パスワードを忘れた? アカウント作成

ドコモ口座を悪用した不正引き落とし問題、ゆうちょやイオン銀行など大手銀でも被害」記事へのコメント

  • すまん (スコア:5, すばらしい洞察)

    前はドコモは悪くないんじゃね?とかいってたけど続報見てたらドコモもだめだったわ

    https://www.jiji.com/jc/article?k=2020091000315&g=eco [jiji.com]
    去年の5月時点で同様の被害が発生していたらしくりそなはそれで撤退していたようなので・・・。
    これなのにも関わらず対策取らずに拡大しようとしたドコモはダメ

    ただまぁ、やっぱ地銀とかその辺の銀行「が」だめだったのは変わらない
    ソニー銀行は手続きについてサイト内にかかれているので
    https://moneykit.net/visitor/payment/ [moneykit.net]
    見ると
    > 口座番号
    > 生年月日
    > キャッシュカードの暗証番号
    と、
    > ソニー銀行にご登録のメー

    • by Anonymous Coward on 2020年09月10日 13時24分 (#3886260)

      これは受け付ける銀行側が頭おかしい気がする。

      • by Anonymous Coward on 2020年09月10日 13時29分 (#3886269)

        銀行がダメなのはドコモを信用したことに尽きる

        • by Anonymous Coward

          天下のドコモさんがまさかこんな状態だったとは想像もつきませんでした。

          • by Anonymous Coward

            電話屋は電話だけやってろ

            • by Anonymous Coward

              まさにこれに尽きる
              ドコモが無線電話以外の事をやると高い確率でどこかに大ぽかがあってだいたい炎上する

        • by Anonymous Coward

          違うよ
          ソニー銀行が親コメであげられてるようにI/Fに従って本人認証の結果を応答されるだけだから
          銀行側のセキュリティがタコでドコモはそれを信用して受け付けていただけ。
          だから、ドコモが叩かれるべきは無制限にアカウントが作れるという点のみ。

          悪いのはやっぱりイケてない地銀(もう地銀だけじゃないけど)

          • by Anonymous Coward on 2020年09月10日 14時39分 (#3886359)

            どっちもダメです。
            ダメとダメを合わせて、もっとダメにした。

            たぶん被害者もフィッシングで暗証番号を含む個人情報を抜かれてるだろうから、そうだったら被害者もダメ。

            普通ね、ネットバンクも何も使ってない「素」の預金口座から、ネット経由で振り込みや振り替えはできないよね。
            それを出来るようにした銀行は、何をもってやっていいと判断したか。

            それはドコモという会社の持つ信用性が理由。

            ドコモはドコモで、なぜ本人確認もなしに関係のない人の銀行口座にまで手を突っ込めるシステムを運用しちゃったのか。

            • by Anonymous Coward

              だから、その本人確認は銀行側システムでやってもらう想定だったから
              ドコモのその運用はおかしかないの。
              銀行側でどこまで本人確認を厳密にやるか?が抜けてる所がおおかっただけ

              • by nim (10479) on 2020年09月10日 16時07分 (#3886449)

                今どき、連携先のセキュリティレベルとか認証方式とかまで確認した上で、
                危なそうな相手とは繋がない、というマネジメントは必要なので、
                もちろん第一義的には銀行がザルすぎるのが悪いんだけど、
                そんなザルな銀行とチェックもせずにつないだドコモにも非がないではない。

              • by Anonymous Coward

                だから、ドコモは地銀とは直接繋いでない。
                ドコモが接続しているのはここ
                https://www.chigin-cns.co.jp/services/web_service/index.php [chigin-cns.co.jp]

                だから、ざるなのは地銀ネットワークサービス

              • by Anonymous Coward

                イオン銀行も駄目らしいんですけれどそれはどうなんですかね

              • by Anonymous Coward


                ドコモ口座にあれこれ設定したり管理するのもすべて地銀ネットワークサービスがやってるから、ドコモ側は何もチェックしなくていいということを言っているの?

              • by Anonymous Coward

                ドコモは対応銀行を少しづつ増やしていってるんだよね
                増やすときにCNSかCAFISか口振GWととどう契約してるか確認はしないの?

            • by Anonymous Coward

              口座番号と暗証番号ならショルダーハックで確実なものが手に入っちゃうんだよ。
              フィッシングなんて必要ない。
              口座名義人なんてその口座番号に振り込み試してみれば分かるし。

              本人確認もしてないアカウントに銀行口座触らせたドコモが悪いわ。
              口座番号と暗証番号で認証すらセキュアだとでも思ってたというのかね?

          • by Anonymous Coward

            Web口振受付サービスを使われたとしたら、収納企業はドコモであって、
            銀行としては、実績もある大手企業たるドコモと取引をしただけ、となるのかな???
            なので、受けとったお金を十分な本人確認せずにユーザーに分配したドコモが悪いとなるのかな???

            • by Anonymous Coward

              その場合、暗証番号の流出の問題になりそう。
              ドコモとしては暗証番号で取引が認証されることに瑕疵はないわけだし。
              極論すれば取引自体に本人確認は必要なく、意思確認は暗証番号で担保されるとすれば。

              そうなるとリバースブルートフォースアタック受けたのが銀行側と予想されているから銀行側に分が悪そうな気がする。

              • by Anonymous Coward

                結局、先人が散々指摘してきた「数字4桁の暗証番号そのものが脆弱性」ってこった。
                ATMだから許された運用であって、ネットバンキング認証に使ってはいけなかった。

              • by Anonymous Coward
                ていうか、被害額が少ないのは、暗証番号でそれでも守れた口座が多かったということでないでしょうか。
                それより、口座番号自体が相当収集されていて、闇世界で流通しているということかな。
              • by Anonymous Coward

                その認証は、銀行とドコモとのある程度の信頼がある企業間同士の取引の認証じゃないのかな?

          • by Anonymous Coward

            ・昨年5月に同様の事があったのに、対策してない
            ・なりすましで簡単に口座が作れる

            ドコモを叩く要因は十分すぎると思うけど?

            • by Anonymous Coward

              それはダメだと親コメでもいってるけどなりすましで簡単にメアドも何でも作れるしなりすましって何をいってるんだ?
              本人確認も何もないし被害者以外がドコモを叩く理由にはならんよ

              でかい物を叩いてオナニーして満足したいのかもしれんが。

              よし!じゃあ、今こそなりすまし出来ないようにJ-KPIを使って本人認証しようぜ!
              ネットの匿名性も全部なくそう!アカウント登録にはマイナンバーカードに入っている証明書を使って本人確認必須な!
              なんて素晴らしい世の中なんだろう!っていうほうがいいの?
              なりすましって別になりすましでもなんでもなくただの偽名登録だし何をあほなことを主張しているんだ

              • by hjmhjm (39921) on 2020年09月11日 12時23分 (#3887031)

                この際、ボコボコにされて、お金関係では再起不能になってほしい。
                こないだのセブン系といい、口側がいいかげんすぎる。

                「被害」は、金銭被害だけではない。
                出金確認させられたり、不安を感じたり、いろいろ。

              • Re:すまん (スコア:1, すばらしい洞察)

                by Anonymous Coward on 2020年09月10日 14時43分 (#3886364)

                いや、ドコモ口座はプリペイド型電子マネーでありながら、出金ができるわけですよ。
                これがまずい。
                つまるところ、マネーロンダリングが可能になるわけですから。
                (そして、これこそドコモ口座が悪用された理由)

                出金を止めるか、本人確認を行うか、どちらかを対策しないと法的に許されないことになるのではないかと。

              • by asap (6830) on 2020年09月15日 21時40分 (#3889707)
                うーん、どちらも素人で、トータルでシステムを見れなかったということでしょう。
                ガチに当局が使いにくい規制を入れそうだが
                こうなってくると金融機関にドコモ口座系の取引を持つ一定期間の過去履歴を全顧客へ郵送して、確認を求めたりという方向になるのでは。
                郵送・開発費用はどうするとかでモメそう。
                これだけケチが付くと使いにくい仕組みになるだろうし、避ける理由にもなるだろうし、ドコモは多角化戦略の一つを失うかもしれないですね。
              • by Anonymous Coward

                少なくとも携帯申し込むときぐらいの本人確認はやれよ。

              • by Anonymous Coward

                なんでこんなドコモを擁護するのかね。ロクなIT知識もない地銀に対しドコモが
                『地銀ネット経由なら御行のシステムに大規模改修はいりません!』
                『携帯払いで実績のあるdアカウントと連携して御行もキャッシュレス対応に!』
                ってりそなで問題でた後も適当に営業かけまくってたのに。

              • by Anonymous Coward

                プリペイド系やディポジット系の決済サービスだと本人確認不要が殆どだからなぁ

              • by Anonymous Coward

                少なくとも携帯申し込むときぐらいの本人確認はやれよ。

                携帯電話とかをドコモと契約してない完全に無関係の人すら対象になってるみたいだし、
                そこまで確認やって当然なところあるな。

              • by Anonymous Coward

                >いや、ドコモ口座はプリペイド型電子マネーでありながら、出金ができるわけですよ。
                MoneyTransferのことか
                アメリカ様に激詰めされろ

              • by Anonymous Coward

                なんで?
                なりすましなりすまし!って主張しておいて本人確認やれよってどういうこっちゃ

              • by Anonymous Coward

                https://docomokouza.jp/detail/about.html [docomokouza.jp]
                銀行経由だから「資金移動業」だから出来るんですよ
                最近だとKyashもそうなったから銀行口座からの金は出金出来るようになったでしょ?
                Revaultなんかも国内だと資金移動業になっているのでカード入金は出金、送金不可能、口座入金だけ可能。

                Kyashが資金移動業になる前はKyash残高を購入してKyashの残高の移動だったので問題なく送金できた。ただし出金出来ない。(前払式資金決済手段)
                「プリペイド型電子マネー」だから、出金出来る事は何もおかしかない。

                お前は資金決済業法を読んで理解してから言え。ドコモ口座は前払式資金決済手段ではない。

              • by monyonyo (43060) on 2020年09月10日 16時15分 (#3886458)

                今回使われたのは、本人確認がされていないということは「口座(プリペイド)」のほう(法的には前払式支払手段)では?だとすればこれは出金できないよ。
                他方、本人確認が必要な「口座」のほう(法的には資金移動業)だと出金や送金も可能。

              • by monyonyo (43060) on 2020年09月10日 16時16分 (#3886460)

                ドコモ口座は前払式支払手段と資金移動業の両方があります。本人確認をすると後者に移行する今流行りのスタイル。

              • by Anonymous Coward

                > 『地銀ネット経由なら御行のシステムに大規模改修はいりません!』
                > 『携帯払いで実績のあるdアカウントと連携して御行もキャッシュレス対応に!』
                > ってりそなで問題でた後も適当に営業かけまくってたのに。
                はい、こちらのソースを出してください。
                出せないのであれば風説の流布ですよね?

                だから、株式会社に対して適当に憶測でこんなことをいったんだ!って発言やめろって

              • by Anonymous Coward

                CNSも地銀も株式会社だぞ

              • by Anonymous Coward

                >いや、ドコモ口座はプリペイド型電子マネーでありながら、出金ができるわけですよ。
                >これがまずい。

                まずくねーよw他も出来るし、そもそも問題の本質と関係ない枝葉の話でしかない。

              • by monyonyo (43060) on 2020年09月10日 16時44分 (#3886497)

                脊髄反射コメントですんません。今回使われたのは資金移動業のほうで、本人確認の代わりに銀行による認証に依拠した、ということですね。そうすると、やはり元コメの指摘する犯収法上の本人確認義務違反があったというわけではなさそうですね。

              • by Anonymous Coward

                昨年5月にりそなで問題が出た後、ドコモ口座の営業は一切してなかったの?
                新規提携記念キャンペーン [docomokouza.jp]とかやってるのに?(今回被害の出た東邦銀行も入ってるね)

                内容がどうあれ営業してるんなら風説の流布でも何でもないけど

              • by Anonymous Coward

                内容関係ないようってこたないじゃろw

              • by Anonymous Coward

                そうだな、まともな本人確認せずに出金を可能にしてる銀行なんて全部ボイコットするべきだな

              • by hjmhjm (39921) on 2020年09月12日 1時23分 (#3887648)

                本当にそんな銀行があるのなら、それもやむなし。
                バカに騙された事故なのであれば、情状酌量の余地はある。

              • by asap (6830) on 2020年09月15日 21時16分 (#3889694)
                ドコモ口座は、元々、プリペイドカードの仕組みの機能拡張なので、本人確認が弱い。
                プリペイドだけならここまで被害は広がらない
        • by Anonymous Coward

          「ドコモさんならザルでいっか~」ってわざわざ新たにいい加減な認証システムを作ったわけじゃなく、ドコモより信用できないところも多いであろう他の色々な会社の口座振替も同じシステムでWeb手続きしてたんじゃないの?
          それとも、これまでWeb手続きを提供してなかった銀行にまで対応を呼びかけたことで、出来損ないを作らせる結果になってしまったのか

物事のやり方は一つではない -- Perlな人

処理中...