよ
国内系全滅かな? (スコア:0)
残るはググルリンゴ尼?