日本電子決済推進機構の「Bank Pay」、ドコモ口座問題と同じリスクがあるとして新規受け付けを停止 50
ストーリー by nagazou
利用者は取引履歴確認を 部門より
利用者は取引履歴確認を 部門より
h-harry 曰く、
日本電子決済推進機構が推進しているQRコード決済「Bank Pay」にa href="https://security.srad.jp/story/20/09/09/2032247/">ドコモ口座と同じ問題が見つかり現在新規受け付けを停止している(日本電子決済推進機構[PDF]、読売新聞)。
「Bank Pay」もメールアドレスだけで新規アカウント作成が可能で、一部金融機関の口座と紐付けで本人確認が不十分だったようだ。現在、セキュリティー強化の為に「SMS 認証の導入」、「 eKYC の導入検討」、「不正取引モニタリングの高度化」など行っているようだ。
日本電子決済推進機構によると、14日時点ではBank Payを利用した不正取引は発生していないという。仮に不正取引があった場合でも不正取引で発生した損害に関しては全額補償するとしている。Bank Payの利用者数は14日時点でおよそ1万1000人だとしている。
リンクが・・・ (スコア:1)
新しい芸風だな。
Re:リンクが・・・ (スコア:1)
Re: (スコア:0)
猫にカギカッコを引き抜かれたんだろう。
Re: (スコア:0)
ゲイ風?
Re: (スコア:0)
閉じタグも消えてますね。
Re:リンクが・・・ (スコア:1)
かっこ、かっこ、かっことじとじ
Re:リンクが・・・ (スコア:1)
なぎさのかぎかっこの歌が夕焼け時にオンエアされるようになった時期には
周囲にLisp使いがいなくてさびしい思いをしたものだ。ネタにできなかったつらさ
Re: (スコア:0)
新しい芸風だな。
インジェクション対策で
タグの開始カッコが消えたのかな
テストしてみよう
このストーリー [security.srad.jp]
# うむ芸風でした
Dカードの本人確認もそう (スコア:1)
この前Dカード作った時、銀行口座との紐付けには口座番号と名義人・キャッシュカードの暗証番号だけで紐付けできたけど。
部門名 (スコア:0)
利用者は取引履歴確認を
ドコモ口座での問題は、被害を被るのはドコモ口座を利用していない人だということが分かってます。Bank Payでも同様と思われるので、この部門名では不適当では?
Re:部門名 (スコア:1)
これってホントなのだろうか?(被害を受ける確率は下がるとは思うけど)
ドコモの電話契約している人は大丈夫という話も聞いたし・・・
ドコモ口座問題の場合には、
・ドコモの電話番号を使ってのなりすまし登録はできない
・ドコモに紐づいている銀行口座は大丈夫
だと思っているのだけれども?
もしかして、ドコモ口座に一つでも銀行口座登録すると、所有口座が全てドコモ口座に名寄せされる?
Re:部門名 (スコア:1)
ドコモ口座(プリペイド)では個人ユーザが対象のため、
複数アカウントでの同一銀行口座番号の使い回しは不可能な仕様だそうです。
そのため自アカウントでドコモ口座と銀行口座番号を紐づけしていた、出来た場合は
犯人に奪われることがないためドコモ口座経由では安全となります。
ただし利用者と口座契約者が同一人物かの確認は(被害が出ている銀行では)不要なため
暗証番号などが漏洩していた場合は、ドコモ口座に関係なく「Bank Pay」など類似サービスで被害にあう可能性はあります。
ちなみにドコモの発表によると、犯人は暗証番号等を試行せず一発で入力成功させていた(パスワードスプレー等の形跡なし)とのことで、
事前に名義や口座番号、暗証番号が把握されていた可能性が高いとの事です。
Re:部門名 (スコア:1)
他でもちょっと書いたんだけど
> 「Bank Pay」もメールアドレスだけで新規アカウント作成が可能で、一部金融機関の口座と紐付けで本人確認が不十分
BankPayもドコモ口座も確実とは言えないんだけど
https://www.resonabank.co.jp/hojin/service/eb/urikakekin/webkouza/ [resonabank.co.jp]
とかにもあるが Web口座振替 って 本人確認情報提供 的なのがあるので(常にかはわからないが)
アカウントが自由に作れること : 条件つきで問題ない(と思う)
本人確認が不十分 : 銀行に認証を回し、本人である旨の証明をしてもらってそれを受ける(なにせ 「(犯罪収益移転防止法に基づく)取引時確認を行う必要がある場合、お客さまの本人確認(氏名、住所、生年月日)資料の確認の省略等が可能です。」 だそうで)
ということで本来的には問題は(あまり)ないはずとは思うのだが...
ここで銀行側がアウトだとそりゃな...という気持ち。
>> (被害が出ている銀行では)不要なため
これは不要じゃなくて、銀行の正規の保証サービスをもって保証だと思う。
なので、最初にプリペイドを本人情報を元に取引可能レベルに昇格するが、そこがすでに銀行側が弱いためアウトということじゃないかなと。
(こうである保証はないが)
M-FalconSky (暑いか寒い)
Re: (スコア:0)
本人確認が不十分 : 銀行に認証を回し、本人である旨の証明をしてもらってそれを受ける
(なにせ 「(犯罪収益移転防止法に基づく)取引時確認を行う必要がある場合、お客さまの本人確認(氏名、住所、生年月日)資料の確認の省略等が可能です。」 だそうで)
今回まさにコレで、一部の銀行側では「名義人」「口座番号」と「暗証番号」(一部の報道では生年月日も)で決済証明完了としてしまった。
銀行側の主張としては『本来、暗証番号は利用者本人しか知り得ない情報』なので問題なしだったのだろうが、上記の組み合わせが何処からか事前に漏洩していた。
Re:部門名 (スコア:1)
私は池田泉州銀行(七十七/中国銀行/大垣共立の次に登録停止した14行の一つ)を使っていて、
ちょっと前に LINE PAY のために Web口振 を申し込んだのですが、
口座番号などと共に「通帳に記帳されている最終残高」を入力する必要がありました。
こんなの、通帳ごと盗まれでもしないかぎり、詐称登録は無理だと思います。
でも、ドコモ口座は比較的早々に新規登録停止に。
で、あとは推測なのですが、地銀のWeb口振のページを見てると、
「入力する情報は収納機関によって異なります」って書いてる銀行がいくつかありました。
もしかしたら、同じ銀行のWeb口振でも、収納機関によって申請内容が違っていて、
ドコモ口座の場合は、口座番号・暗証番号だけでいけたのかな、とか。
そういう、収納機関側の本人確認のザルいところが危ない、と。
Re:部門名 (スコア:1)
そうすると、ドコモ口座利用者でみずほ銀行紐付けユーザであっても、
同一ユーザの七十七銀行の口座が、攻撃者の開設したドコモ口座に紐付けられ、
お金を盗まれる可能性がありますよね。
だとすると、「ドコモ口座利用者であってもドコモ口座問題の被害を受ける可能性はある」のでは?
Re: (スコア:0)
> 複数アカウントでの同一銀行口座番号の使い回しは不可能な仕様だそうです。
ドコモ口座と結びつけたひとつの口座は平気でも,他の口座がダメだったり・・・
孫引きだけど,日本統計センターの調べ(金融機関の利用に関する調査・平成23年)によると、平均一人当たり3.5口座 [nifty.com]らしいし.
Re: (スコア:0)
>そのため自アカウントでドコモ口座と銀行口座番号を紐づけしていた、出来た場合は
>犯人に奪われることがないためドコモ口座経由では安全となります。
すでに補足いただいていますが、ここで安全となるのは自分で紐づけた銀行口座番号だけです。
Re: (スコア:0)
認証ザルだった銀行の利用者のことでしょ
Re: (スコア:0)
Bank Payの利用者数1万1000人はすでに利用済みだから新規口座設定ができないため安全。
>認証ザルだった銀行の利用者
危険なのはこっちで、銀行口座をもっている数千万人の利用者が取引履歴確認が必要。
Re:部門名 (スコア:1)
ゆうちょ銀でドコモ口座から以外の不正利用が発覚した模様。
https://news.livedoor.com/article/detail/18900344/ [livedoor.com]
みんな自分の銀行口座確認した?
まさかおれの口座がねとめんどくさくてまだ確認してないんだが、こんなケースは銀行が調査して不正があったら連絡してくるのが筋だよな…。
Re: (スコア:0)
即時振替自体を止めた俺の判断は間違ってなかったか。
キャッシュカード(もしくは通帳)の紛失届出せばなんちゃらPayとかに一切連携できなくさせられるってもっと周知するべき。
Re: (スコア:0)
この問題、利用者がリスクテイクするのなら別に自己責任でも良いのだが、
関係ない奴にだけ被害が出るのが本当にクソだな。
分かっていてサービス続けるdocomoとか、今後に発生した被害については未必の故意って事で加害者扱いで良いと思う。
Re: (スコア:0)
セキュリティ的に脆弱な銀行を利用してるから自己責任。
脆弱性を抱えた銀行の口座を解約しましょう。
そりゃ銀行側APIの問題なんだから (スコア:0)
ドコモを犠牲に誤魔化すのも難しくなってきたなw
Re:そりゃ銀行側APIの問題なんだから (スコア:1)
結局、本人確認ポリシーの違うシステム同士を安易に相互に信頼してくっつけるとダメってことで
[Q][W][E][R][T][Y]
Re: (スコア:0)
や、だからそういう噛み合わせの問題じゃないんだって。
仮にドコモ側の本人確認が完璧であっても、銀行側APIの認証がタコなので不正利用されるって話。
実際、ドコモ契約ユーザーのみだった昨年5月にりそな銀行から不正引き落としされてたことが分かってるので。
Re:そりゃ銀行側APIの問題なんだから (スコア:1)
りそなの件、どこかに詳細ありました?
[Q][W][E][R][T][Y]
Re:そりゃ銀行側APIの問題なんだから (スコア:1)
あっちのときは、本人認証情報の突き合せが弱めだったらしい
https://news.yahoo.co.jp/articles/bcc90dcf7a14fb78b287d6af3f216e26e8ca8f0f [yahoo.co.jp]
なので、今は突き合せはちゃんとやるんだろうとは思う。
M-FalconSky (暑いか寒い)
Re:そりゃ銀行側APIの問題なんだから (スコア:1)
> 仮にドコモ側の本人確認が完璧であっても、銀行側APIの認証がタコなので不正利用されるって話。
まあそうなんだけど、eKYCでドコモ口座開設者の本人確認をしっかりやっていれば、
(警察とかが)誰が不正利用したか追っかけられるので、攻撃のハードルはかなり高くなる。
以外にこれは重要なファクターなんよ。
Re: (スコア:0)
ドコモを犠牲に誤魔化すのも難しくなってきたなw
どこもかしこもまったくもう
Re: (スコア:0)
どこも信用ならん
Re: (スコア:0)
どこもだけじゃないのね
Re: (スコア:0)
たけのこ勝利
Re: (スコア:0)
地銀「たしかに他社連携では本人確認を忘れていた…だがシステムは多重に防衛されているので問題ないはず!」
ドコモ、日本電子決済推進機構「いつから銀行の代わりに本人確認してくれるはずと錯覚していた?」
Re: (スコア:0)
ドコモ口座やBankPayが存在する前はどうやったんやろね。
匿名化されやすいオンラインでの、大規模な不正送金の事例って、、、
うんまあ、何らかの経路で多少はあったかも知れないが、
銀行の脆弱なAPIを悪用されたりした事はあったんやろか?
ドコモやBankPayが、銀行を誘って、開けちゃいけないパンドラのいやらしいお口を
こじ開けちゃったんじゃないの?と思わなくもないんだが。
Re: (スコア:0)
「ドコモ口座」以外の電子決済サービスでも不正引き出しが次々みつかる
https://www3.nhk.or.jp/news/html/20200915/k10012618701000.html [nhk.or.jp]
Re: (スコア:0)
「ドコモ口座」以外の5つの電子決済サービスで不正引出し確認
https://www3.nhk.or.jp/news/html/20200915/k10012618701000.html [nhk.or.jp]
盛り上がってまいりましたー!
Re: (スコア:0)
ドコモを犠牲に誤魔化すのも難しくなってきたなw
一人がいくつでも口座開設できる仕様な時点で、ドコモへの非難は避けられないよw
本当に「リスク」だけなのか? (スコア:0)
ドコモ口座の問題も発覚したのは今月だが、調べてみると被害はずっと前からあったという話だし、
実はこっちも被害者がすでにいるんじゃねーの?
サブ銀行は解約せざるを得ない (スコア:0)
銀行って会社都合とかで作らされる割に解約が面倒だから、口座作りっぱなしにいくらか入りっぱなしみたいなのよくあるけど、こういう事件が続くようならそういうとこまでチェックしきれないからメインバンク以外解約せざるを得なくなる。自分がドコモ口座使ってて被害にあうならまだしも、他人の利便性のために被害受けるの、超迷惑なんだけど。
Re:サブ銀行は解約せざるを得ない (スコア:1)
Re: (スコア:0)
三菱UFJ「日本の銀行ネットワークサービスに接続していない当行がお薦めですよ!」
Re: (スコア:0)
解約が面倒だったら、残高0にしてほっとけばいいとか。
担保無しに、マイナスにはならないよね!?
NTTデータが大活躍 (スコア:0)
・ネット口振受付GWサービス [nttdata.com]はNTTデータが提供するサービス
・日本電子決済推進機構 (対外活動名称: 日本デビットカード推進協議会) [debitcard.gr.jp] の会長はNTTデータ
ということだ。
Re:NTTデータが大活躍 (スコア:1)
電話屋が電話以外に手を出すな
Re: (スコア:0)
NTTデータを「電話屋」呼ばわりしている時点で、自分が「ド素人」だと自白していることがわからない?
Re: (スコア:0)
今回NTTドコモが矢面に立って非難・苦情を受け止めているのは、NTTデータを全力で守ろうとしているから。
別に法人としての金融機関を顧客サービスで守ろうとしているわけではなく、カモ顧客としての金融機関を守っているに過ぎない。
銀行の被害補償要件 (スコア:0)
被害が発生してから1ヶ月以上経過していたり、暗証番号が自分の誕生日とか安易なものだったりする場合は
銀行が被害を補償しない、といった補償の条件があると思う。
このようなケースでも今回の事件は自分が全く関与せず被害にあう形なので、全額補償されるのだろうか。
マネロンや不正送金が捗るから (スコア:0)
政府は送金や現金以外からのチャージ手段のある電子マネーは全部本人確認を義務付けるように法令改正した方がいいと思う。
たとえ手続きが煩雑になったとしても。
反社のカモにされてる。