ドコモ口座を悪用した不正引き落とし問題、ゆうちょやイオン銀行など大手銀でも被害 197
ストーリー by nagazou
10日午前段階の話です 部門より
10日午前段階の話です 部門より
ドコモ口座を悪用した不正引き落とし問題が大ごとになっている。当初は七十七銀行のみの問題とみられたが、全国の地方銀行でも同様の引き落としが発生していることが判明した。このため現在は35行すべてで連携が停止している。ドコモは再発防止策として本人確認を厳格化するとしている。(朝日新聞、共同通信t)。
当初ドコモ側は一部銀行の銀行口座登録などを行うことで対処していたが、最終的にはすべての提携金融機関でのサービス申込受付が停止されたなど対応が二転三転した。ただ10日の午前段階では、すでに口座連携済みのドコモ口座に関してはまだチャージが可能とされ、口座の持ち主が気がついておらず、発覚していない場合は引き落としが可能。このため被害拡大が収まったとはとても言えない状況だ。
今回の件の大きな問題は、ドコモのキャリア契約をしていなくてもドコモ口座のアカウントは作りたい放題だったこと、ドコモ口座を利用していないどころか携帯やスマホを持っていなくても、ドコモ口座の提携銀行に口座を持っていれば誰でも被害に遭う可能性がある点にある。このほか、去年の5月にもりそな銀行から同様の不正引き出しが起きていたとも報じられている(NHK、毎日新聞)。
当初の被害は地方銀行口座がほとんどだったが、今はゆうちょ銀行とイオン銀行などでも被害が報告されている(朝日新聞)。9日時点のITmediaによるドコモへの取材によると、被害にあった地方銀行に関してはいずれも『Web口振受付サービス』を使ってドコモ口座と連携していたそうだ。
このシステムの場合、ドコモ口座側から預金口座振替の新規登録が可能となっていた。つまりネットバンキング口座のないユーザーでも被害に遭う可能性がある。また、いずれも登録には口座番号と名義、4桁の暗証番号の3点を利用していたとも話しているとのこと。
これらの話や被害者などの発言などから、ネット上では4桁の暗証番号だけを固定して口座番号を総当たりするリバースブルートフォースとIPアドレスを変えて攻撃を気付かれにくくするパスワードスプレーが使われたのではないかという推測が出回っている模様。
また今回の被害について、ドコモに被害を通知しても無関係だと言われ、当初はドコモ側に信じてもらえない事例も複数発生していたようだ(NHK)。
ドコモは10日、被害者に全額補償する方向で銀行と協議を開始した模様(共同通信)。
当初ドコモ側は一部銀行の銀行口座登録などを行うことで対処していたが、最終的にはすべての提携金融機関でのサービス申込受付が停止されたなど対応が二転三転した。ただ10日の午前段階では、すでに口座連携済みのドコモ口座に関してはまだチャージが可能とされ、口座の持ち主が気がついておらず、発覚していない場合は引き落としが可能。このため被害拡大が収まったとはとても言えない状況だ。
今回の件の大きな問題は、ドコモのキャリア契約をしていなくてもドコモ口座のアカウントは作りたい放題だったこと、ドコモ口座を利用していないどころか携帯やスマホを持っていなくても、ドコモ口座の提携銀行に口座を持っていれば誰でも被害に遭う可能性がある点にある。このほか、去年の5月にもりそな銀行から同様の不正引き出しが起きていたとも報じられている(NHK、毎日新聞)。
当初の被害は地方銀行口座がほとんどだったが、今はゆうちょ銀行とイオン銀行などでも被害が報告されている(朝日新聞)。9日時点のITmediaによるドコモへの取材によると、被害にあった地方銀行に関してはいずれも『Web口振受付サービス』を使ってドコモ口座と連携していたそうだ。
このシステムの場合、ドコモ口座側から預金口座振替の新規登録が可能となっていた。つまりネットバンキング口座のないユーザーでも被害に遭う可能性がある。また、いずれも登録には口座番号と名義、4桁の暗証番号の3点を利用していたとも話しているとのこと。
これらの話や被害者などの発言などから、ネット上では4桁の暗証番号だけを固定して口座番号を総当たりするリバースブルートフォースとIPアドレスを変えて攻撃を気付かれにくくするパスワードスプレーが使われたのではないかという推測が出回っている模様。
また今回の被害について、ドコモに被害を通知しても無関係だと言われ、当初はドコモ側に信じてもらえない事例も複数発生していたようだ(NHK)。
ドコモは10日、被害者に全額補償する方向で銀行と協議を開始した模様(共同通信)。
すまん (スコア:5, すばらしい洞察)
前はドコモは悪くないんじゃね?とかいってたけど続報見てたらドコモもだめだったわ
https://www.jiji.com/jc/article?k=2020091000315&g=eco [jiji.com]
去年の5月時点で同様の被害が発生していたらしくりそなはそれで撤退していたようなので・・・。
これなのにも関わらず対策取らずに拡大しようとしたドコモはダメ
ただまぁ、やっぱ地銀とかその辺の銀行「が」だめだったのは変わらない
ソニー銀行は手続きについてサイト内にかかれているので
https://moneykit.net/visitor/payment/ [moneykit.net]
見ると
> 口座番号
> 生年月日
> キャッシュカードの暗証番号
と、
> ソニー銀行にご登録のメールアドレスでメールが確認できる環境
> キャッシュカード(カード裏面の製造番号の入力が必要です)
があるので、登録のメールアドレスがハックされていてもカードが取られてなければセーフ。
カードが取られてもメールアドレスが取られてなければセーフで多要素認証として機能している。
基本的に暗証番号はカード+暗証番号による2要素認証だったわけで
口座番号と暗証番号では1要素認証になってしまっているのがダメなんだけど
これを銀行側の担当者もドコモ側の人間も考えなかったのであれば決済サービスやる資格はない
Re:すまん (スコア:5, すばらしい洞察)
アカウント連携の廃止には住所氏名と通帳に届出印まで必要で銀行窓口に書面の提出が必要なのに、
アカウント連携をするときはアプリの画面上で完結するってのは逆だろうと思う。
自分の口座から他のサービスに金引っ張り出されるのには本人の確認せず、
引き出されるの止めようとすると窓口開いてる平日でないと申請すらできないのはおかしい。
口座の金に触れ始める連携時こそ、窓口開いてる平日に通帳やキャッシュカードと書面の提出を義務づけさせろと。
Re:すまん (スコア:1)
当初はドコモ口座のアカウントの作成はドコモユーザであることが必須だったのでそこで本人確認がされていた。
それが後から捨てメアドでもドコモ口座アカウントを作り放題になったっていう経緯らしいです。
とするとドコモ口座アカウント作り放題にする時点で銀行側にその旨伝えて銀行側での本人確認強化を依頼する、ということをしていなかったとしたら銀行は悪くないまで可能性があるのでは?
セブンペイ事件を思い出す (スコア:3, 参考になる)
なんかセブンペイ事件を思い出すな。あれも、最初のアプリの認証としては別におかしな仕組みではなかったけど、そこにそのまま決済アプリを乗せようとしたバカが居てクラックされてしまったわけで。
今回も最初に決めた人達はドコモユーザー登録で本人確認してるから大丈夫だろぐらいのつもりが、ドコモ口座の仕様を知らない人が、アカウント運用変えちゃったからみたいな話にみえる。
昨今は何でも機能を持った多機能サービスが推されてるけど、全体仕様が把握できなく成るリスクとかを考えると危ないと思う。
Re:セブンペイ事件を思い出す (スコア:1)
野に放たれて他社に行ってしまう(NTTドコモの元社員(経営者)なら三顧の礼で雇われるでしょう)。
そうなると被害が他社(とその取引先、お客様)に広がってしまうから、まっとうな人材になるまではそのまま面倒をみてほしいというのが正直な感想です。
Re:すまん (スコア:2, 興味深い)
ドコモ口座のアカウントが作りたい放題だったことは特に問題ではない。
いや、マネーロンダリングの観点からは問題なのだけれど、今回の不正引き落とし問題の本質ではない。
仮に本人確認が必要だったとして、受け子を募集したり、SMS認証代行を使ったり、偽造書類を提出するなど、過去の事件でポピュラーだった手口で犯行用アカウントが作られるだけのこと。
ひとつのアカウントで連携する口座をとっかえひっかえは難しいそうだから、大規模な犯行は抑止できたかもしれないが、そしたらこうして表沙汰になることもなく、被害者は泣き寝入りのままで、小規模な犯行が続いていただろうな。
結局問題は口座連携時の認証が手薄だったということに尽きる。
Re:すまん (スコア:1)
ほんまそれ。あと、前払式支払手段がこの手の犯罪のマネロンに利用されているのを放置してきた政府のせいでもある。
七十二の瞳 (スコア:1)
登録事項の変更は書面で行うから何週間かかかることをすっかり忘れていた。
Re: (スコア:0)
> 生年月日
SNS 見ていると、普通に公開していたり、この前も「m + 月日で検索した結果がアナタの武器です」みたいので意識せずに公表していたり
割とカジュアルに使われているので、これが認証に入っていると少し心配になります
とはいえ、口座から割れる名義よりはマシだし、書かれている通りメインはキャッシュカード自体なので、このケースでは安心ですが
基本は銀行のやらかし、ドコモ口座は踏み台の一つ (スコア:0)
ではあるけど、踏み台もガバだったから被害が拡大した感じだな。
Re: (スコア:0)
これは受け付ける銀行側が頭おかしい気がする。
Re:すまん (スコア:1)
銀行がダメなのはドコモを信用したことに尽きる
Re:すまん (スコア:1)
どっちもダメです。
ダメとダメを合わせて、もっとダメにした。
たぶん被害者もフィッシングで暗証番号を含む個人情報を抜かれてるだろうから、そうだったら被害者もダメ。
普通ね、ネットバンクも何も使ってない「素」の預金口座から、ネット経由で振り込みや振り替えはできないよね。
それを出来るようにした銀行は、何をもってやっていいと判断したか。
それはドコモという会社の持つ信用性が理由。
ドコモはドコモで、なぜ本人確認もなしに関係のない人の銀行口座にまで手を突っ込めるシステムを運用しちゃったのか。
Re:すまん (スコア:1)
今どき、連携先のセキュリティレベルとか認証方式とかまで確認した上で、
危なそうな相手とは繋がない、というマネジメントは必要なので、
もちろん第一義的には銀行がザルすぎるのが悪いんだけど、
そんなザルな銀行とチェックもせずにつないだドコモにも非がないではない。
Re:すまん (スコア:2)
この際、ボコボコにされて、お金関係では再起不能になってほしい。
こないだのセブン系といい、口側がいいかげんすぎる。
「被害」は、金銭被害だけではない。
出金確認させられたり、不安を感じたり、いろいろ。
Re:すまん (スコア:1, すばらしい洞察)
いや、ドコモ口座はプリペイド型電子マネーでありながら、出金ができるわけですよ。
これがまずい。
つまるところ、マネーロンダリングが可能になるわけですから。
(そして、これこそドコモ口座が悪用された理由)
出金を止めるか、本人確認を行うか、どちらかを対策しないと法的に許されないことになるのではないかと。
Re:すまん (スコア:1)
ガチに当局が使いにくい規制を入れそうだが
こうなってくると金融機関にドコモ口座系の取引を持つ一定期間の過去履歴を全顧客へ郵送して、確認を求めたりという方向になるのでは。
郵送・開発費用はどうするとかでモメそう。
これだけケチが付くと使いにくい仕組みになるだろうし、避ける理由にもなるだろうし、ドコモは多角化戦略の一つを失うかもしれないですね。
Re:すまん (スコア:1)
今回使われたのは、本人確認がされていないということは「口座(プリペイド)」のほう(法的には前払式支払手段)では?だとすればこれは出金できないよ。
他方、本人確認が必要な「口座」のほう(法的には資金移動業)だと出金や送金も可能。
Re:すまん (スコア:1)
ドコモ口座は前払式支払手段と資金移動業の両方があります。本人確認をすると後者に移行する今流行りのスタイル。
Re:すまん (スコア:1)
脊髄反射コメントですんません。今回使われたのは資金移動業のほうで、本人確認の代わりに銀行による認証に依拠した、ということですね。そうすると、やはり元コメの指摘する犯収法上の本人確認義務違反があったというわけではなさそうですね。
Re:すまん (スコア:2)
本当にそんな銀行があるのなら、それもやむなし。
バカに騙された事故なのであれば、情状酌量の余地はある。
Re:すまん (スコア:2)
プリペイドだけならここまで被害は広がらない
Re: (スコア:0)
銀行くらいはセキュリティにかなり厳しく審査入れてるだろうと思っていたのに全然そんなことなかったんだなって
こんなん自衛しようもないじゃん
Web口振受付サービス (スコア:3)
高木浩光氏もツイートしてる [twitter.com]けど
このツイートが的を射っているようですね。
https://twitter.com/amichi0611/status/1303556061106847746 [twitter.com]
地銀ネットワークサービス(株)の「Web口振受付サービス」を個人に使わせたdocomoが悪いわぁ
地銀ネットワークサービス(株)もよく使わせたな
本来はプロしか入れない場所に一般人が入れる裏口をdocomoが作っちゃったみたいな?
--------------------
/* SHADOWFIRE */
Re:Web口振受付サービス (スコア:2)
そうなんだけど話の趣旨とはちょっと違う。
地銀ネットワークサービスのWeb口振受付サービスは
本来は正規の組織間で使用される前提。
##本人確認等の手続きは組織が実施していることが前提のサービス
それをドコモが一般個人に開放してしまった形になってるという話。
--------------------
/* SHADOWFIRE */
ドコモは本当に被害をすべて把握してるのだろうか? (スコア:3)
残高が減ってることに気づいて銀行に問い合わせたり
通帳を記帳したりして「ドコモコウザ」に気づいた被害者だけをカウントしてないか?
すべての不審な「ドコモコウザ」の出金を確かめたのだろうか?
Re:ドコモは本当に被害をすべて把握してるのだろうか? (スコア:1)
これ、実はお年寄りが相当数被害に遭っているんじゃないですかね。
高齢者の口座だと、暗証番号が生年月日のまま(昔は何の警告もなかった)だったりすることも少なくなさそうですし。
「ドコモ口座が~」というニュースを見ても、自分が該当者だと理解できないんじゃないかな……。
Re:ドコモは本当に被害をすべて把握してるのだろうか? (スコア:1)
把握してないっぽい. [impress.co.jp]
セキュリティに詳しいわけではないけど,いくつかの組合せ,この場合は暗証番号固定として,
口座番号や,生年月日などの一部が合っていても,何回かでロックするのが普通じゃないの?
VPNとか普通でしょ?
「未連携」の口座がターゲット (スコア:2)
口座振替の申請が口座番号+4桁暗証でできる何か共通のシステムを借りている地銀を狙って、大量に作った架空名義のドコモ口座から総当たりで連携をかけたっぽいですね。口座番号は機関のID+支店ID+申請順連番だったりするので、下手すると探索空間は下4桁+暗証4桁程度だったりするかも。
地銀側の落ち度は「ドコモ口座への振替」をちょっとした定期購読の申し込み程度に考えていて、電子マネーへの随時チャージの窓口とは理解していなかったことなんでしょうけど、NTTドコモというビッグネームがバリューを最大限に活かして安心感を演出していて、かつシステムの運用も詳しい大手他社に任せている、という状況でそれを落ち度と呼ぶのは酷な気もします。
対象が広すぎだ (スコア:2)
セブンペイ騒動 → セブンアプリ使ってなければ大丈夫
ペイペイ騒動 → ペイペイ使ってなければ大丈夫
今回 → 特定の銀行の口座持ってるだけでやられてる可能性あり
ドコモ口座と提携してる銀行というだけでアウトとなると、対象範囲が広すぎる。
実家の親がゆうちょ銀行使ってるから電話したけど
「ドコモなんて使ってないから関係ないやろ?」って感じだし、
対象の銀行名全て挙げて周知する必要があるだろうなあ。
--------------------
/* SHADOWFIRE */
Re:対象が広すぎだ (スコア:1)
ペイペイ騒動は、ペイペイ使ってない人にも(というよりむしろ使ってない人に)影響ありましたよ。
まあ、今回の件とは違って対応が早かったけども。
口座番号と暗証番号で「連携」出来るサービス (スコア:1)
ドコモに限らず今すぐ全停止して欲しい。
口座番号は隠す情報じゃない(振り込み先として開示する情報)ので、秘密の情報は1万通りもない「暗証番号」だけ。
パスワードスプレーで簡単に攻略出来ることくらい設計時点で本当に誰も気付かなかったとは思えないのだけど。
4桁の暗証番号で安全なのは大量偽造は困難な物理カードでATM前で操作するって条件下だからだよ。
オンラインでは前提条件がまったく違うので「本人確認」とかで頑張ったところで安全にしようがない。
Re: (スコア:0)
銀行にクレカ並の不正使用検知能力があれば別だが
まあほとんどの銀行はダメだろな
Re:口座番号と暗証番号で「連携」出来るサービス (スコア:4, すばらしい洞察)
てか、ネットバンキングサービス使うときは専用のログインパス認証してるし、
取引時にはさらに専用パスやら乱数表やらハードウェアトークンやらワンタイムパスワードやら要求されるのよな。
つまり銀行はそれぐらいやらないと不正利用の対策はできないって分かってるのよ。
こういう外部の決済サービスとの連携の場合、実際に決済するのは別のサービス上で、
銀行自身が責任負わされることはないと思ってるからこんなザルみたいな対応を許してしまう。
この件はドコモはもちろんとして、銀行のこともボロクソに叩かないと同じ事何度も繰り返すぞ。
Re: (スコア:0)
銀行で言うところの口座番号だけ知ってれば誰でも使えてしまうクレジットカードよりは安全だからねw
#銀行もクレカも昭和時代を引きずりすぎてどうしようもなくなってる
Re:口座番号と暗証番号で「連携」出来るサービス (スコア:1)
クレカの場合、そのへんは運用でカバーしてるんじゃないの?
普段と異なる利用が無いか、被害に遭ったときの保険とか、実際にお金が動くタイミングとか、
Re:口座番号と暗証番号で「連携」出来るサービス (スコア:1)
銀行系大手クレカは、海外で家族カードがスキミング(おそらく)にあって不正オンライン利用されたときは、数時間以内に主カード契約者の自分に連絡があったな。その取引は決裁せず、カードも一時停止。しかし使えないと利用者が海外で死ぬので、当該国での対面利用だけは有効にしてもらった。キャッシングは別なプリペイドでバックアップできたので無事帰ってこられたがカードは交換になった(当然)。利用者の便宜を考慮した細かい対応もできるのでそういう点ではしっかりしていると思う。
Re: (スコア:0)
本人確認が「甘い」のではなくて「してない」よねこれ
確認してるのは情報を知ってるかどうかでしかない
Re: (スコア:0)
口座の番号も名義も簡単に引けるほぼ公開情報ですからね。
ドコモIDのセキュリティを厳しくするのではなく、口座連携を厳しくしてもらわないと。
Re: (スコア:0)
インターネットバンクほとんどアウトじゃね?
Re:口座番号と暗証番号で「連携」出来るサービス (スコア:1)
それなりにちゃんとしたネットバンクなら、
・ワンタイムパスワード
・スマホの生体認証
・ネットバンク用カード記載の番号入力
あたりでセキュリティ担保していますよ
あと申し込み結果なんかも全部メールや SMS で飛んでくるので、不正利用にも気づけますし
# 今回のはむしろネットバンク未開設でもネット口座振替申請出来てしまって、記帳まで気づけないのが問題拡大の一因かな
オフトピック (スコア:1)
このニュース"ドコモロ"座に見えてしまってから"ドコモロ"座にしか見えない。
Re: (スコア:0)
実は前のスレでこっそりドコモロって書いたんだけど誰も気がつきませんでした。
ドコモもだいぶ悪そう (スコア:1)
もともとは携帯がないとドコモ口座開けなかったのを、後で本人確認無しで誰でも口座開けるように変えたらしい。
銀行への攻撃手段を提供しちゃってるというのと、なかなか止めようとしなかった(既存口座はまだ止めてない)という点でドコモの責任もまぁまぁあると思う。
一部の銀行では登録済みの口座からのチャージも止まってる (スコア:0)
対象の銀行は、
https://docomokouza.jp/maintenance/info_20200910.html [docomokouza.jp]
この件を受けて、銀行によっては即時振替の新規申し込み自体を停止させる申請を受けるところがあるという話もある。
正直、自分の知らないところで即時振替の申し込みが勝手にされて、それが何の確認もなく通るってのは迷惑でしかないので、停止できるならしてしまいたい。
大手でこれは恥ずかしい (スコア:0)
ゆうちょとイオンは恥ずかしいね。
地銀のノリで銀行やってんじゃねぇよ…。
Re:大手でこれは恥ずかしい (スコア:1)
誕生月で支店名が決まる [save-ex.com]そうなので、逆に口座情報の支店番号から、ドコモ口座を
作るのに必要な生年月日が推測されやすい……ってことはないか。
-- う~ん、バッドノウハウ?
定額給付金 (スコア:0)
10万円の定額給付金の事務支援とかしていれば、口座情報をもらい放題だったわけですね
処分はどうなる? (スコア:1)
ドコモに業務停止命令が出たら、どういう影響が出るんだろう?
#さすがに「おかけになった番号は」とはならないだろうけど。
Re:Web口振受付サービスのWebサイトを眺めたら (スコア:1)
その本人確認というのは、銀行の口座開設時に行った本人確認を口座の登録をもって収納企業の本人確認とするもの
収納企業は申込者が登録した名義・生年月日を金融機関側に投げて、金融機関のサイトに遷移する
申込者は、金融機関のサイト上で口座情報・キャッシュカードの暗証番号を入力する
金融機関側は、入力された情報を照合して、口座振替登録を完了し、照合結果を収納機関に投げる
先日イオン銀行をドコモ口座に登録した時には、金融機関のサイトに既に名義と生年月日が入力されていたので、これを使っているはず