パスワードを忘れた? アカウント作成

ドコモ口座を悪用した不正引き落とし問題、ゆうちょやイオン銀行など大手銀でも被害」記事へのコメント

  • by Anonymous Coward on 2020年09月10日 13時12分 (#3886241)

    ドコモに限らず今すぐ全停止して欲しい。
    口座番号は隠す情報じゃない(振り込み先として開示する情報)ので、秘密の情報は1万通りもない「暗証番号」だけ。
    パスワードスプレーで簡単に攻略出来ることくらい設計時点で本当に誰も気付かなかったとは思えないのだけど。

    4桁の暗証番号で安全なのは大量偽造は困難な物理カードでATM前で操作するって条件下だからだよ。
    オンラインでは前提条件がまったく違うので「本人確認」とかで頑張ったところで安全にしようがない。

    ここに返信
    • by Anonymous Coward

      銀行にクレカ並の不正使用検知能力があれば別だが
      まあほとんどの銀行はダメだろな

      • by Anonymous Coward on 2020年09月10日 13時32分 (#3886275)

        てか、ネットバンキングサービス使うときは専用のログインパス認証してるし、
        取引時にはさらに専用パスやら乱数表やらハードウェアトークンやらワンタイムパスワードやら要求されるのよな。
        つまり銀行はそれぐらいやらないと不正利用の対策はできないって分かってるのよ。

        こういう外部の決済サービスとの連携の場合、実際に決済するのは別のサービス上で、
        銀行自身が責任負わされることはないと思ってるからこんなザルみたいな対応を許してしまう。
        この件はドコモはもちろんとして、銀行のこともボロクソに叩かないと同じ事何度も繰り返すぞ。

        • by Anonymous Coward

          ザルなネット口座振替用の認証メニューを用意したXXはどうなの?

          • by Anonymous Coward

            テンプレ再生でしか物が言えないのか

    • by Anonymous Coward

      銀行で言うところの口座番号だけ知ってれば誰でも使えてしまうクレジットカードよりは安全だからねw

      #銀行もクレカも昭和時代を引きずりすぎてどうしようもなくなってる

      • by Anonymous Coward on 2020年09月10日 13時32分 (#3886274)

        クレカの場合、そのへんは運用でカバーしてるんじゃないの?
        普段と異なる利用が無いか、被害に遭ったときの保険とか、実際にお金が動くタイミングとか、

        • by Anonymous Coward on 2020年09月10日 20時48分 (#3886673)

          銀行系大手クレカは、海外で家族カードがスキミング(おそらく)にあって不正オンライン利用されたときは、数時間以内に主カード契約者の自分に連絡があったな。その取引は決裁せず、カードも一時停止。しかし使えないと利用者が海外で死ぬので、当該国での対面利用だけは有効にしてもらった。キャッシングは別なプリペイドでバックアップできたので無事帰ってこられたがカードは交換になった(当然)。利用者の便宜を考慮した細かい対応もできるのでそういう点ではしっかりしていると思う。

      • by Anonymous Coward

        クレジットカードは決済時に取引が怪しいと判断したら決済通さずにカードの一時利用停止までやるぞ。
        それに準じるような仕組みは存在してないように見えるが、どの辺がクレジットカードより安全なんだ?

    • by Anonymous Coward

      本人確認が「甘い」のではなくて「してない」よねこれ
      確認してるのは情報を知ってるかどうかでしかない

      • by Anonymous Coward

        本人確認は本人しか知らない情報を知っているかどうかで確認するのが大半だろう。
        ただし生体認証は除く。

        • by Anonymous Coward
          秘密の質問「ペットの名前は?」
          これで本人確認は完璧やな
      • by Anonymous Coward

        つ 暗証番号

    • by Anonymous Coward

      口座の番号も名義も簡単に引けるほぼ公開情報ですからね。
      ドコモIDのセキュリティを厳しくするのではなく、口座連携を厳しくしてもらわないと。

    • by Anonymous Coward

      インターネットバンクほとんどアウトじゃね?

      • by Anonymous Coward on 2020年09月10日 13時33分 (#3886276)

        それなりにちゃんとしたネットバンクなら、
        ・ワンタイムパスワード
        ・スマホの生体認証
        ・ネットバンク用カード記載の番号入力
        あたりでセキュリティ担保していますよ
        あと申し込み結果なんかも全部メールや SMS で飛んでくるので、不正利用にも気づけますし

        # 今回のはむしろネットバンク未開設でもネット口座振替申請出来てしまって、記帳まで気づけないのが問題拡大の一因かな

      • by Anonymous Coward

        口座番号とキャッシュカードの暗証番号だけで取引操作できるインターネットバンクなんて皆無だと思うけど。
        まずログイン時には口座番号とは別のユーザーネーム要求されるし、パスワードだってキャッシュカードの暗証番号とは桁数も使える文字の種類も違う。

        • by Anonymous Coward

          残高照会だけなら三井住友とかが出来るけど、資金移動を伴う取引が出来るのは皆無ですねー

      • by Anonymous Coward

        インターネットバンクの意味がわりと広いのですが、
        銀行口座の個人ユーザーが操作するいわゆるダイレクトアカウントってやつは
        ほとんどの銀行が多要素認証やOTP、資金移動時のSMS通知とかを組み込んでいます。
        なので、万全ではないですが悪用の可能性は比較的低いです。

        一方で今回の不正利用は「Web口座振替受付」なので
        ダイレクトアカウントの認証で入って手続きできる銀行もあるのですが、
        ダイレクトアカウントを持っていないユーザー向けに別の手段で認証(本人確認のつもり)して
        手続きできるようにしているところが多いのです。
        それが問題になってい

      • by Anonymous Coward

        こいつ使ったことないんだろうなあ

    • by Anonymous Coward

      暗証番号だけで買い物ができる、Jデビット…

      • by Anonymous Coward

        J-Debitはキャッシュカードという物理認証が必要なので暗証番号と合わせて2要素認証

        • by Anonymous Coward

          キャッシュカードなんて、クレジットカードと同じぐらい簡単に偽造できますわな。

          • by Anonymous Coward

            二要素認証ってのは大嘘だが「物理的に偽造する必要がある」ことが障壁の1つ。
            1万口座分ログイン試行するのにネットなら秒で終わるが物理だと1万枚の偽造カード作って1万人の店員相手にするのは現実的に不可能。

    • by Anonymous Coward

      キャッシュカードの暗証番号もオンラインバンキングのパスワードも乱数から作ったものにしてるけど、使ってもないサービスからやられたらたまったもんじゃないね。取り敢えず三菱UFJは関係無さそうでよかった。

「毎々お世話になっております。仕様書を頂きたく。」「拝承」 -- ある会社の日常

処理中...