アカウント名:
パスワード:
前はドコモは悪くないんじゃね?とかいってたけど続報見てたらドコモもだめだったわ
https://www.jiji.com/jc/article?k=2020091000315&g=eco [jiji.com] 去年の5月時点で同様の被害が発生していたらしくりそなはそれで撤退していたようなので・・・。これなのにも関わらず対策取らずに拡大しようとしたドコモはダメ
ただまぁ、やっぱ地銀とかその辺の銀行「が」だめだったのは変わらないソニー銀行は手続きについてサイト内にかかれているので https://moneykit.net/visitor/payment/ [moneykit.net] 見ると> 口座番号> 生年月日> キャッシュカードの暗証番号と、> ソニー銀行にご登録のメー
これは受け付ける銀行側が頭おかしい気がする。
銀行がダメなのはドコモを信用したことに尽きる
違うよソニー銀行が親コメであげられてるようにI/Fに従って本人認証の結果を応答されるだけだから銀行側のセキュリティがタコでドコモはそれを信用して受け付けていただけ。だから、ドコモが叩かれるべきは無制限にアカウントが作れるという点のみ。
悪いのはやっぱりイケてない地銀(もう地銀だけじゃないけど)
Web口振受付サービスを使われたとしたら、収納企業はドコモであって、銀行としては、実績もある大手企業たるドコモと取引をしただけ、となるのかな???なので、受けとったお金を十分な本人確認せずにユーザーに分配したドコモが悪いとなるのかな???
その場合、暗証番号の流出の問題になりそう。ドコモとしては暗証番号で取引が認証されることに瑕疵はないわけだし。極論すれば取引自体に本人確認は必要なく、意思確認は暗証番号で担保されるとすれば。
そうなるとリバースブルートフォースアタック受けたのが銀行側と予想されているから銀行側に分が悪そうな気がする。
結局、先人が散々指摘してきた「数字4桁の暗証番号そのものが脆弱性」ってこった。ATMだから許された運用であって、ネットバンキング認証に使ってはいけなかった。
その認証は、銀行とドコモとのある程度の信頼がある企業間同士の取引の認証じゃないのかな?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
身近な人の偉大さは半減する -- あるアレゲ人
すまん (スコア:5, すばらしい洞察)
前はドコモは悪くないんじゃね?とかいってたけど続報見てたらドコモもだめだったわ
https://www.jiji.com/jc/article?k=2020091000315&g=eco [jiji.com]
去年の5月時点で同様の被害が発生していたらしくりそなはそれで撤退していたようなので・・・。
これなのにも関わらず対策取らずに拡大しようとしたドコモはダメ
ただまぁ、やっぱ地銀とかその辺の銀行「が」だめだったのは変わらない
ソニー銀行は手続きについてサイト内にかかれているので
https://moneykit.net/visitor/payment/ [moneykit.net]
見ると
> 口座番号
> 生年月日
> キャッシュカードの暗証番号
と、
> ソニー銀行にご登録のメー
Re: (スコア:0)
これは受け付ける銀行側が頭おかしい気がする。
Re: (スコア:1)
銀行がダメなのはドコモを信用したことに尽きる
Re: (スコア:0)
違うよ
ソニー銀行が親コメであげられてるようにI/Fに従って本人認証の結果を応答されるだけだから
銀行側のセキュリティがタコでドコモはそれを信用して受け付けていただけ。
だから、ドコモが叩かれるべきは無制限にアカウントが作れるという点のみ。
悪いのはやっぱりイケてない地銀(もう地銀だけじゃないけど)
Re: (スコア:0)
Web口振受付サービスを使われたとしたら、収納企業はドコモであって、
銀行としては、実績もある大手企業たるドコモと取引をしただけ、となるのかな???
なので、受けとったお金を十分な本人確認せずにユーザーに分配したドコモが悪いとなるのかな???
Re:すまん (スコア:0)
その場合、暗証番号の流出の問題になりそう。
ドコモとしては暗証番号で取引が認証されることに瑕疵はないわけだし。
極論すれば取引自体に本人確認は必要なく、意思確認は暗証番号で担保されるとすれば。
そうなるとリバースブルートフォースアタック受けたのが銀行側と予想されているから銀行側に分が悪そうな気がする。
Re: (スコア:0)
結局、先人が散々指摘してきた「数字4桁の暗証番号そのものが脆弱性」ってこった。
ATMだから許された運用であって、ネットバンキング認証に使ってはいけなかった。
Re: (スコア:0)
それより、口座番号自体が相当収集されていて、闇世界で流通しているということかな。
Re: (スコア:0)
その認証は、銀行とドコモとのある程度の信頼がある企業間同士の取引の認証じゃないのかな?