パスワードを忘れた? アカウント作成
14331856 story
お金

金融庁、不正預金引き出し問題で本人確認が不十分ならサービスを停止するよう要請 45

ストーリー by nagazou
回りくどいけど 部門より
金融庁は15日、相次ぐ不正預金引き出しを受けて、すべての銀行や資金移動業者に対し、本人確認が不十分なサービスに関しては、サービスを停止するよう要請したそうだ(金融庁朝日新聞ケータイ Watch)。

金融庁のリリースはわかりにくいが、
  • 資金移動業者のアカウントと銀行口座を連携し、口座振替を行うプロセスに脆弱性がないかを確認すること
  • 問題や脆弱性が見出だされた場合は認証強化を行うこと
  • 認証強化を行うまでは、新規連携や銀行口座からの資金のチャージを一時停止すること
  • また被害が発生した場合は、真摯に対応すること

などが要点となっており、本人確認が不十分な場合はいったんサービス止めろということらしい。

また各金融機関に対し、14日に発表された全国銀行協会による「資金移動業者の決済サービス等での不正出金への対応について」も参考にするよう求めている。

  • by h-harry (24932) on 2020年09月16日 12時59分 (#3890053) 日記

    ドコモ:「1日13000件の利用があり止められない」
    金融庁:「とっとと止めろ」

    ドコモはバカだ。

    ここに返信
    • by Anonymous Coward

      ドコモが止める必要はない。銀行がドコモに対して止めればいいだけ。

      • by Anonymous Coward

        金融庁は資金移動業者に対しても止めろと言ってる

        • by Anonymous Coward

          そりゃあねぇ、実際に金もってるところがあんだけガバガバなら入口側も止めないと話にならないですし

          • by Anonymous Coward

            不正送金の温床になっているから本人確認が出来ているドコモユーザー以外のアカウントは
            本人確認が済むまでポイント確認以外は凍結にした方がいい。

            ドコモ以外の他サービスも同様

  • by Anonymous Coward on 2020年09月16日 12時38分 (#3890036)

    無関係な人に記帳させてないで早くサービス停止してください。
    三菱UFJなのでAC。

    ここに返信
  • by Anonymous Coward on 2020年09月16日 12時44分 (#3890042)

    > •また被害が発生した場合は、真摯に対応すること

    こんな要請を出す(出さなきゃいけない)ってのが、情けない。

    ここに返信
  • by Anonymous Coward on 2020年09月16日 12時50分 (#3890048)

    https://www.chigin-cns.co.jp/services/web_service/summary.php [chigin-cns.co.jp]
    地方銀行より本人確認情報が取得できます。

    ここに返信
    • by Anonymous Coward

      むしろ取得した本人確認情報と連携元の個人情報を照合すべきだったんじゃないの?

      • by Anonymous Coward

        そうすると、子供の携帯費用を親の口座から引き落とすとか、旦那の口座から奥さんが振り込む、みたいなサービスが禁止されてしまう。

        • by Anonymous Coward

          そーゆーケースでは互いが同意してるかどうかの認証をもう一段追加みたいな感じでやればいいんじゃね?

        • by Anonymous Coward

          正当な手順を踏めばできます。まあ携帯屋とか大学からもらったペラい紙に記入するだけで済むので本人確認が取れているかというと微妙。

          • by Anonymous Coward

            今回も「正当な手順」だったのでは?

      • by Anonymous Coward

        ・地方銀行より本人確認情報(注)を取得できます。
        (注)口座開設時に、運転免許証やパスポート等の公的書類による本人確認をしていたか否かの情報。

        って書かれているし、これを素直に解釈すると収納企業(ドコモ等)は登録された口座はきちんと本人確認されてるよっていうことがわかるだけで、
        きちんと突き合わせることが出来るだけの情報が取得できるわけではないのでは?

  • by Anonymous Coward on 2020年09月16日 12時58分 (#3890051)

    信頼している会社経由からの引出なので手続きがザルだったわけで、本人確認は会社が行うものだったという当たり前の話ですね。

    施行規則六条一項トに準拠しているのが金融機関としても望ましいんじゃないのかなぁ?
    ※多分時間かかるけど

    ここに返信
    • by Anonymous Coward

      >信頼している会社経由からの引出なので手続きがザルだったわけで、本人確認は会社が行うものだったという当たり前の話ですね。

      こういうストーリーにしないと銀行燃えるからねぇwww

    • by Anonymous Coward

      「収納機関に期待して、決済機関としての義務をサボってました」としか聞こえんが。

    • by Anonymous Coward

      だったら、今現在信頼出来なくなって会社に対して引き出しを継続しているのは何故かって話ですよ

      • by Anonymous Coward

        後ろ盾ないと止められんよ。

  • by Anonymous Coward on 2020年09月16日 13時30分 (#3890078)

    HUAWEIのスマホ撤退ニュースとかぶるようにこの件、次々判明してますね。
    決済時期を見極めて大量にブルートハックを仕掛け、速攻撤退しているあたり、組織だった犯行ではないかとも言われてます。
    どこの組織なんでしょうね。国レベルなのかなと。

    ここに返信
    • by Anonymous Coward on 2020年09月16日 17時17分 (#3890257)

      すごいのきた!

      SBI証券 顧客の6つの口座から計9864万円が流出と発表
      https://www3.nhk.or.jp/news/html/20200916/k10012621171000.html [nhk.or.jp]

      手口は全く違うのだが金額がデカい。

      • by Anonymous Coward

        ログインパスワードと取引パスワードを破って、偽造で作った銀行口座へ出金という。
        プロフェッショナルな仕事だ・・

      • by Anonymous Coward

        安全圏にいたと思われてた三菱UFJも不正口座作られてる案件

      • by Anonymous Coward

        内部犯行を先に疑った方がいい

    • by Anonymous Coward

      いや、ブルートハックが初期の推測で、少なくともドコモでは発生していなかったことは確認済みですよね。

      また不正出金の時期も昨年8月から数件づつお極めて小規模であることも判明しています。

      多くのサービスのなかでドコモが今気が付いたのも偶々で、そちらの方面からの陰謀論は難しいのではないでしょうか…

      # 日本の個人情報や金融機関が、組織犯罪により日々危険に曝されている!なら理解できますが

      • by Anonymous Coward

        新潟県だかからの不正なリクエスト云々って話はどうなったんじゃろ?

      • by Anonymous Coward

        どうやって確認したのだろう?発生して「いる」証明は例を一つ出せば終わりだが、「いない」証明は悪魔の証明になってしまうはず。調査方法はどうやったのかドコモは明らかにしているのだろうか?
        リバースブルートフォースが、「暗証番号固定」で「口座番号を次々に変える」ものと言われているようなのだが、暗証番号は通常1万通りしかないわけで、別に固定しなくてもいい。毎回別の番号にしても1万回繰り返せば一人くらいは当たる。連続で試すと引っかかるならば、乗っ取ったアカウントを複数用意して時間を置いてばらばらに試す分散攻撃の可能性もある。効率は悪いだろうが「ない」と言い切れるだろうか?根拠はどこにあるのだろう?

        • by Anonymous Coward

          個々の口座について、認証失敗の回数をカウントすればいいだけ。

          • by Anonymous Coward

            口座を変えながら、暗証番号はランダムに毎回選べば、よく使われる番号でない分効率は落ちるが、口座ごとに1/10000の確率であたりを引くことができる。口座番号は毎回変わるので、各口座の失敗回数は1回。暗証番号も毎回違うので各番号の失敗回数もほぼ1回。(正しくは、10000回の試行で1回も試されない暗証番号が約3700、ちょうど1回試すものも約3700、2回以上試されるものが2600ほど)
            エラーが増えるために攻撃を受けていることはわかるが、どの番号が狙われているか、どの口座が狙われているのかはわからない。あとは攻撃を行っているIPアドレスを特定できるかどうかだが、これも分散されてしまうと厳しくなるだろう。

        • by Anonymous Coward

          暗証番号を何回か間違えたらロックされるだろ
          だから口座番号の方なんだよ

  • by Anonymous Coward on 2020年09月17日 2時19分 (#3890430)

    残るはググルリンゴ尼?

    ここに返信
typodupeerror

アレゲは一日にしてならず -- アレゲ見習い

読み込み中...