偽造免許証でスマホをMNPして二段階認証を突破、一千万円が引き出される被害 51
ストーリー by nagazou
恐ろしい 部門より
恐ろしい 部門より
神戸市で知らない間に誰かが自分のスマートフォンを勝手に解約、現金1千万円を引き出されるというトラブルが起きていたという(神戸新聞NEXT)。
あるAnonymous Coward 曰く、
あるAnonymous Coward 曰く、
偽造された運転免許証を元にauショップで勝手に携帯電話をMNPして、さらにフィッシングなどで入手したとみられるパスワードでインターネットバンキングにアクセス、二段階認証も確認の電話もすべて犯人の携帯電話に送られるため、そのまま約一千万円が引き出されてしまったという。なお、この事件では被害者側には落ち度がなかったとされ、引き出された現金は銀行から全額補塡されたらしいのが救いである。
被害者側には落ち度がなかった? (スコア:0)
> フィッシングなどで入手したとみられるパスワードでインターネットバンキングにアクセス
フィッシングに引っかかった利用者側の落ち度にされそうな気もするのですが、銀行によって判断が違ったりするんですかね?
Re:被害者側には落ち度がなかった? (スコア:2, 興味深い)
仮にフィッシングが事実であっても、偽造免許証で携帯電話のMNPをさせたのは完全に携帯電話会社の落ち度で、そこが突破されてなければ銀行の二段階認証が機能して引き出せていないので、今回の件では本人の落ち度があったとしてもそっちが原因とは言い難いでしょう。
二段階認証を使えば安全ですと謳って携帯電話を使った二段階認証システムを提供したのも銀行なので。
っていうか、この事例で補填されなかったら怖すぎて銀行にお金預けられないですよ。
パスワードが盗まれる可能性は想定してても、携帯電話が知らないところで勝手に解約されたなんてどうしようもなさすぎる。
Re: (スコア:0)
でもキャリアやスマホメーカーにしてみれば、やらかしたと言えスマホを使った認証で事故が起こっても知らんがなと言いたいだろうな。
ちなみになんも考えずに機種変して詰みかけたことあるんだけど、
認証にGoogle Authenticatorとか使ってるサービスなら、MNPでスマホ乗っ取られたぐらいじゃ突破は無理じゃね?
Re: (スコア:0)
二段階認証のトークン紛失は起き得る事態なので、リカバリーとして電話番号による認証で突破可能だと残念な事に。
Googleアカウントの場合 [google.com]
Re: (スコア:0)
「スマホを使った認証で事故が起こった」ではなく「送信したメッセージが(本来の)受信者の許可無く別の宛先に転送された」ですよ。「知らんがな」ではすまない。
Re: (スコア:0)
>「送信したメッセージが(本来の)受信者の許可無く別の宛先に転送された」
とは違うんじゃないかな。
宛先は正しい。ただ持ち主が違うだけ。
Re: (スコア:0)
そもそも大金を扱う仕組みにスマホを使用するなんて、サービス側と利用者が勝手にやってること。
重過失でもなきゃスマホが犯罪に使われても責任を問えないのといっしょ。
Re: (スコア:0)
それは只の推測であって、なんら証拠が無い。
証拠があればそれでいいかもですが、証拠の捜索の為にもっとやばい物が見つかる可能性もあるので、協力する気は無いんでしょ。
万が一、バグや情報漏洩だったりしたら、洒落にならないですからね。
Re: (スコア:0)
相当の情報をぶっこぬかれてないとここまでスムーズにはいかんやろなw
でも自分が引っかかった時のことを考えると全額補塡されてよかったね。
Re: (スコア:0)
パスワード忘れたら登録したメールアドレスにワンタイムパスワード送って来る仕様とか?
メールアカウント奪えたら、電話番号に紐づいたLINEのアカウントも奪える。
https://guide.line.me/ja/migration/migration_c/ [guide.line.me]
Re: (スコア:0)
インターネットバンキングの取引認証って電話番号までじゃ成立しないイメージなんだけど、取引まで行ける銀行もあるのかな。
携帯電話を物理的に盗難・拝借されるケースは想定されるから、強固な認証でない事はある程度認知されてると思うんだよな。
電話番号が関与しないなら番号取られるまでもなく乗っ取られてるわけで、少し話が変わってくるし。
Re: (スコア:0)
フィッシングでネットバンクのID、パスワード、暗証番号まで知られてたらアウト。
スマホでトークン発行するアプリあるけど、あれも電話番号と上の3つがあれば別端末に導入できるはずだから、そこまでクリアしちゃえば振込までいける。
というかそこまで知られてたら、あとは住所宛に郵送か印影(届け出ない場合もある)ぐらいしか本人と第三者を区別する方法がない。
でも多分フィッシングで口座残高知られて狙われただろうから、郵送でも多分盗られてダメだったろうな。
最後の砦、暗証番号が知られた時点でいつ金が抜かれてもおかしくはなかったと思うよ。
Re: (スコア:0)
そうならないようにスマホとSIMカードにロックを掛けておくわけで
Re: (スコア:0)
フィッシングで入手したパスワードかどうかは犯人にしかわからないので、犯人がそう言っているのでなければ可能性として挙げているだけです。
そもそも今どきの多要素認証なんてものは「パスワードなんて漏れるもの」という前提で作られているものです。
一千万円なんていう多額の預金を動かすのに本人確認を徹底しなかった銀行の落ち度は大きいでしょう。
これで補償しなかったら預金を引き上げちゃう資産家が多いと思います。
MNPで本人確認を突破 (スコア:0)
MNPで本人確認突破っての見て、アタマいいやついるなーとなった
回避するの難しそう
Re: (スコア:0)
イマドキ偽造免許証なんて作れるか?と思ったら、そもそも携帯ショップでICなんか読み取ってないし、カード質感と印字だけ精巧に偽造できてれば突破できちゃうのね。
Re: (スコア:0)
MVNP系もオンラインでの確認が多いし、さらに容易そうだ。
せめてMNPの前にSMSで確認してほしいかな。
こういう話聞くと (スコア:0)
やっぱ固定電話考えないといかんか?
Re: (スコア:0)
やっぱ固定電話考えないといかんか?
ピンクの電話が脚光を浴びることになるのか!(違
銀行もセキュリティキーをサポートしてほしい (スコア:0)
一般向けのサービスにはいまいち広がらないよね、セキュリティキー……
Re: (スコア:0)
PayPay銀行(旧ジャパンネット銀行)みたいに物理的なワンタイムトークン生成器が
送られてくるところなら防げたかもしれないな。
Re: (スコア:0)
廃止されちゃって、スマホのアプリになっちゃったけどね。
セキュリティ的には退化してる気がするよ…。
Re: (スコア:0)
廃止されてないと思うよ?
https://help.paypay-bank.co.jp/hc/ja/articles/900003307006 [paypay-bank.co.jp]
たぶん(初回無料で運営側の)コスト掛かるからアプリ推奨なんだろうけど。
Re: (スコア:0)
あれ?
自分は昔からキーホルダー型トークン使ってたけど、廃止するのでスマホアプリ使えゴルァ、って連絡来て、強制的に切り替わったと思ったのだけど…。
有償でカード型トークンにもできるってこと?
なんかイラッとするね。
Re: (スコア:0)
私がキーホルダー型から交換する時、スマホアプリ版がおすすめ! というしつこいぐらいのゴリ推しはあったけど、それとは別に1000円払えばカード型を送りますとちゃんと書いてあったし、そもそも選択式になってたけどなぁ……。
スマホになんでもかんでも集約できる人って、度胸あるなぁ……と思う私は、即カード型を選択しましたし。
Re: (スコア:0)
あれ?
自分は昔からキーホルダー型トークン使ってたけど、廃止するのでスマホアプリ使えゴルァ、って連絡来て、強制的に切り替わったと思ったのだけど…
それ、そういう話聞いてたんだよ。そうか切り替わるのかやだなーと思ってたら、
自分はなんか切り替え時期に普通にカード型トークンが郵送されてきたんだよ。多分何もしてない筈なんだけど。
JNB初期から使ってたからとかあるのかな?
Re: (スコア:0)
スマホのアプリ内で振込操作ができて、そのアプリ内でワンタイムパスワード自動入力とか多要素になってないと思うんだけどね。
何でこんなバカな実装が横行してるんだろ
Re: (スコア:0)
廃止されたのはみずほ銀行。
Re: (スコア:0)
そうそう何社かあるんだよね。
あれが一番強固だと思ってるから、ある場合はそれ使ってる。
ジャパンネット銀行をメインバンクにしてるのもそれが理由だった。
そう言うのがない銀行は、時代の流れなので仕方なく使って入るけど、ネットバンキングちょっと怖い。
Re: (スコア:0)
というか今時まだやってない銀行とかあるのか・・・
自分の周りは地銀・信金までみんなやってるイメージ
Re: (スコア:0)
TOTPじゃなくて独自方式のサイトがたまにあるのは勘弁してほしい。
持ってないが、mooltipassでTOTPが使えるらしいんでそっちに集約したい。
Re: (スコア:0)
そりゃ、少なくとも日本では個人が真正のセキュリティキーを手に入れられるルートが一般的かどうかという問題が。
#逸般的ではある
運転免許証のICチップはオプションか?(オプションでもない) (スコア:0)
いまどき、個人のスマホでも読み取ることができるのに、業者が業務アプリやってなくてどうするんよ;
そもそも総務省の、対面時の運転免許証の確認方法が詳しく書いてないので、脇が甘い話なんだけどな。 https://www.soumu.go.jp/main_content/000254169.pdf
もはや偽造は簡単になっているという自覚をもってもらいたい。 https://mainichi.jp/articles/20190112/k00/00m/040/154000c
ちゃいなにもやらかされてるしな https://kart.st/jp/drivers-license/china-idp.html https://wasegg.com/archives/2903 https://www.nikkei.com/article/DGXMZO29044840V00C18A4CC1000/
#暗証番号?そんなの「お客様」に入力させるんですよ
Re: (スコア:0)
免許のICチップをスマホで読めるってマジで?
Re: (スコア:0)
マジよ。
規格はオープン [npa.go.jp]だから誰でも作れる。
JPEG2000のデコードに外部ライブラリ欲しいくらいかな。
Re: (スコア:0)
ページはノットファウンドだったけど、ほんとにNFC載ってればスマホで読めるんだな。
知らんかった。
Re:マイナンバーカードか必用な理由がまた一つ (スコア:1)
偽造されたことのないマイナンバーカードにご期待ください。
ではお代官様
偽造されたことのない証明をする方法をご例示くださいませ
# 悪用履歴確認ならわかるが偽造自体の有無の証明は無茶だろう
Re: (スコア:0)
下請け会社がこっそり保存していたeKYCのデータが漏洩し、偽造されるんですねわかります
Re: (スコア:0)
偽造はされてるんじゃないかな。
取り締まられた事実がないだけで。
Re: (スコア:0)
マイナンバー以前の住民基本台帳ではデータ流出に紛失に盗難にいろいろありましたね
Re: (スコア:0)
マイナンバーカードを提示した人(持っていた人)が間違いなく本人であるという確認はどのように担保したのか、セキュリティ的な手法の観点から興味があります。
ソーシャルエンジニア的に他人のマイナンバーカードを取得できないようにちゃんと考えられているのか怪しい。
むしろ、通知カードの時点で詐取・盗難されていたら容易に他人に成りすます事ができるように思える。
Re:マイナンバーカードか必用な理由がまた一つ (スコア:2)
マイナンバーカードの受け取り時には、既存の写真つき証明書(免許証)を提示し、同一人物であることを(身元確認方法の研修をうけたと思しき)担当者2名で確認されました。
これは、NIST SP800-63B のIAL(身元確認レベル)3にあたります。
発行後、マイナンバーカードで本人確認をする際は、AAL(本人認証レベル)の話になりますが、一般にはこれは、マイナンバーカード内の電子証明書(所持認証)と、読み取り時の暗証番号(知識認証)で多要素認証となり、AAL3 にあたるはずです。
なので、取得から利用までの仕組みは、標準的な手法で高いレベルが達成されているように思えます。
Re: (スコア:0)
> マイナンバーカードの受け取り時には、既存の写真つき証明書(免許証)を提示し、同一人物であることを(身元確認方法の研修をうけたと思しき)担当者2名で確認されました。
そういうと思いましたが、そもそも今回の事件では偽造された免許証が使われたわけですよ。
さて、免許証も信用できないとすると、どうやって確認しますか?
免許証もパスポートもない人は?
写真付きの身分証はどうやって本人
新生児の本人確認なんてのもどうするんだろう。
誘拐してきた子供を、家で一人で産んだ子であると主張したら、病院で検査されたりDNA鑑定が必要なのかな。
と考えだしたらきりが無くて夜も眠れない…ってことは無いけどね。
Re: (スコア:0)
交付通知書による多要素認証。
Re: (スコア:0)
券面コピーだけでチェックしてる所も多いけど、それも含む?
Re: (スコア:0)
お前がキチガイなんだよ
被害者は全く落ち度がない
# こいつ犯人の関係者じゃね?w
Re: (スコア:0)
こういう奴に限っていざ自分が被害者になったらゴネるんだろな
# 自分は特別ってか?w
Re: (スコア:0)
おいアピリッツよ
こういう事件の被害者を侮辱するような書き込みを放置していたらそのうち訴えられるぞ
それでなくとも第三者から見たらこういうのを放置している糞企業というイメージが定着する
Re: (スコア:0)
ちゃんと記事を読んで理解したうえでこういう書き込みしているんだろうか。