ドコモ口座(決済サービス)と銀行 「責任」はどちらにあるのか、重いのか
ドコモ口座の波紋、銀行の大失態が浮き彫りに
【ドコモ口座の波紋、銀行の大失態が浮き彫りに】
「ドコモ口座」を発端とする銀行口座からの不正出金問題。ゆうちょ銀行では、6つの決済サービスで被害を確認。ゆうちょ銀行の場合、口座と決済サービスを接続する際の本人確認に甘さがありました。#東洋経済オンラインhttps://t.co/dVR8jGMn5D— 東洋経済オンライン (@Toyokeizai) September 18, 2020
不正引き出し、なぜ問題を丸かぶり? ドコモ内部に不可思議な動き(鈴木淳也)
不正引き出し、なぜ問題を丸かぶり? ドコモ内部に不可思議な動き(鈴木淳也) #エンガジェット https://t.co/74f55z5lRw
— Engadget 日本版 (@engadgetjp) September 18, 2020
Twitterの反応
ドコモの口座問題、他の決済システムにも広がる。銀行によっては本人確認のチェックが甘かったり、非合法なニセ携帯を使いショートメッセージをクリアした事例も見つかっている。郵貯の被害も2000万を突破したと言う。https://t.co/nSUw8sr1Tn
— Y.Shimizu (@Saisyoh) September 17, 2020
それにしてもゆうちょ銀行はどうしてあんな見え透いた…なシナリオを描いたのだろうか?普通に考えたら二段階認証する際のコスト負担は銀行側になるので、そのコストケチったら抜かれちゃいました…ってなことだと思うのだが。まぁ被害総額が少額で良かったね。https://t.co/DUskpR4H87
— 三上俊輔(Shunsuke Mikami) (@mikamika8375) September 18, 2020
銀行の大失態が浮き彫りに ゆうちょ銀行のほかに「Bank Pay」にも問題 https://t.co/CGhRqaCmZ1 銀行協会が運営するBank Payにも、ドコモ口座と全く同じ下記3点の欠陥があった、と。
・メアドのみで登録可能
・本人確認なし
・入金時に二要素認証なし— riron博士@184台目 Xperia 1 (@rironriron) September 17, 2020
みずほが早く公表してればスマホ決済が悪人に狙われてるって周知されたのに
みずほは二要素認証を用いていたが残高をウェブ上で確認できる別サービス(現在は停止済み)が不正アクセスを受け、そこから情報を抜き取られたことで二要素認証を突破されてしまった
— 空 (@rosecl3) September 17, 2020
2要素認証って Google アカウントでも昔から利用できるのに、未だに導入されていない日本の大手銀行ってセキュリティにどれだけの認識があったのか疑問です。
東洋経済オンライン: ドコモ口座の波紋、銀行の大失態が浮き彫りに.https://t.co/KX5qt7X7qu@GoogleNewsから
— Hikaru Matsuura (@hikalox) September 17, 2020
ちなみに、決済サービスでゆうちょ銀行を登録する再には口座番号、暗証番号のほかに、口座名義、生年月日、さらにはキャッシュカードに記載してある記号まで必要だった。
いったいどうやってその全部を入手したんだろうね。— 猫好きモルディブ好き (@catmoldive) September 18, 2020
『セキュリティーの甘さのほかに、個人の口座情報や暗証番号がどこかから漏洩しているのかという問題も未解決のまま』
とあるけど、内部犯行も疑わなくてはね。かつて、仮想通貨が流行ったときにも、社内にスパイがいて、情報漏えい・セキュリティの甘い部分が突かれた。
外部からだけでは難しい…— ヽ|∵|ゝ(Fantom) (@fantom_1x) September 18, 2020
ドコモ口座のやつさ、もしかしてコロナの給付金で使った口座番号が使われてない?
あれ、入力作業に派遣やバイトがいっぱい入ってたじゃん。
口座番号を売った奴が全国にいっぱいいるんじゃないの?
給付金の締切からの日数的にもそんな気がしてる。— Rae✦れい (@r_2525) September 11, 2020
5ちゃんねるの反応
【不正】事業者がゆうちょに反論「2要素認証を行うのはゆうちょ銀行側であり、こちら側の了解を得て判断するものではない」
そして先ほどのゆうちょ銀行のお知らせにあった「2要素認証」だ。サービス事業者のアカウントと銀行口座の接続において、相互で本人認証が行われることはセキュリティ上重要だ。2要素認証とは、2つの異なる要素(例えば「ID+パスワード」と「トークン(ワンタイムパスワード)」や「生体認証」)を組み合わせる仕組みのことだ。
ゆうちょ銀行はWebを使った即時振替の認証において、以前までは口座番号と暗証番号の組み合わせなど、比較的突破が容易な手段しか提供していなかった。その後、2019年1月、2020年5月と段階的にセキュリティレベルを向上させ、現在では4項目+2要素での認証を行っている。ただし、同行によれば「2段階認証を実際に導入するかはサービス事業者との了解によるもので、先方に導入してもらえるようお願いしてきた」(ゆうちょ銀行取締役兼代表執行役副社長の田中進氏)とのことで、了解が得られなかったので2要素認証でセキュリティを強化できなかったというスタンスを貫いている。
一方で、複数のサービス事業者らが事業者名と名前の両方を伏せたうえで「2要素認証を行うのはゆうちょ銀行側であり、こちら側の了解を得て判断するものではない」「そもそも2要素認証について相談されておらず、今回の措置について聞いたのも直前の出来事」と、寝耳に水の反応を見せている。
実際、ゆうちょ銀行が即時振替と呼ぶ「Web口座振替」では、口座登録時にサービス事業者のアプリ(またはサイト)からいったんゆうちょ銀行のページへと飛び、認証が完了した段階でその結果をサービス事業者側に通知する仕組みになっており、サービス事業者側が関知できるものではない。ゆえに、サービス事業者側としてもゆうちょ銀行が2要素認証を導入したからといってシステム的に対応することはなく、せいぜい登録方法について説明や誘導を促す程度しかない。
つまり、ゆうちょ銀行が「サービス事業者の了解が得られないのでセキュリティ強化が進まなかった」と述べているが、サービス事業者側では「セキュリティ強化の裁量はゆうちょ銀行にあるのに、なぜわれわれの了解が必要でそれが原因と責任転嫁をするのか」と嘆いている構図だ。
ドコモ内部の不可思議な動き
今回の件では、前述のゆうちょ銀行の説明をはじめ、いろいろ不可思議な点が多い。例えば「なぜ被害が報告され始めた時点でドコモ口座を停止できなかったのか」「被害の直接の原因をドコモの本人確認不足によるものとして収束させようとしている」といった具合に、主にドコモにおいてドコモ口座まわりの対応の遅さと、案件をすべて1社で抱え込もうという動きが目立っていた。
後者について、実際には他のサービス事業者でも問題は発生していたわけで、サービス事業者側での本人確認の問題はもちろんのこと、Web口座振替における銀行側のセキュリティの弱さを突かれた側面が大きい。ゆうちょ銀行の会見がなければ、このままドコモの問題として取り扱われて話題がフェードアウトしていた可能性もあり、その点で銀行が潜在的に抱える問題にまで踏み込めた点で一連の会見の功績は大きい。
今回、匿名の情報源によれば、ドコモ口座に紐付く一連の攻撃において、Web口座振替で「2要素認証(IVRや通帳に記入した最終残高など)」を導入するなど比較的セキュリティレベルの高い銀行での被害は1件もなく、被害はすべて「口座番号」「暗証番号」「生年月日」「電話番号の下4桁」など比較的入手が容易な情報を組み合わせて本人認証を行っていた金融機関に集中しているという。ゆうちょ銀行をはじめ、地銀で被害報告が多かったのも、後者の認証を行っていたためだ。
また、みずほ銀行がドコモ口座を含む預金の不正引き出しが過去に行われていたという一部報道があったが、同行によれば以前までに提供していた通帳に未記帳の取引を参照できるサービスを通じて通帳の最終記帳残高を類推する手法を用いられたもので、被害と対策を含め1年以上前に解決済みだという。ドコモ口座での一連の被害は2019年10月以降に発生しているため、2要素認証が導入されているみずほ銀行は今回の件に関係ない。筆者の意見では、すでに今回の問題は「銀行のセキュリティ対策の甘さ」を問う段階にきており、バトンは渡されている状態だと考える。
引用元: ・【不正】事業者がゆうちょに反論「2要素認証を行うのはゆうちょ銀行側であり、こちら側の了解を得て判断するものではない」 [雷★]
ただの責任の擦り付け合い
典型的な日本企業だね
どっちも怠ったんだから両方潰れればいい
2要素認証は銀行側がするものだろう。
事業者側は本人確認をするのだろう。
ドコモは本人確認を全くしなかったので、被害者の数も被害額も多額なのだろう。
ゆうちょ銀行ってお気楽な会社でいいなw
そもそも
ハッキングされてんじゃねーよボケ
だよなあ
なすりつけにすらなってない
ゆうちょ側のセキュリティの問題なんだから
ドコモの無限アカウント増殖問題は?
ドコモもザルじゃん
施錠の甘い家のせいにしている構図
上手いwww
誘導を陽動と間違ったのが悔しい
草
むしろそれでまとめられそう
ゆうちょが「俺の家の鍵を強くしていいか?」って聞いて
事業者が「は?それは自分で判断しろよ」と言ってる状態
これな
こっちが正しい
その通り
これだな
お前の責任でするものだろ
何他人にうかがいたてないとできないようなこと言ってるんだろう
勝手にすれば?
こっちは無限登録を継続するし
ユーザー登録数がモノを言う世界だしな
戦争は数だよ、兄貴!
SMSのワンタイムパスワードはどこに届くのかと
ゆうちょはセキュリティが低い
〇〇ペイはそれを知っていて利用
事業者が本人確認しなくていいと思ってる事がおかしい
俺だけじゃないよ!
ていうかゆうちょや銀行が悪いんじゃね?
ていうかお前が悪いんじゃね?
かんぽの勧誘詐欺みてもわかるやん
電子マネー側も本人確認書類をちゃんと提出させる必要がある。
要するに、何処もが悪い。
電子マネー側が「銀行口座と紐づけさせることで本人確認の代用とする」
というのは金融庁が通達で認めてること
べつに勝手に手抜きしてるわけじゃない
公共インフラに近まれば、相応の義務と責任があるものだよ
脱法はいかんね
正確には
口座振替の形式で資金移動を行う場合に、銀行側が本人確認をした事が確認できるのであれば本人確認をした事にしてよい
だな
登録できたら本人確認ではないのだよ
金融庁が認めていたというより見逃してきただな
これから厳格になるだろうよ
で問題が出たから仲間割れして罪のなすり合いしてるだけ
正面玄関の鍵はしっかりしてても裏口がかんぬきだけなら意味ないんだわ
犯罪者に本人確認してどうする
銀行の利用者本人であることを確認しないと意味がない
それが出来るのは銀行だけだろ
ドコモが泥棒に裏口を案内してんじゃん
ゆうちょ銀行側で二要素認証で本人確認したいということをゆうちょ銀行が事業者にお願いしてたのよ
あれ使ってたら被害なかったよな
利用者もいなくなるけど
つーか、本人確認ぐらいしろボケ
攻撃への備えがヘボかったのはゆうちょや地銀
どっちにも責任があり一方的な話ではなかろう
参考
コメント