【集合知】ドコモ口座の波紋、銀行の大失態も浮き彫りに ネットの反応

政治
Photo by Vanessa Lee on Unsplash
スポンサーリンク

ドコモ口座(決済サービス)と銀行 「責任」はどちらにあるのか、重いのか

参考:ドコモ口座の波紋、銀行の大失態が浮き彫りに

ドコモ口座の波紋、銀行の大失態が浮き彫りに

不正引き出し、なぜ問題を丸かぶり? ドコモ内部に不可思議な動き(鈴木淳也)

スポンサーリンク

Twitterの反応

スポンサーリンク

5ちゃんねるの反応

【不正】事業者がゆうちょに反論「2要素認証を行うのはゆうちょ銀行側であり、こちら側の了解を得て判断するものではない」

1: 名無しさん 2020/09/18(金) 13:32:48.74
(略)

そして先ほどのゆうちょ銀行のお知らせにあった「2要素認証」だ。サービス事業者のアカウントと銀行口座の接続において、相互で本人認証が行われることはセキュリティ上重要だ。2要素認証とは、2つの異なる要素(例えば「ID+パスワード」と「トークン(ワンタイムパスワード)」や「生体認証」)を組み合わせる仕組みのことだ。

ゆうちょ銀行はWebを使った即時振替の認証において、以前までは口座番号と暗証番号の組み合わせなど、比較的突破が容易な手段しか提供していなかった。その後、2019年1月、2020年5月と段階的にセキュリティレベルを向上させ、現在では4項目+2要素での認証を行っている。ただし、同行によれば「2段階認証を実際に導入するかはサービス事業者との了解によるもので、先方に導入してもらえるようお願いしてきた」(ゆうちょ銀行取締役兼代表執行役副社長の田中進氏)とのことで、了解が得られなかったので2要素認証でセキュリティを強化できなかったというスタンスを貫いている。

一方で、複数のサービス事業者らが事業者名と名前の両方を伏せたうえで「2要素認証を行うのはゆうちょ銀行側であり、こちら側の了解を得て判断するものではない」「そもそも2要素認証について相談されておらず、今回の措置について聞いたのも直前の出来事」と、寝耳に水の反応を見せている。

実際、ゆうちょ銀行が即時振替と呼ぶ「Web口座振替」では、口座登録時にサービス事業者のアプリ(またはサイト)からいったんゆうちょ銀行のページへと飛び、認証が完了した段階でその結果をサービス事業者側に通知する仕組みになっており、サービス事業者側が関知できるものではない。ゆえに、サービス事業者側としてもゆうちょ銀行が2要素認証を導入したからといってシステム的に対応することはなく、せいぜい登録方法について説明や誘導を促す程度しかない。

つまり、ゆうちょ銀行が「サービス事業者の了解が得られないのでセキュリティ強化が進まなかった」と述べているが、サービス事業者側では「セキュリティ強化の裁量はゆうちょ銀行にあるのに、なぜわれわれの了解が必要でそれが原因と責任転嫁をするのか」と嘆いている構図だ。

ドコモ内部の不可思議な動き

今回の件では、前述のゆうちょ銀行の説明をはじめ、いろいろ不可思議な点が多い。例えば「なぜ被害が報告され始めた時点でドコモ口座を停止できなかったのか」「被害の直接の原因をドコモの本人確認不足によるものとして収束させようとしている」といった具合に、主にドコモにおいてドコモ口座まわりの対応の遅さと、案件をすべて1社で抱え込もうという動きが目立っていた。

後者について、実際には他のサービス事業者でも問題は発生していたわけで、サービス事業者側での本人確認の問題はもちろんのこと、Web口座振替における銀行側のセキュリティの弱さを突かれた側面が大きい。ゆうちょ銀行の会見がなければ、このままドコモの問題として取り扱われて話題がフェードアウトしていた可能性もあり、その点で銀行が潜在的に抱える問題にまで踏み込めた点で一連の会見の功績は大きい。

今回、匿名の情報源によれば、ドコモ口座に紐付く一連の攻撃において、Web口座振替で「2要素認証(IVRや通帳に記入した最終残高など)」を導入するなど比較的セキュリティレベルの高い銀行での被害は1件もなく、被害はすべて「口座番号」「暗証番号」「生年月日」「電話番号の下4桁」など比較的入手が容易な情報を組み合わせて本人認証を行っていた金融機関に集中しているという。ゆうちょ銀行をはじめ、地銀で被害報告が多かったのも、後者の認証を行っていたためだ。

また、みずほ銀行がドコモ口座を含む預金の不正引き出しが過去に行われていたという一部報道があったが、同行によれば以前までに提供していた通帳に未記帳の取引を参照できるサービスを通じて通帳の最終記帳残高を類推する手法を用いられたもので、被害と対策を含め1年以上前に解決済みだという。ドコモ口座での一連の被害は2019年10月以降に発生しているため、2要素認証が導入されているみずほ銀行は今回の件に関係ない。筆者の意見では、すでに今回の問題は「銀行のセキュリティ対策の甘さ」を問う段階にきており、バトンは渡されている状態だと考える。

(略)
https://japanese.engadget.com/payment-031649529.html

 

引用元: ・【不正】事業者がゆうちょに反論「2要素認証を行うのはゆうちょ銀行側であり、こちら側の了解を得て判断するものではない」 [雷★]

 

 

76: 名無しさん 2020/09/18(金) 14:05:18.97
>>1
ただの責任の擦り付け合い
典型的な日本企業だね
どっちも怠ったんだから両方潰れればいい

 

88: 名無しさん 2020/09/18(金) 14:19:43.25
>>1
2要素認証は銀行側がするものだろう。
事業者側は本人確認をするのだろう。
ドコモは本人確認を全くしなかったので、被害者の数も被害額も多額なのだろう。

 

98: 名無しさん 2020/09/18(金) 14:26:13.94
>>1
ゆうちょ銀行ってお気楽な会社でいいなw

 

314: 名無しさん 2020/09/18(金) 17:26:37.12
>>1
そもそも
ハッキングされてんじゃねーよボケ

だよなあ

 

3: 名無しさん 2020/09/18(金) 13:33:43.62
お互いに責任のなすりつけw

 

5: 名無しさん 2020/09/18(金) 13:34:39.77
>>3
なすりつけにすらなってない
ゆうちょ側のセキュリティの問題なんだから

 

53: 名無しさん 2020/09/18(金) 13:48:13.92
>>5
ドコモの無限アカウント増殖問題は?

 

107: 名無しさん 2020/09/18(金) 14:30:30.18
>>5
ドコモもザルじゃん

 

13: 名無しさん 2020/09/18(金) 13:37:04.52
ドコモが「一斉に」空き巣を陽動しておいて
施錠の甘い家のせいにしている構図

 

15: 名無しさん 2020/09/18(金) 13:37:34.88
>>13
上手いwww

 

23: 名無しさん 2020/09/18(金) 13:39:55.87
>>15
誘導を陽動と間違ったのが悔しい

 

30: 名無しさん 2020/09/18(金) 13:41:17.03
>>23

むしろそれでまとめられそう

 

21: 名無しさん 2020/09/18(金) 13:39:39.96
>>13
ゆうちょが「俺の家の鍵を強くしていいか?」って聞いて
事業者が「は?それは自分で判断しろよ」と言ってる状態

 

25: 名無しさん 2020/09/18(金) 13:40:40.53
>>21
これな

 

29: 名無しさん 2020/09/18(金) 13:41:03.88
>>21
こっちが正しい

 

34: 名無しさん 2020/09/18(金) 13:42:49.07
>>21
その通り

 

271: 名無しさん 2020/09/18(金) 16:55:39.75
>>21
これだな
お前の責任でするものだろ
何他人にうかがいたてないとできないようなこと言ってるんだろう

 

431: 名無しさん 2020/09/18(金) 19:39:35.41
>>21
勝手にすれば?
こっちは無限登録を継続するし
ユーザー登録数がモノを言う世界だしな
戦争は数だよ、兄貴!

 

14: 名無しさん 2020/09/18(金) 13:37:12.49
前からペイペイやヤフーウォレットで被害出てたのに対策してこなかったんだろ

 

16: 名無しさん 2020/09/18(金) 13:38:14.91
ゆうちょーなことで

 

17: 名無しさん 2020/09/18(金) 13:38:39.80
なんかこれ銀行と決済業者の間に溝があるっていうかもう一層あるんじゃないのかな

 

22: 名無しさん 2020/09/18(金) 13:39:49.05
そらそーだ、サービス提供者以外がアカウントパスワードのリストを持つなんて聞いたこともない

 

24: 名無しさん 2020/09/18(金) 13:40:34.72
銀行がSMS認証で二段階認証すればいいのに事業者で二段階認証すれば防げるという不思議な対策
SMSのワンタイムパスワードはどこに届くのかと

 

27: 名無しさん 2020/09/18(金) 13:40:55.48
これについてはどっちもどっちだよ

ゆうちょはセキュリティが低い
〇〇ペイはそれを知っていて利用

 

35: 名無しさん 2020/09/18(金) 13:42:54.15
本人じゃない者に申請させる事業者が悪いのでは?
事業者が本人確認しなくていいと思ってる事がおかしい

 

38: 名無しさん 2020/09/18(金) 13:43:30.22
ゆうちょ「セキュリティは外部に丸投げなので良くわかりません」て、とこだろ

 

42: 名無しさん 2020/09/18(金) 13:44:06.82
ドコモロの怖さ

俺だけじゃないよ!
ていうかゆうちょや銀行が悪いんじゃね?
ていうかお前が悪いんじゃね?

 

43: 名無しさん 2020/09/18(金) 13:44:14.19
ドコモもゴミやがゆうちょもゴミやろ
かんぽの勧誘詐欺みてもわかるやん

 

49: 名無しさん 2020/09/18(金) 13:47:27.63
銀行側は2段階認証や電子マネー紐付け時の本人確認書類を求める必要あるし、
電子マネー側も本人確認書類をちゃんと提出させる必要がある。
要するに、何処もが悪い。

 

96: 名無しさん 2020/09/18(金) 14:23:37.76
>>49
電子マネー側が「銀行口座と紐づけさせることで本人確認の代用とする」
というのは金融庁が通達で認めてること
べつに勝手に手抜きしてるわけじゃない

 

97: 名無しさん 2020/09/18(金) 14:25:06.63
>>96
公共インフラに近まれば、相応の義務と責任があるものだよ
脱法はいかんね

 

191: 名無しさん 2020/09/18(金) 15:33:05.87
>>96
正確には

口座振替の形式で資金移動を行う場合に、銀行側が本人確認をした事が確認できるのであれば本人確認をした事にしてよい

だな

登録できたら本人確認ではないのだよ
金融庁が認めていたというより見逃してきただな

これから厳格になるだろうよ

 

52: 名無しさん 2020/09/18(金) 13:48:10.38
どう見ても共犯
で問題が出たから仲間割れして罪のなすり合いしてるだけ

 

54: 名無しさん 2020/09/18(金) 13:48:48.33
ゆうちょダイレクトの方はあんなにログインめんどくさくしてるのにね
正面玄関の鍵はしっかりしてても裏口がかんぬきだけなら意味ないんだわ

 

55: 名無しさん 2020/09/18(金) 13:49:05.03
そもそも本人確認っても
犯罪者に本人確認してどうする

銀行の利用者本人であることを確認しないと意味がない
それが出来るのは銀行だけだろ

 

60: 名無しさん 2020/09/18(金) 13:50:36.36
>>55
ドコモが泥棒に裏口を案内してんじゃん

 

61: 名無しさん 2020/09/18(金) 13:50:58.73
>>55
ゆうちょ銀行側で二要素認証で本人確認したいということをゆうちょ銀行が事業者にお願いしてたのよ

 

62: 名無しさん 2020/09/18(金) 13:51:56.30
ゆうちょダイレクトは2段階認証やってるのにな

 

63: 名無しさん 2020/09/18(金) 13:53:54.73
ていうかなんであの糞なゆうちょダイレクト使わなかったんやろ
あれ使ってたら被害なかったよな
利用者もいなくなるけど

 

66: 名無しさん 2020/09/18(金) 13:54:38.33
ドコモ口座はフリーメールの偽名でも作り放題だったのか?

 

79: 名無しさん 2020/09/18(金) 14:11:09.42
無能な元公務員が上の方にいる組織

 

90: 名無しさん 2020/09/18(金) 14:20:48.06
いや、お前らも独自にやればいいだろ

つーか、本人確認ぐらいしろボケ

 

117: 名無しさん 2020/09/18(金) 14:37:00.63
攻撃の踏み台を誰にでもいくつでも作らせたのはドコモ
攻撃への備えがヘボかったのはゆうちょや地銀

どっちにも責任があり一方的な話ではなかろう

 

スポンサーリンク

参考

【集合知】ドコモ口座被害、6割がゆうちょ 他ルートも判明 本人確認に危険な“穴”
...
【集合知】NTTドコモ、ドコモ口座の不正利用で2度目の会見「ドコモ口座を止めることは考えていない」
...
【集合知】ドコモが提携銀行に「周知徹底せず」 過去被害対応に不信の声 ドコモ口座事件
...
【リスト】ドコモ口座、17行なお稼働 被害額2000万円に拡大
...

コメント

Ads Blocker Image Powered by Code Help Pro

Ads Blocker Detected!!!

We have detected that you are using extensions to block ads. Please support us by disabling these ads blocker.

タイトルとURLをコピーしました