パスワードを忘れた? アカウント作成
15826406 story
携帯電話

偽造免許証でスマホをMNPして二段階認証を突破、一千万円が引き出される被害 51

ストーリー by nagazou
恐ろしい 部門より
神戸市で知らない間に誰かが自分のスマートフォンを勝手に解約、現金1千万円を引き出されるというトラブルが起きていたという(神戸新聞NEXT)。

あるAnonymous Coward 曰く、

偽造された運転免許証を元にauショップで勝手に携帯電話をMNPして、さらにフィッシングなどで入手したとみられるパスワードでインターネットバンキングにアクセス、二段階認証も確認の電話もすべて犯人の携帯電話に送られるため、そのまま約一千万円が引き出されてしまったという。なお、この事件では被害者側には落ち度がなかったとされ、引き出された現金は銀行から全額補塡されたらしいのが救いである。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2022年10月19日 14時49分 (#4346547)

    > フィッシングなどで入手したとみられるパスワードでインターネットバンキングにアクセス

    フィッシングに引っかかった利用者側の落ち度にされそうな気もするのですが、銀行によって判断が違ったりするんですかね?

    • by Anonymous Coward on 2022年10月19日 15時32分 (#4346606)

      仮にフィッシングが事実であっても、偽造免許証で携帯電話のMNPをさせたのは完全に携帯電話会社の落ち度で、そこが突破されてなければ銀行の二段階認証が機能して引き出せていないので、今回の件では本人の落ち度があったとしてもそっちが原因とは言い難いでしょう。
      二段階認証を使えば安全ですと謳って携帯電話を使った二段階認証システムを提供したのも銀行なので。

      っていうか、この事例で補填されなかったら怖すぎて銀行にお金預けられないですよ。
      パスワードが盗まれる可能性は想定してても、携帯電話が知らないところで勝手に解約されたなんてどうしようもなさすぎる。

      親コメント
      • by Anonymous Coward

        でもキャリアやスマホメーカーにしてみれば、やらかしたと言えスマホを使った認証で事故が起こっても知らんがなと言いたいだろうな。

        ちなみになんも考えずに機種変して詰みかけたことあるんだけど、
        認証にGoogle Authenticatorとか使ってるサービスなら、MNPでスマホ乗っ取られたぐらいじゃ突破は無理じゃね?

        • by Anonymous Coward

          二段階認証のトークン紛失は起き得る事態なので、リカバリーとして電話番号による認証で突破可能だと残念な事に。
          Googleアカウントの場合 [google.com]

        • by Anonymous Coward

          「スマホを使った認証で事故が起こった」ではなく「送信したメッセージが(本来の)受信者の許可無く別の宛先に転送された」ですよ。「知らんがな」ではすまない。

          • by Anonymous Coward

            >「送信したメッセージが(本来の)受信者の許可無く別の宛先に転送された」

            とは違うんじゃないかな。
            宛先は正しい。ただ持ち主が違うだけ。

          • by Anonymous Coward

            そもそも大金を扱う仕組みにスマホを使用するなんて、サービス側と利用者が勝手にやってること。
            重過失でもなきゃスマホが犯罪に使われても責任を問えないのといっしょ。

    • by Anonymous Coward

      それは只の推測であって、なんら証拠が無い。
      証拠があればそれでいいかもですが、証拠の捜索の為にもっとやばい物が見つかる可能性もあるので、協力する気は無いんでしょ。
      万が一、バグや情報漏洩だったりしたら、洒落にならないですからね。

    • by Anonymous Coward

      相当の情報をぶっこぬかれてないとここまでスムーズにはいかんやろなw
      でも自分が引っかかった時のことを考えると全額補塡されてよかったね。

    • by Anonymous Coward

      パスワード忘れたら登録したメールアドレスにワンタイムパスワード送って来る仕様とか?

      メールアカウント奪えたら、電話番号に紐づいたLINEのアカウントも奪える。
      https://guide.line.me/ja/migration/migration_c/ [guide.line.me]

    • by Anonymous Coward

      インターネットバンキングの取引認証って電話番号までじゃ成立しないイメージなんだけど、取引まで行ける銀行もあるのかな。
      携帯電話を物理的に盗難・拝借されるケースは想定されるから、強固な認証でない事はある程度認知されてると思うんだよな。

      電話番号が関与しないなら番号取られるまでもなく乗っ取られてるわけで、少し話が変わってくるし。

      • by Anonymous Coward

        フィッシングでネットバンクのID、パスワード、暗証番号まで知られてたらアウト。
        スマホでトークン発行するアプリあるけど、あれも電話番号と上の3つがあれば別端末に導入できるはずだから、そこまでクリアしちゃえば振込までいける。
        というかそこまで知られてたら、あとは住所宛に郵送か印影(届け出ない場合もある)ぐらいしか本人と第三者を区別する方法がない。
        でも多分フィッシングで口座残高知られて狙われただろうから、郵送でも多分盗られてダメだったろうな。

        最後の砦、暗証番号が知られた時点でいつ金が抜かれてもおかしくはなかったと思うよ。

      • by Anonymous Coward

        そうならないようにスマホとSIMカードにロックを掛けておくわけで

    • by Anonymous Coward

      フィッシングで入手したパスワードかどうかは犯人にしかわからないので、犯人がそう言っているのでなければ可能性として挙げているだけです。

      そもそも今どきの多要素認証なんてものは「パスワードなんて漏れるもの」という前提で作られているものです。
      一千万円なんていう多額の預金を動かすのに本人確認を徹底しなかった銀行の落ち度は大きいでしょう。

      これで補償しなかったら預金を引き上げちゃう資産家が多いと思います。

  • by Anonymous Coward on 2022年10月19日 15時00分 (#4346562)

    MNPで本人確認突破っての見て、アタマいいやついるなーとなった
    回避するの難しそう

    • by Anonymous Coward

      イマドキ偽造免許証なんて作れるか?と思ったら、そもそも携帯ショップでICなんか読み取ってないし、カード質感と印字だけ精巧に偽造できてれば突破できちゃうのね。

      • by Anonymous Coward

        MVNP系もオンラインでの確認が多いし、さらに容易そうだ。
        せめてMNPの前にSMSで確認してほしいかな。

  • by Anonymous Coward on 2022年10月19日 15時44分 (#4346617)

    やっぱ固定電話考えないといかんか?

    • by Anonymous Coward

      やっぱ固定電話考えないといかんか?

      ピンクの電話が脚光を浴びることになるのか!(違

  • by Anonymous Coward on 2022年10月19日 15時58分 (#4346631)

    一般向けのサービスにはいまいち広がらないよね、セキュリティキー……

    • by Anonymous Coward

      PayPay銀行(旧ジャパンネット銀行)みたいに物理的なワンタイムトークン生成器が
      送られてくるところなら防げたかもしれないな。

      • by Anonymous Coward

        廃止されちゃって、スマホのアプリになっちゃったけどね。
        セキュリティ的には退化してる気がするよ…。

        • by Anonymous Coward

          廃止されてないと思うよ?

          https://help.paypay-bank.co.jp/hc/ja/articles/900003307006 [paypay-bank.co.jp]
          たぶん(初回無料で運営側の)コスト掛かるからアプリ推奨なんだろうけど。

          • by Anonymous Coward

            あれ?
            自分は昔からキーホルダー型トークン使ってたけど、廃止するのでスマホアプリ使えゴルァ、って連絡来て、強制的に切り替わったと思ったのだけど…。

            有償でカード型トークンにもできるってこと?
            なんかイラッとするね。

            • by Anonymous Coward

              私がキーホルダー型から交換する時、スマホアプリ版がおすすめ! というしつこいぐらいのゴリ推しはあったけど、それとは別に1000円払えばカード型を送りますとちゃんと書いてあったし、そもそも選択式になってたけどなぁ……。

              スマホになんでもかんでも集約できる人って、度胸あるなぁ……と思う私は、即カード型を選択しましたし。

            • by Anonymous Coward

              あれ?
              自分は昔からキーホルダー型トークン使ってたけど、廃止するのでスマホアプリ使えゴルァ、って連絡来て、強制的に切り替わったと思ったのだけど…

              それ、そういう話聞いてたんだよ。そうか切り替わるのかやだなーと思ってたら、
              自分はなんか切り替え時期に普通にカード型トークンが郵送されてきたんだよ。多分何もしてない筈なんだけど。
              JNB初期から使ってたからとかあるのかな?

        • by Anonymous Coward

          スマホのアプリ内で振込操作ができて、そのアプリ内でワンタイムパスワード自動入力とか多要素になってないと思うんだけどね。
          何でこんなバカな実装が横行してるんだろ

        • by Anonymous Coward

          廃止されたのはみずほ銀行。

      • by Anonymous Coward

        そうそう何社かあるんだよね。
        あれが一番強固だと思ってるから、ある場合はそれ使ってる。
        ジャパンネット銀行をメインバンクにしてるのもそれが理由だった。
        そう言うのがない銀行は、時代の流れなので仕方なく使って入るけど、ネットバンキングちょっと怖い。

        • by Anonymous Coward

          というか今時まだやってない銀行とかあるのか・・・
          自分の周りは地銀・信金までみんなやってるイメージ

    • by Anonymous Coward

      TOTPじゃなくて独自方式のサイトがたまにあるのは勘弁してほしい。
      持ってないが、mooltipassでTOTPが使えるらしいんでそっちに集約したい。

    • by Anonymous Coward

      そりゃ、少なくとも日本では個人が真正のセキュリティキーを手に入れられるルートが一般的かどうかという問題が。

      #逸般的ではある

  • いまどき、個人のスマホでも読み取ることができるのに、業者が業務アプリやってなくてどうするんよ;

    そもそも総務省の、対面時の運転免許証の確認方法が詳しく書いてないので、脇が甘い話なんだけどな。 https://www.soumu.go.jp/main_content/000254169.pdf

    もはや偽造は簡単になっているという自覚をもってもらいたい。 https://mainichi.jp/articles/20190112/k00/00m/040/154000c

    ちゃいなにもやらかされてるしな https://kart.st/jp/drivers-license/china-idp.html https://wasegg.com/archives/2903 https://www.nikkei.com/article/DGXMZO29044840V00C18A4CC1000/

    #暗証番号?そんなの「お客様」に入力させるんですよ

    • by Anonymous Coward

      免許のICチップをスマホで読めるってマジで?

      • by Anonymous Coward

        マジよ。
        規格はオープン [npa.go.jp]だから誰でも作れる。

        JPEG2000のデコードに外部ライブラリ欲しいくらいかな。

        • by Anonymous Coward

          ページはノットファウンドだったけど、ほんとにNFC載ってればスマホで読めるんだな。
          知らんかった。

typodupeerror

ソースを見ろ -- ある4桁UID

読み込み中...