パスワードを忘れた? アカウント作成
14320753 story
お金

日本電子決済推進機構の「Bank Pay」、ドコモ口座問題と同じリスクがあるとして新規受け付けを停止 50

ストーリー by nagazou
利用者は取引履歴確認を 部門より
h-harry 曰く、

日本電子決済推進機構が推進しているQRコード決済「Bank Pay」にa href="https://security.srad.jp/story/20/09/09/2032247/">ドコモ口座と同じ問題が見つかり現在新規受け付けを停止している(日本電子決済推進機構[PDF]読売新聞)。

「Bank Pay」もメールアドレスだけで新規アカウント作成が可能で、一部金融機関の口座と紐付けで本人確認が不十分だったようだ。現在、セキュリティー強化の為に「SMS 認証の導入」、「 eKYC の導入検討」、「不正取引モニタリングの高度化」など行っているようだ。

日本電子決済推進機構によると、14日時点ではBank Payを利用した不正取引は発生していないという。仮に不正取引があった場合でも不正取引で発生した損害に関しては全額補償するとしている。Bank Payの利用者数は14日時点でおよそ1万1000人だとしている。

  • by h-harry (24932) on 2020年09月15日 11時44分 (#3889222) 日記

    新しい芸風だな。

    ここに返信
  • この前Dカード作った時、銀行口座との紐付けには口座番号と名義人・キャッシュカードの暗証番号だけで紐付けできたけど。

    ここに返信
  • by Anonymous Coward on 2020年09月15日 12時13分 (#3889244)

    利用者は取引履歴確認を

    ドコモ口座での問題は、被害を被るのはドコモ口座を利用していない人だということが分かってます。Bank Payでも同様と思われるので、この部門名では不適当では?

    ここに返信
    • by Anonymous Crow (45505) on 2020年09月15日 12時44分 (#3889264)
      >ドコモ口座での問題は、被害を被るのはドコモ口座を利用していない人だということが分かってます。

      これってホントなのだろうか?(被害を受ける確率は下がるとは思うけど)
      ドコモの電話契約している人は大丈夫という話も聞いたし・・・

      ドコモ口座問題の場合には、

      ・ドコモの電話番号を使ってのなりすまし登録はできない
      ・ドコモに紐づいている銀行口座は大丈夫

      だと思っているのだけれども?

      もしかして、ドコモ口座に一つでも銀行口座登録すると、所有口座が全てドコモ口座に名寄せされる?
      • by Anonymous Coward on 2020年09月15日 12時55分 (#3889273)

        ドコモ口座(プリペイド)では個人ユーザが対象のため、
        複数アカウントでの同一銀行口座番号の使い回しは不可能な仕様だそうです。

        そのため自アカウントでドコモ口座と銀行口座番号を紐づけしていた、出来た場合は
        犯人に奪われることがないためドコモ口座経由では安全となります。

        ただし利用者と口座契約者が同一人物かの確認は(被害が出ている銀行では)不要なため
        暗証番号などが漏洩していた場合は、ドコモ口座に関係なく「Bank Pay」など類似サービスで被害にあう可能性はあります。

        ちなみにドコモの発表によると、犯人は暗証番号等を試行せず一発で入力成功させていた(パスワードスプレー等の形跡なし)とのことで、
        事前に名義や口座番号、暗証番号が把握されていた可能性が高いとの事です。

        • 他でもちょっと書いたんだけど

          > 「Bank Pay」もメールアドレスだけで新規アカウント作成が可能で、一部金融機関の口座と紐付けで本人確認が不十分

          BankPayもドコモ口座も確実とは言えないんだけど
          https://www.resonabank.co.jp/hojin/service/eb/urikakekin/webkouza/ [resonabank.co.jp]
          とかにもあるが Web口座振替 って 本人確認情報提供 的なのがあるので(常にかはわからないが)

          アカウントが自由に作れること : 条件つきで問題ない(と思う)
          本人確認が不十分 : 銀行に認証を回し、本人である旨の証明をしてもらってそれを受ける(なにせ 「(犯罪収益移転防止法に基づく)取引時確認を行う必要がある場合、お客さまの本人確認(氏名、住所、生年月日)資料の確認の省略等が可能です。」 だそうで)

          ということで本来的には問題は(あまり)ないはずとは思うのだが...
          ここで銀行側がアウトだとそりゃな...という気持ち。

          >> (被害が出ている銀行では)不要なため

          これは不要じゃなくて、銀行の正規の保証サービスをもって保証だと思う。
          なので、最初にプリペイドを本人情報を元に取引可能レベルに昇格するが、そこがすでに銀行側が弱いためアウトということじゃないかなと。

          (こうである保証はないが)

          --
          M-FalconSky (暑いか寒い)
          • by Anonymous Coward

            本人確認が不十分 : 銀行に認証を回し、本人である旨の証明をしてもらってそれを受ける
            (なにせ 「(犯罪収益移転防止法に基づく)取引時確認を行う必要がある場合、お客さまの本人確認(氏名、住所、生年月日)資料の確認の省略等が可能です。」 だそうで)

            今回まさにコレで、一部の銀行側では「名義人」「口座番号」と「暗証番号」(一部の報道では生年月日も)で決済証明完了としてしまった。

            銀行側の主張としては『本来、暗証番号は利用者本人しか知り得ない情報』なので問題なしだったのだろうが、上記の組み合わせが何処からか事前に漏洩していた。

            • by taka2 (14791) on 2020年09月15日 16時45分 (#3889472) ホームページ 日記

              私は池田泉州銀行(七十七/中国銀行/大垣共立の次に登録停止した14行の一つ)を使っていて、
              ちょっと前に LINE PAY のために Web口振 を申し込んだのですが、
              口座番号などと共に「通帳に記帳されている最終残高」を入力する必要がありました。
              こんなの、通帳ごと盗まれでもしないかぎり、詐称登録は無理だと思います。
              でも、ドコモ口座は比較的早々に新規登録停止に。

              で、あとは推測なのですが、地銀のWeb口振のページを見てると、
              「入力する情報は収納機関によって異なります」って書いてる銀行がいくつかありました。
              もしかしたら、同じ銀行のWeb口振でも、収納機関によって申請内容が違っていて、
              ドコモ口座の場合は、口座番号・暗証番号だけでいけたのかな、とか。
              そういう、収納機関側の本人確認のザルいところが危ない、と。

        • by nim (10479) on 2020年09月15日 13時33分 (#3889303)

          そうすると、ドコモ口座利用者でみずほ銀行紐付けユーザであっても、
          同一ユーザの七十七銀行の口座が、攻撃者の開設したドコモ口座に紐付けられ、
          お金を盗まれる可能性がありますよね。

          だとすると、「ドコモ口座利用者であってもドコモ口座問題の被害を受ける可能性はある」のでは?

        • by Anonymous Coward

          > 複数アカウントでの同一銀行口座番号の使い回しは不可能な仕様だそうです。

          ドコモ口座と結びつけたひとつの口座は平気でも,他の口座がダメだったり・・・

          孫引きだけど,日本統計センターの調べ(金融機関の利用に関する調査・平成23年)によると、平均一人当たり3.5口座 [nifty.com]らしいし.

        • by Anonymous Coward

          >そのため自アカウントでドコモ口座と銀行口座番号を紐づけしていた、出来た場合は
          >犯人に奪われることがないためドコモ口座経由では安全となります。

          すでに補足いただいていますが、ここで安全となるのは自分で紐づけた銀行口座番号だけです。

    • by Anonymous Coward

      認証ザルだった銀行の利用者のことでしょ

      • by Anonymous Coward

        Bank Payの利用者数1万1000人はすでに利用済みだから新規口座設定ができないため安全。

        >認証ザルだった銀行の利用者

        危険なのはこっちで、銀行口座をもっている数千万人の利用者が取引履歴確認が必要。

        • by Anonymous Coward on 2020年09月15日 13時40分 (#3889308)

          ゆうちょ銀でドコモ口座から以外の不正利用が発覚した模様。
          https://news.livedoor.com/article/detail/18900344/ [livedoor.com]

          みんな自分の銀行口座確認した?
          まさかおれの口座がねとめんどくさくてまだ確認してないんだが、こんなケースは銀行が調査して不正があったら連絡してくるのが筋だよな…。

          • by Anonymous Coward

            即時振替自体を止めた俺の判断は間違ってなかったか。
            キャッシュカード(もしくは通帳)の紛失届出せばなんちゃらPayとかに一切連携できなくさせられるってもっと周知するべき。

        • by Anonymous Coward

          この問題、利用者がリスクテイクするのなら別に自己責任でも良いのだが、
          関係ない奴にだけ被害が出るのが本当にクソだな。
          分かっていてサービス続けるdocomoとか、今後に発生した被害については未必の故意って事で加害者扱いで良いと思う。

          • by Anonymous Coward

            セキュリティ的に脆弱な銀行を利用してるから自己責任。
            脆弱性を抱えた銀行の口座を解約しましょう。

  • by Anonymous Coward on 2020年09月15日 12時23分 (#3889255)

    ドコモを犠牲に誤魔化すのも難しくなってきたなw

    ここに返信
    • 結局、本人確認ポリシーの違うシステム同士を安易に相互に信頼してくっつけるとダメってことで

      --
      [Q][W][E][R][T][Y]
    • by Anonymous Coward

      ドコモを犠牲に誤魔化すのも難しくなってきたなw

      どこもかしこもまったくもう

    • by Anonymous Coward

      地銀「たしかに他社連携では本人確認を忘れていた…だがシステムは多重に防衛されているので問題ないはず!」
      ドコモ、日本電子決済推進機構「いつから銀行の代わりに本人確認してくれるはずと錯覚していた?」

    • by Anonymous Coward

      ドコモ口座やBankPayが存在する前はどうやったんやろね。
      匿名化されやすいオンラインでの、大規模な不正送金の事例って、、、
      うんまあ、何らかの経路で多少はあったかも知れないが、
      銀行の脆弱なAPIを悪用されたりした事はあったんやろか?

      ドコモやBankPayが、銀行を誘って、開けちゃいけないパンドラのいやらしいお口を
      こじ開けちゃったんじゃないの?と思わなくもないんだが。

    • by Anonymous Coward

      「ドコモ口座」以外の5つの電子決済サービスで不正引出し確認
      https://www3.nhk.or.jp/news/html/20200915/k10012618701000.html [nhk.or.jp]

      盛り上がってまいりましたー!

    • by Anonymous Coward

      ドコモを犠牲に誤魔化すのも難しくなってきたなw

      一人がいくつでも口座開設できる仕様な時点で、ドコモへの非難は避けられないよw

  • by Anonymous Coward on 2020年09月15日 13時37分 (#3889305)

    ドコモ口座の問題も発覚したのは今月だが、調べてみると被害はずっと前からあったという話だし、
    実はこっちも被害者がすでにいるんじゃねーの?

    ここに返信
  • by Anonymous Coward on 2020年09月15日 14時20分 (#3889336)

    銀行って会社都合とかで作らされる割に解約が面倒だから、口座作りっぱなしにいくらか入りっぱなしみたいなのよくあるけど、こういう事件が続くようならそういうとこまでチェックしきれないからメインバンク以外解約せざるを得なくなる。自分がドコモ口座使ってて被害にあうならまだしも、他人の利便性のために被害受けるの、超迷惑なんだけど。

    ここに返信
  • by Anonymous Coward on 2020年09月15日 16時53分 (#3889479)

    ネット口振受付GWサービス [nttdata.com]はNTTデータが提供するサービス
    日本電子決済推進機構 (対外活動名称: 日本デビットカード推進協議会) [debitcard.gr.jp] の会長はNTTデータ
    ということだ。

    ここに返信
    • by Anonymous Coward on 2020年09月15日 17時01分 (#3889490)

      電話屋が電話以外に手を出すな

      • by Anonymous Coward

        NTTデータを「電話屋」呼ばわりしている時点で、自分が「ド素人」だと自白していることがわからない?

    • by Anonymous Coward

      今回NTTドコモが矢面に立って非難・苦情を受け止めているのは、NTTデータを全力で守ろうとしているから。
      別に法人としての金融機関を顧客サービスで守ろうとしているわけではなく、カモ顧客としての金融機関を守っているに過ぎない。

  • by Anonymous Coward on 2020年09月15日 18時07分 (#3889544)

    被害が発生してから1ヶ月以上経過していたり、暗証番号が自分の誕生日とか安易なものだったりする場合は
    銀行が被害を補償しない、といった補償の条件があると思う。
    このようなケースでも今回の事件は自分が全く関与せず被害にあう形なので、全額補償されるのだろうか。

    ここに返信
  • by Anonymous Coward on 2020年09月15日 20時29分 (#3889650)

    政府は送金や現金以外からのチャージ手段のある電子マネーは全部本人確認を義務付けるように法令改正した方がいいと思う。
    たとえ手続きが煩雑になったとしても。

    反社のカモにされてる。

    ここに返信
typodupeerror

私はプログラマです。1040 formに私の職業としてそう書いています -- Ken Thompson

読み込み中...